TokyoBlackHatNews

darkreading.com 4分で読了

このような友人を持って:中国がロシアのIT組織をスパイ

毛沢東とフルシチョフが並んで立ち、笑顔を見せている

出典:Keystone Press(Alamy Stock Photo経由)

中国の国家系脅威アクターが、ロシア政府をITセクターを通じて何年もスパイしていた可能性があります。

今日世界中で行われている敵対的な情報収集だけでなく、友人同士のスパイ活動も多く存在します。友好国や、中国やロシアのような「友好的な」国同士でも、サイバースペースを利用して同盟国から政治的・経済的に価値のある情報を得たり、戦略的交渉で優位に立ったり、単に技術を盗んだりすることが日常的に行われています。

11月20日、ロシアのITセキュリティベンダーであるPositive Technologiesは、長期にわたるロシアITセクターへのスパイ活動キャンペーンについて詳細を明らかにしました。犯人は中国のAPT31(Judgment Panda、TA412、Violet Typhoonとも呼ばれる)で、15年以上活動する高度持続的脅威(APT)グループです。世界中の何千もの組織に対する産業スパイや知的財産(IP)窃盗でよく知られています。

今回、研究者たちが発見したAPT31の手口は、正規のクラウドサービスを悪用した高度なコマンド&コントロール(C2)操作でした。

APT31によるクラウドサービスの悪用

APT31によるロシアITセクターへのキャンペーンの最初の証拠は2022年末に遡りますが、キャンペーンの本格的な活動は2024年と2025年に行われたとみられます。

多くの点で、今回の攻撃は他の中国のスパイ活動キャンペーンと同様の展開を見せました。APT31は、アーカイブファイルを添付した標的型フィッシングメールを配信し、中にはダミー文書とマルウェアが含まれており、被害者のシステム上でダイナミックリンクライブラリ(DLL)サイドローディングによって実行されました。

APT31は、攻撃チェーンのさまざまな段階で商用ソフトウェアとカスタムマルウェアプログラムの両方を使用します。例えば、Google ChromeやMicrosoft Edgeから認証データを抜き取るツールや、ローカルファイルを検索するツール、さらに被害者がパスワードを物理的な付箋ではなくデジタルの付箋(Windows Sticky Notes)に残している場合に備えて情報を抜き取るツールなどがあります。

特に注目すべきは、APT31が被害者のオペレーティングシステム(WindowsやLinuxなど)に合わせてカスタマイズされた様々なバックドアを使用し、独自のC2通信手段を選択している点です。例えば、「OneDriveDoor」バックドアはMicrosoft OneDriveをC2通信に利用しますが、「CloudSorcerer」はOneDrive、Dropbox、ロシアのYandex Cloudサービスを利用できます。「YaLeak」ツールはロシアのYandex Cloudサービスをデータ流出に使用し、最も皮肉なマルウェア「VtChatter」は脅威インテリジェンスプラットフォームVirusTotal(VT)のコメントシステムを隠れたC2チャネルとして利用します。

Bugcrowd創設者のCasey Ellisは、ハッカーが正規のクラウドサービスを悪用して悪意ある活動を隠すのを防ぐことがいかに困難かを嘆いています。「このようなキャンペーンが表面化した際にモグラ叩きのような対応をする以外、クラウドサービス側がこの種のC2悪用を止める手段はほとんどありません」と彼は説明します。「これは意図的な設計の悪用であり、このために目立たずに活動できるという事実が脅威アクターに意図的に悪用されています。この種のC2は防ぐのが非常に難しく、地域全体をジオブロックするような大雑把な機能を追加するか、サービス全体を停止する以外に方法がありません。」

商業スパイか、政府スパイか?

いくつかの状況証拠から、APT31のキャンペーンは単なるIT企業や商業データだけでなく、ロシア以外にも標的を広げていた可能性が示唆されています。

特に重要なのは、攻撃がロシアのITセクター全体だけでなく、政府機関向けITソリューションの請負業者やインテグレーターに集中していたことです。ロシア自身も過去にこのバックドア手法を使って米国政府を侵害したことがあります。

研究者たちはまた、ペルーでもAPT31の全く同じ攻撃チェーンのバージョンを発見しました。この場合、被害者はペルー外務省の公式財務報告書のように見せかけたダミー文書とともにマルウェアを送りつけられており、ハッカーが政府関係者を狙っていたことをより直接的に示しています。

「地政学的な関係は本質的にダイナミックです」とEllisは指摘し、「『友人が何をしているかを知ることは、敵が何を計画しているかを知るのと同じくらい重要だ』という考えは、現在の地政学的環境やテクノロジー環境よりも何千年も前から存在しています。」

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/china-spies-russian-it-orgs

ソース: darkreading.com
#2025年サイバー攻撃 #AIマルウェア #APT31 #ITセキュリティ #LinkedInスパイ活動 #クラウドサービス悪用 #プロロシア #ロシアと中国 #国家間諜報 #知的財産窃盗

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開