- GoogleのGTIGが、REDCapサーバにカスタムマルウェア「INFINITERED」を展開した中国系脅威グループ「UNC6508」の実態を公開
- 攻撃者は認証情報を窃取し、コンプライアンスルールを改ざんして機密データを流出させ、1年以上にわたって潜伏
- キャンペーンに使用されたGmailアカウントは無効化済み。管理者にはフィッシング耐性のあるMFA適用やデバイスバインドセッションの強制などを推奨
北米の学術機関、医療機関、軍事研究機関のサーバに、中国の国家支援を受けた脅威アクターが1年以上にわたって潜伏し、独自のマルウェアを展開して機密ファイルを窃取していたことが、セキュリティ専門家の調査によって明らかになりました。
Google脅威インテリジェンスグループ(GTIG)は、新たなレポートを公開し、中華人民共和国(PRC)と関係する脅威アクター「UNC6508」の活動を詳細に報告しています。同グループは外部に公開されたResearch Electronic Data Capture(REDCap)サーバを悪用し、「INFINITERED」と呼ばれるカスタムマルウェアを展開したとされています。
攻撃者はこのマルウェアを通じてログイン認証情報を窃取し、サーバのコンテンツへのアクセスを維持したまま1年以上にわたって発覚を免れました。その後、ネットワーク内を横断移動し、ドメインのコンテンツコンプライアンスルールを巧みに改ざんするという新手の手法で機密データを外部へ流出させました。
「Patroit」ルール
Googleによれば、コンテンツコンプライアンスルールとは「クラウドベースのエンタープライズ向け生産性スイートに広く存在する正規の機能」です。攻撃者は管理者アカウントを使い、特定の単語、フレーズ、テキストパターンに一致するメールメッセージを管理するためのルールを作成しました。
このルールには「Patroit」という名称が付けられており、対象のメールを攻撃者が管理するGmailアドレスにBCCで自動転送する設定が施されていました。
Googleはすでに、この脅威アクターおよび今回のキャンペーンに関連するGmailアカウントをすべて無効化しています。
Googleはブログ記事の中で、UNC6508や類似のアクターから身を守るために管理者が講じるべき対策を詳細に列挙しています。具体的には、フィッシング耐性のある2要素認証の強制適用、高度にセンシティブなアカウントへのAdvanced Protection Programへの登録、Cookieの窃取を防ぐためのCAA付きデバイスバインドセッション認証情報(Device Bound Session Credentials)の強制適用などが挙げられています。
「今回のキャンペーンは、国立・州立・民間を問わず、医療分野のさまざまな組織を標的としていました」とGoogleは強調しています。「対象となった組織には、世界的に知られた医療機関、一流の学術研究センター、北米の軍事医療機関、専門職の擁護団体、そして医療規制機関が含まれています。」
「これらの組織の研究領域は、分子生物学的発見や臨床薬物試験から、州レベルの公衆衛生政策、軍の即応態勢に至るまで、現代医学の幅広い分野にわたっています。合計すると数十億ドル規模の研究予算のもと、何千人もの従業員を抱える組織群です。」
