(画像クレジット:Shutterstock)
- 中国のAPT「Jewelbug」がロシアのITプロバイダーに侵入し、5か月間発見されずに潜伏
- 攻撃者は名前を変更したMicrosoftデバッガーを使って防御を回避し、Yandex Cloud経由でデータを流出
- Symantecは、中国拠点の攻撃者が地政学的な同盟関係にもかかわらずロシアを標的にしていると指摘
中国のハッカーが最近ロシア人を標的にしていることが確認され、西側のサイバーセキュリティコミュニティの間で注目を集めている。両国はサイバースペースやその他の分野で同盟関係にあると見なされているためだ。
今週初め、セキュリティ企業Symantecは新しいレポートを公開し、ここ数か月で「非常に活発」な活動を見せている中国国家支援の脅威グループJewelbugの動向を詳述した。このレポートでSymantecは、Jewelbugが南米、南アジア、台湾、そして特にロシアを標的にしていることを明らかにした。
2025年初頭、JewelbugはロシアのITサービスプロバイダーのネットワークへの侵入に成功し、少なくとも5か月間そこに潜伏していた。その間、攻撃者はコードリポジトリやソフトウェアビルドシステムにアクセスし、ITサービスプロバイダーの顧客に対するサプライチェーン攻撃を仕掛ける足掛かりを得ていた。
7zup.exeとYandex
この侵害は、ITプロバイダーのシステム上で「7zup.exe」というファイルが発見されたことで判明した。これは、正規のMicrosoftバイナリ(Microsoft Console Debugger、CDB)をリネームしたものだ。
Symantecによると、このツールはシェルコードの実行、アプリケーションのホワイトリスト回避、実行ファイルの起動、DLLの実行、セキュリティソリューションの終了などに利用できるという。
「cbd.exeをリネームして使用するのはJewelbugの活動の特徴です」とレポートには記されている。「Microsoftは、CDBの実行をデフォルトでブロックし、明示的に必要な場合のみ特定ユーザーにホワイトリスト登録することを推奨しています。」
CBDを利用し、Jewelbugは認証情報のダンプ、永続化の確立、スケジュールタスクを通じた権限昇格に成功した。彼らはWindowsイベントログを消去して痕跡を隠そうとし、Yandex Cloudを使ってデータを流出させた。Yandexはロシアのクラウドサービスプロバイダーであり、国内で一般的に利用されているため、通常は不審に思われにくいことから選ばれた可能性が高い。
「中国のAPTグループがロシアの組織を標的にしたことは、中国拠点の攻撃者による作戦においてロシアが例外ではないことを示しています」とSymantecは結論付けている。
