サイバーセキュリティ当局と脅威アナリストは木曜日、Googleが以前9月に警告していた、中国政府が支援しているとみられるスパイ活動およびデータ窃取キャンペーンについて、憂慮すべき詳細を明らかにした。少なくとも2022年以降、重要インフラや政府機関のネットワークに長期にわたり潜伏し、発見されずに侵入し続けている中国の能力について、当局が把握できている範囲は限られており、その見通しは厳しい。
「国家支援の攻撃者は単にネットワークに侵入しているだけではなく、長期的なアクセス、妨害、さらには破壊工作を可能にするために、自らを埋め込んでいるのです」と、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるNick Andersen氏は、報道向けブリーフィングで述べた。
Andersen氏が「非常に高度なマルウェア」と表現したバックドア「Brickstorm」により、攻撃者は平均393日という長期にわたる持続的アクセスを実現し、即時のデータ窃取や、その後の他の悪意ある活動への横展開を可能にしていると、Google Threat Intelligence GroupのプリンシパルアナリストであるAustin Larsen氏はCyberScoopに語った。
「Brickstormの影響を受けた米国内の組織は数十社にのぼると考えています。そこには二次被害者は含まれていません」とLarsen氏は述べた。
CISA、国家安全保障局(NSA)、カナダ・サイバーセキュリティセンターは、VMware vSphereおよびWindows環境を標的とし、活動の秘匿、横方向の移動、被害組織ネットワークへのトンネリングを行うとともに、マルウェアが妨害された場合には自動的に再インストールまたは再起動する機能を備えたBrickstormに関する分析レポートを公開した。CISAは、被害組織から入手した8つのBrickstormサンプルに基づく侵害の痕跡(IoC)を提供している。
当局および研究者によると、中国政府支援の攻撃者は主に、政府、IT、法律サービス分野の組織ネットワークにBrickstormを埋め込み、エッジデバイス、SaaSプロバイダー、ビジネスプロセスアウトソーサーを標的として、下流の標的へのアクセスを獲得しているという。
Andersen氏は、影響を受けた政府機関の数や盗まれたデータの種類について明言を避けたが、想定される影響範囲は、これまでに明らかになっているものを大きく上回るとした。「まだ連絡を取る機会を得ていない、追加の被害組織が存在すると考えるのは、論理的な結論だと思います」と同氏は述べた。
CrowdStrikeは、この攻撃をWarp Pandaに、GTIGはこの活動をUNC5221にそれぞれ帰属させており、どちらもBrickstormキャンペーンは少なくとも2022年にさかのぼると述べている。しかし、Brickstormが関与する侵入が検知されたのは昨年の夏になってからだった。
「彼らのインフラ拡張、ツールの進化、クラウドの設定ミスを悪用し続ける能力は、このキャンペーンが依然として非常に活発であることを示しています」と、CrowdStrikeの対アドバーサリー作戦担当シニアバイスプレジデントであるAdam Meyers氏は述べた。
CrowdStrikeによれば、Warp PandaがJunctionとGuestConduitという、これまで観測されていなかった2つのインプラントも展開していることが確認されている。これらすべてのマルウェアはGolangで記述されている。
この脅威グループは、中国政府の関心事項と一致するトピックに関する設定データ、アイデンティティメタデータ、文書、電子メールを盗み出しているとMeyers氏は述べた。
「破壊的な二次行動は確認していませんが、情報価値だけでも極めて大きいものです。この種のクラウド上のデータへのアクセスは、国家主体に対し、インフラをマッピングし、依存関係を研究し、将来の作戦に向けて布石を打つ能力を与えます」と同氏は付け加えた。「このキャンペーンをこれほど危険なものにしているのは、その戦略的な深みを持つスパイ活動であるという点です。」
CISAは、この脅威グループの活動例として、2024年に匿名の組織の内部ネットワークで発生した攻撃の詳細を提供したが、多くの点はいまだ不明のままだ。当局は依然として、その事案で攻撃者がどのように初期アクセスを獲得したのか、いつウェブシェルが設置されたのか、またどのようにして2つ目のアカウントの認証情報を入手し、リモートデスクトッププロトコルを用いてドメインコントローラーへ横移動したのか、といった重要な点を把握できていない。
その事案に関与した攻撃者は、組織のActive Directoryデータベースをコピーし、マネージドサービスプロバイダーのアカウント認証情報を取得し、その認証情報を用いて内部ドメインコントローラーからVMware vCenterサーバーへ移動した。当局によると、攻撃者はさらに複数のサーバーを経由して暗号鍵を盗み出し、権限を昇格させ、それによってサーバーのディレクトリ内にBrickstormマルウェアを展開することが可能になったという。
これらの攻撃は、中国のサイバースパイ活動に対する長年の懸念を再燃・増幅させるものであり、他の著名な中国政府支援の脅威グループに帰属されている「Living-off-the-land」手法に基づく、類似の目的を持つ他のキャンペーンを想起させる。
「過去の中国関連の取り組みと比べると、このキャンペーンは攻撃手法の進化を示しています」とMeyers氏は述べた。「マルチクラウド環境と、それらを結びつけるアイデンティティ基盤に対する深い理解がうかがえます。」
中国がすでに達成している目標や、これらの持続的なバックドアが将来的に攻撃者に何を可能にし得るのかについて、いまだに十分な洞察が得られていないことは衝撃的だ。
Brickstormキャンペーンは、スパイ活動、知的財産の窃取、そしてその後の悪意ある活動に利用され得る持続的アクセスという、複数の目的を巧みに融合させているとLarsen氏は述べた。
この国家主体の攻撃者は、検知ツールを配備できないネットワークの隙間を突き、初期侵入経路の特定に必要なログ保持が不十分であることが多い境界およびリモートアクセスインフラの侵害を優先するなど、極めてステルス性に優れていると同氏は付け加えた。
「この活動を特定するのは極めて困難です。なぜなら、しばしば資産管理が不十分で監視もされていないアプライアンスやエッジデバイスを標的としているからです」とLarsen氏は述べた。「このレベルのオペレーションセキュリティと、『管理不能』なデバイスに焦点を当てている点から、このキャンペーンは、我々が追跡している国家主体の活動の中でも、最も回避性の高いものの一つに位置づけられます。」
翻訳元: https://cyberscoop.com/china-brickstorm-malware-cyber-espionage-campaign-cisa-dhs-alert/
