中国のサイバースパイは、重要なネットワークへの長期的なアクセスを維持し――時には数年にわたり――そのアクセスを利用してコンピュータにマルウェアを感染させ、データを盗み出していたと、政府機関および民間セキュリティ企業が木曜日に出した警告で明らかにした。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米国家安全保障局(NSA)、カナダ・サイバーセキュリティセンターが共同で出したセキュリティ警告によると、中華人民共和国(PRC)支援の工作員は少なくとも8つの政府サービスおよびIT組織にBrickstormバックドアを感染させていた。
しかし、「まだ連絡を取る機会を得ていない被害者が他にも存在すると論理的に推定できます」と、CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるニック・アンダーセン氏は木曜日、記者団に語り、Brickstormを「非常に高度なマルウェア」と表現した。
このバックドアはLinux、VMware、Windowsの各環境で動作し、アンダーセン氏はマルウェア感染を特定の中国(PRC)のサイバーグループに帰属させることは避けたものの、PRCのグループが米国の重要インフラに対してどれほどの脅威となっているかを示す事例だと述べた。
「国家支援の攻撃者は、単にネットワークに侵入しているだけではありません」とアンダーセン氏は語った。「彼らは長期的なアクセス、破壊行為、さらには妨害行為を可能にするために、自らをネットワーク内部に埋め込んでいるのです。」
CISAが対応したあるインシデントでは、PRCの工作員は2024年4月にその組織の内部ネットワークへのアクセスを獲得し、内部のVMware vCenterサーバにBrickstormをアップロードし、このバックドアを用いて少なくとも9月3日まで持続的なアクセスを維持していた。
被害組織のネットワーク内部にいる間、攻撃グループは2つのドメインコントローラとActive Directory Federation Servicesサーバにもアクセスし、これらを利用して暗号鍵を盗み出した。
米国内の数十の組織がBrickstormの影響を受けているが、その下流の被害者は含まれていない
9月のレポートで初めてBrickstormについて警鐘を鳴らしたGoogle Threat Intelligenceは、Google傘下のMandiantがGitHubで公開したオープンソースのスキャナを組織が実行し、自社のアプライアンス上でバックドアを検出することを「強く」推奨している。
「米国内の数十の組織がBrickstormの影響を受けていると考えていますが、その下流の被害者は含まれていません」と、Google Threat Intelligence Groupの主席アナリストであるオースティン・ラーセン氏はThe Registerに語った。「これらの攻撃者は今もなお米国の組織を積極的に標的にしており、9月のレポート以降もBrickstormやその手口を進化させ続けています。」
Google傘下のMandiantインシデントレスポンスチームは3月以来これらの侵入に対応しており、以前のレポートでは、これらを中国系とみられるグループUNC5221の仕業と判断していた。
「Mandiantは、特に法律サービス、SaaS(ソフトウェア・アズ・ア・サービス)プロバイダ、ビジネスプロセスアウトソーサー、テクノロジー企業など、複数の業種にまたがる侵入に対応してきました」とラーセン氏は述べた。「SaaSプロバイダやエッジデバイスメーカーを標的にすることは、下流の標的へのアクセスを得る手段として機能しています。」
木曜日に公開された別のレポートで、CrowdStrikeはこのバックドアを、少なくとも2022年から活動している新たな中国系ギャングであるWarp Pandaのものとし、米国内の法律、テクノロジー、製造業の組織におけるVMware環境を標的とした「複数」の侵入を確認したと述べた。
疑われている中国のスパイグループは、侵害したネットワークの1つを利用して、アジア太平洋地域のある政府機関に対する「初歩的な偵察」活動を行い、さらにサイバーセキュリティ関連のブログや中国語(マンダリン)のGitHubリポジトリにも接続していた。「少なくとも1件の侵入では、攻撃者は中国政府の関心事項と一致するテーマに取り組む従業員のメールアカウントに、特にアクセスしていました」と研究者らは記している。
広報担当者は、このセキュリティ企業がどれほど多くの侵入を観測したのかについては明言を避けた。
CrowdStrikeは、GoogleおよびCISAが詳述したものと類似した手口を説明しており、Warp Pandaは通常、インターネットに面したエッジデバイスの脆弱性を悪用して被害者ネットワークへのアクセスを獲得し、その後、有効な認証情報を使うか脆弱性を悪用してvCenter環境へと横移動するとしている。
レポートで詳述されたある事例では、Warp Pandaは2023年末に侵害ネットワークへの初期アクセスを得ており、VMware vCenterサーバにBrickstormを設置しただけでなく、ESXiホストとゲストVM上に、それぞれJunctionとGuestConduitという、これまで観測されていなかったGo言語ベースのインプラント2種も展開していた。
「数多くの場面」で、スパイらは機密データを収集し、持ち出しのために準備していた。
Warp Pandaはまた、主にOneDrive、SharePoint、Exchangeに保存されたMicrosoft 365データにアクセスする目的で、夏の終わり頃に「複数」の組織のMicrosoft Azure環境にも侵入したと、CrowdStrikeは述べている。
あるケースでは、スパイらはユーザーのセッショントークンを取得し、Brickstormインプラントを通じてトラフィックをトンネリングし、セッションリプレイを用いてMicrosoft 365サービスにアクセスした。「攻撃者はさらに、ある組織のネットワークエンジニアリングおよびインシデントレスポンスチームに関連する機密性の高いSharePointファイルにアクセスし、ダウンロードしました」と脅威ハンターたちは記している。
加えて、少なくとも1件のケースでは、侵入者は最初にユーザーアカウントへログインした後、認証アプリのコードを用いて新たな多要素認証(MFA)デバイスを登録することで、永続的なアクセスを確立していた。
Palo Alto NetworksのUnit 42のコンサルタントおよびインシデントレスポンダーも、このバックドアとその運用者を監視していると、Palo Alto Networks Unit 42の国家安全保障プログラム担当ディレクターであるピート・レナルズ氏はThe Registerに語った。
「Unit 42は、これらの攻撃者が情報技術および政府ネットワーク内で維持している長期潜伏と持続的なアクセスに懸念を抱き続けています。これにより、彼らの活動の全容や、引き起こされた潜在的な被害の範囲が見えにくくなっているのです」とレナルズ氏は述べた。「Brickstormに加え、UNC5221は永続化のために独自の悪意あるファイルを使い続けており、被害者ごとにカスタムバックドアをネットワーク内に仕込んでいます。被害者間での使い回しが一切ないため、検出は極めて困難です。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/04/prc_spies_brickstorm_cisa/
