中国のサイバースパイは、重要なネットワークへの長期的なアクセスを維持し(時には数年にわたり)、そのアクセスを利用してコンピュータにマルウェアを感染させ、データを盗み出していたと、政府機関および民間セキュリティ企業が木曜日に発した警告で明らかにした。
PRC(中華人民共和国)支援の工作員は、少なくとも8つの政府サービスおよびIT組織にBrickstormバックドアを感染させていたと、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米国家安全保障局(NSA)、カナダ・サイバーセキュリティセンターが共同で発表したセキュリティ警告で述べている。
しかし、「まだ連絡を取る機会を得ていない被害者が他にもいると考えるのは、論理的な結論です」と、CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるニック・アンダーセン氏は木曜日、記者団に語り、Brickstormを「ひどく高度なマルウェア」と表現した。
このバックドアはLinux、VMware、Windowsの各環境で動作し、アンダーセン氏はマルウェア感染を特定の中国(PRC)のサイバーグループに帰属させることは控えたものの、PRCの工作員が米国の重要インフラに対してどれほどの脅威となっているかを示すものだと述べた。
「国家支援の攻撃者は、単にネットワークに侵入しているだけではありません」とアンダーセン氏は言う。「彼らは長期的なアクセス、破壊、さらには破壊工作を可能にするために、自らをネットワーク内部に埋め込んでいるのです。」
CISAが対応したあるインシデントでは、PRCの工作員は2024年4月にその組織の内部ネットワークへのアクセスを獲得し、内部のVMware vCenterサーバーにBrickstormをアップロードし、少なくとも9月3日までバックドアを使って持続的なアクセスを維持していた。
被害者のネットワーク内部にいる間、攻撃グループは2つのドメインコントローラーとActive Directory Federation Servicesサーバーにもアクセスし、それらを利用して暗号鍵を盗み出した。
米国内の数十の組織がBrickstormの影響を受けており、二次被害者は含まれていない
9月のレポートでBrickstormについて最初に警鐘を鳴らしたGoogle Threat Intelligenceは、Google傘下のMandiantがGitHubで公開したオープンソースのスキャナを組織が実行し、自社のアプライアンス上でバックドアを検出することを「強く」推奨している。
「米国内の数十の組織がBrickstormの影響を受けていると考えていますが、そこには二次被害者は含まれていません」と、Google Threat Intelligence Groupの主席アナリストであるオースティン・ラーセン氏はThe Registerに語った。「これらの攻撃者は依然として米国の組織を積極的に標的にしており、9月のレポート以降もBrickstormとその手口を進化させ続けています。」
GoogleのMandiantインシデントレスポンスチームは3月からこれらの侵入に対応しており、以前のレポートでは、これらを中国のグループとみられるUNC5221の仕業と分析していた。
「Mandiantは、特に法律サービス、SaaS(ソフトウェア・アズ・ア・サービス)プロバイダ、ビジネスプロセスアウトソーサー、テクノロジー企業など、複数の業界セクターにまたがる侵入に対応してきました」とラーセン氏は述べた。「SaaSプロバイダやエッジデバイスメーカーを標的にすることは、特に下流の標的へのアクセスを得る手段として機能しています。」
木曜日に公開された別のレポートで、CrowdStrikeはこのバックドアを、少なくとも2022年から活動している、中国とつながりのある新たなギャングであるWarp Pandaのものとし、米国拠点の法律、テクノロジー、製造業の組織におけるVMware環境を標的とした「複数」の侵入を確認したと述べた。
疑われている中国のスパイ集団は、侵害したネットワークの1つを利用して、アジア太平洋地域のある政府機関に対する「初歩的な偵察」活動を行い、さらにサイバーセキュリティ関連のブログや中国語(マンダリン)のGitHubリポジトリにも接続していた。「少なくとも1件の侵入では、攻撃者は中国政府の関心事項と一致するテーマに取り組む従業員のメールアカウントに特にアクセスしていました」と研究者らは記している。
広報担当者は、このセキュリティ企業がどれだけ多くの侵入を観測したのかについては明言を避けた。
CrowdStrikeは、GoogleやCISAが詳述したものと同様の手法を説明しており、Warp Pandaは通常、インターネットに面したエッジデバイスの脆弱性を悪用して被害者のネットワークにアクセスし、その後、有効な認証情報の使用や脆弱性の悪用を通じてvCenter環境へと横移動するとしている。
レポートで詳述されたある事例では、Warp Pandaは2023年末に侵害ネットワークへの初期アクセスを獲得し、VMware vCenterサーバーにBrickstormを投下しただけでなく、ESXiホストとゲストVMにそれぞれJunctionとGuestConduitという、これまで観測されていなかったGoベースのインプラント2種も展開していた。
「数多くの場面」で、スパイたちは機密データを収集し、流出させるための準備を行っていた。
Warp Pandaはまた、主にOneDrive、SharePoint、Exchangeに保存されたMicrosoft 365データにアクセスする目的で、夏の終わり頃に「複数」の組織のMicrosoft Azure環境にも侵入したと、CrowdStrikeは述べている。
あるケースでは、スパイたちはユーザーのセッショントークンを入手し、Brickstormインプラントを通じてトラフィックをトンネリングし、セッションリプレイによってMicrosoft 365サービスにアクセスした。「攻撃者はさらに、ある組織のネットワークエンジニアリングおよびインシデントレスポンスチームに関連する機密性の高いSharePointファイルにアクセスし、ダウンロードしました」と脅威ハンターたちは記している。
さらに、少なくとも1件のケースでは、侵入者は最初にユーザーアカウントにログインした後、認証アプリのコードを用いて新たな多要素認証(MFA)デバイスを登録することで、永続性を確立していた。
Palo Alto NetworksのUnit 42のコンサルタントおよびインシデントレスポンダーも、このバックドアとその運用者を監視していると、Palo Alto NetworksのUnit 42で国家安全保障プログラムディレクターを務めるピート・レナルズ氏がThe Registerに語った。
「Unit 42は、これらの攻撃者が情報技術および政府ネットワーク内で維持している長期的な潜伏期間と持続的なアクセスに懸念を抱き続けています。これにより、彼らの活動の全容と引き起こされた潜在的な被害が見えにくくなっています」とレナルズ氏は述べた。「Brickstormに加え、UNC5221は永続性を維持するために独自の悪意あるファイルを使い続けており、被害者ごとにカスタムバックドアをネットワーク内に仕込んでいます。被害者間での使い回しが一切ないため、検出は極めて困難です。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/04/prc_spies_brickstrom_cisa/
