Bitdefender の研究者は、南シナ海地域の各国における高位組織を標的とした一連のインシデントを調査しました。これらはすべて、当社が Unfading Sea Haze として追跡している同一の脅威アクターによって実行されたものです。被害状況およびサイバー攻撃の目的に基づき、この脅威アクターは中国の利益と足並みをそろえていると考えられます。
地域の緊張が高まるにつれ、それは Unfading Sea Haze アクターによる活動の活発化としても表れており、同アクターは新たに改良されたツールと TTP(戦術・技術・手順)を使用しています。
私たちは複数回にわたり、このアクターが被害者のシステムへのアクセスを取り戻していることを確認しました。その原因は、認証情報の管理が不適切であったり、エッジデバイスや公開 Web サービスに対するパッチ戦略が不十分であったりしたためです。そこで本稿では、セキュリティを確保するために不可欠なベストプラクティスを順守することの重要性について注意喚起するとともに、Unfading Sea Haze によるスパイ活動の検知と妨害に役立つ情報をコミュニティと共有することを目的としています。
主な発見事項
Unfading Sea Haze は、少なくとも 8 つの軍および政府組織に影響を与えており、少なくとも 2018 年から活動している脅威アクターです。
- Unfading Sea Haze が使用する感染ベクターの 1 つは、SerialPktdoor バックドアを展開する lnk を含む zip アーカイブを用いたスピアフィッシングです。
- Unfading Sea Haze の侵害後活動における主なツールは、.NET ペイロードである sharpJsHandler と SerialPktDoor、そして 2 種類の Gh0stRat 亜種(EtherealGh0st と FluffyGh0st)です。これらは、同アクターが少なくとも 2018 年から使用している 2 つの古い亜種 TranslucentGh0st と SilentGh0st から進化したものです。
- このアクターは、正規の RMM(リモート監視・管理)ツールを、被害者ネットワークへのバックアップのアクセス手段として使用しています。
- 活動の目的はスパイ行為であり、doc、docx、pdf、txt、ppt ファイルに関心を示すほか、ブラウザのデータやクッキーを標的とし、Telegram、Viber、その他のメッセージングアプリのファイルも流出させています。
攻撃の詳細な分析は、以下のホワイトペーパーでご覧いただけます。
侵害の痕跡(IoC)
現在判明している侵害の痕跡は、ホワイトペーパーに記載されています。Bitdefender Threat Intelligence のお客様は、この攻撃に関する付加的で文脈に富んだインサイトにアクセスできます。Bitdefender IntelliZone ポータルの Threat ID BDx8y3ujm3X には、追加の TTP や可視化情報が含まれています。Bitdefender Threat Intelligence ソリューションの詳細については、製品ページをご覧ください。
