出典: Shane Stickley via Alamy Stock Photo
中国の脅威アクターが、昨年7月から始まった8か月間の攻撃の一環として、さまざまな組織を標的にした攻撃の一環としてセキュリティベンダーを標的にしました。AIを活用したセキュリティプロバイダーであるSentinelOneを含む2つの別々の攻撃には、ネットワークの偵察と、サードパーティのサービスプロバイダーを通じて会社のネットワークに侵入しようとする試みが含まれており、セキュリティ企業に対する一連の悪意のある活動の一部です。
SentinelOneの脅威研究部門であるSentineLabsは、今日公開されたブログ投稿でこれらの活動を明らかにし、PurpleHazeと呼ばれる活動クラスターおよびより広範なShadowPadオペレーションにこれらの侵入を帰属させています。2つの既知の中国支援の脅威アクター、具体的にはAPT15(別名Flea、Nickel、Vixen Panda、KE3CHANG、Royal APT、およびPlayful Dragon)およびUNC5174が、これらの活動クラスターの背後にいる可能性が高いとされています。
脅威アクターがインターネット経由でアクセス可能なSentineOneサーバーを標的にして「広範なリモート偵察」を行ったPurpleHaze活動は10月に発生したと、SentinelLabsのサイバーセキュリティ研究者は投稿で書いています。最近の2番目の攻撃は、バックドアマルウェアであるShadowPadに関連しており、今年の初めに発生しました。その攻撃では、当時SentinelOneの従業員のハードウェア物流を管理していたサードパーティの組織が標的にされました。
関連記事:最先端のClickFix戦術がフィッシングを前進させる
「我々は侵入の詳細をITサービスと物流組織に迅速に通知しました」と研究者たちは書いています。「SentinelOneのインフラストラクチャ、ソフトウェア、およびハードウェア資産に対する徹底的な調査では、妥協の証拠は見つかりませんでした。」
SentinelOneは、犯人の焦点が標的とされたIT物流組織だけにあったのか、それとも下流の組織にまで影響を拡大するための足場を確立しようとしたのかは不明であり、後者の戦術は中国の脅威アクターの特徴です。
APT脅威の視界に入るセキュリティベンダー
同社は、脅威活動が脅威の風景の一面を明らかにしていると述べており、それはサイバーセキュリティベンダーを標的にすることに十分な注意が払われていないと考えています。
「サイバーセキュリティ企業は、その保護役割、クライアント環境への深い可視性、および敵対者の活動を妨害する能力のために、脅威アクターにとって高価値の標的です」と研究者たちは書いています。「我々の目的は、透明性を促進し、協力を奨励することで業界の防御を強化することです。」
APT15は20年以上にわたって断続的に活動してきましたが、過去数年間で復活し、中国の民族集団や外務省に対する攻撃を北米および南米で行っています。一方、UNC5174は、以前Mandiantによって特定され、中国政府の代理として米国、英国、カナダを含む西側諸国を標的にしていると考えられています。
関連記事:攻撃に使用されたConnectWiseの欠陥に関する疑問が渦巻く
攻撃に対抗している間にも、SentinelOneは昨年7月から今年3月までの間に、前述の2つの中国の脅威アクターのいずれかによる他の多くの侵入を追跡しました。被害者には、南アジアの政府機関、ヨーロッパのメディア組織、そしてさまざまなセクターにわたる70以上の組織が含まれていました。
ShadowPad、PurpleHaze攻撃クラスターの内訳
全体として、SentinelOneが追跡したより広範なShadowPad活動は、製造業、政府、金融、通信、研究などのセクターにわたる約70の組織を標的にしました。この活動が発見されると、SentinelOneは、協力していた物流会社を含む潜在的に影響を受けた顧客に連絡しました。
中国を拠点とするアクターが通常、ShadowPadを展開してサイバースパイ活動を行うことを考慮すると、研究者たちはこれが多様な攻撃の目的であったと信じています。Trend Micro、Orange Cyberdefense、Check Pointの他の脅威ハンターも以前にいくつかの活動を文書化しており、NailoaLockerランサムウェア攻撃に関連するShadowPadの展開が含まれていると投稿に記されています。
関連記事:ChromeがChunghwa、Netlock証明書の信頼を失う
PurpleHaze活動のサブセットには、南アジアの政府機関への攻撃やSentinelOneの偵察活動が含まれており、どちらもAPT15の仕業である可能性が高いです。攻撃者は、以前にGOREshellと指定されたマルウェアクラスターの一部として分類されたバックドアを使用し、SentinelOneが以前に標的攻撃で観察したものです。
PurpleHazeには、無名の「主要な」ヨーロッパのメディア組織への攻撃も含まれており、脅威アクターは現在知られている2つのIvantiクラウド脆弱性 — CVE-2024-8963 および CVE-2024-8190 — を攻撃チェーンとして、公開される数日前に利用しました。攻撃者は、これらの欠陥を利用して初期の足場を確立し、UNC5174が使用した攻撃パターンに関連するORBネットワークインフラストラクチャを活用しました。
協調的なインシデント対応のためのスティグマを打破する
全体として、中国支援のアクターによる絶え間ない攻撃の発見は、組織、特にサイバーセキュリティベンダーが警戒を怠らず、堅牢な監視を実践し、攻撃に対抗するための迅速な対応能力を持つことの重要性を強調しています。
研究者たちはまた、中国支援のアクターによって標的にされた仲間からの同様の透明性と情報共有を促進し、サイバーセキュリティ企業が「評判の損害を恐れることなく協調的な行動を促進する」ために前に出ることを奨励しています。
「我々の調査の詳細を公に共有することにより、サイバーセキュリティベンダーを標的にすることについてのめったに議論されない洞察を提供し、これらのキャンペーンに関連する[妥協の指標]の共有のスティグマを解消し、中国の脅威アクターの戦術、目的、および運用パターンのより深い理解に貢献することを目指しています」と彼らは書いています。
翻訳元: https://www.darkreading.com/remote-workforce/china-hackers-target-sentinelone-purplehaze-attack