- 悪名高いハッカーグループ「Salt Typhoon」は通信事業者を標的にしていた可能性が高い
- 研究者は同グループが以前使用した戦術を特定
- Salt Typhoonは米国の通信ネットワーク最大8社に侵入し、大規模なサイバー諜報活動を展開
悪名高い中国のハッカーグループ「Salt Typhoon」が、再び通信会社への侵入に関与していることが判明しました。今回は欧州での事例です。
新たなレポートによると、Darktraceは同グループが「DLLサイドローディングやゼロデイ脆弱性などのステルス技術を用いて、グローバルなインフラを標的にしている」と主張しています。
初期段階で検知された侵入活動は、以前のSalt Typhoonの戦術と類似しており、たとえば8つの異なる通信事業者への大規模かつ強力な長期キャンペーンによる攻撃などが挙げられます。この攻撃では、同グループが深刻なCiscoの脆弱性を悪用してアクセスを獲得し、最終的にはネットワークに接続されたデバイスからトラフィックを収集し、数百万人の米国通信顧客の情報を盗み出しました。
DLLサイドローディング
今回の最新事例では、DarktraceはSalt Typhoonが正規ツールを悪用し、ステルス性と持続性をもってCitrix NetScaler Gatewayアプライアンスを悪用し、初期アクセスを獲得したと中程度の確信をもって評価しています。
そこから、犯罪者たちはSnappybeeマルウェア(別名Deed RAT)を展開しました。これはDLLサイドローディングと呼ばれる手法で起動されます。これは中国系脅威アクターがよく用いる戦術です。
「バックドアは、Norton Antivirus、Bkav Antivirus、IObit Malware Fighterなどの正規アンチウイルスソフトの実行ファイルとともに、DLLとしてこれらの内部エンドポイントに配信されました」とDarktraceは説明しています。
「この活動パターンは、攻撃者が正規のアンチウイルスソフトを利用したDLLサイドローディングによってペイロードを実行していたことを示しています。Salt Typhoonや類似グループはこの手法を用いる歴史があり、信頼されたソフトウェアを装ってペイロードを実行し、従来型のセキュリティ制御を回避できるのです。」
Darktraceによれば、侵入は攻撃の初期段階で特定・対処され、脅威は無効化されました。
これは、従来のシグネチャベースの方法よりも、積極的かつ異常検知型の防御と検出が極めて重要であることを浮き彫りにしています。特に、国家支援型の持続的な脅威アクターが増加している現状ではなおさらです。
