TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

中国関与の「Warp Panda」が北米企業を標的としたスパイ活動キャンペーンを展開

CrowdStrike は、中国政府の優先事項を支援する目的で、北米の法律、テクノロジー、製造業の企業を標的とする「Warp Panda」による高度なサイバースパイ活動キャンペーンを確認した。

このこれまで知られていなかった脅威アクターは、高度な技術的洗練度、進んだオペレーション・セキュリティ(OPSEC)スキル、およびクラウドや仮想マシン(VM)環境に関する広範な知識を示していると、CrowdStrike が共有した情報によれば報告されている。

同サイバーセキュリティ企業は、2025年の夏の間に、敵対者がVMware vCenter環境を標的とした複数の事例を特定したと述べた。

CrowdStrike の調査結果によると、Warp Panda は侵害されたネットワークの 1 つへのアクセスを利用して、アジア太平洋地域のある政府機関に対する初歩的な偵察活動を行った可能性が高い。

このハッカー集団は、さまざまなサイバーセキュリティ関連ブログや、中国語(標準中国語)による GitHub リポジトリとも関連付けられている。

少なくとも 1 回の侵入において、敵対者は、中国政府の関心事項と一致するテーマに取り組む従業員のメールアカウントに特にアクセスしていた。

この敵対者は主に北米の組織を標的とし、一貫して侵害ネットワークへの持続的かつ秘匿されたアクセスを維持しており、これは中華人民共和国(PRC)の戦略的利益に沿った情報収集活動を支援する目的であるとみられる。

長期的かつ持続的な悪意ある活動

この活動は長期的かつ持続的なものと説明されており、2023年のある侵入が Warp Panda にとっての初期アクセス地点となった。CrowdStrike は、この脅威アクターが少なくとも 2022 年から活動しているとコメントしている。

同社は中程度の確信度をもって、この脅威アクターが今後も短期から長期にわたり情報収集活動を継続する可能性が高いと評価している。

この長期的なアクセス確保に焦点を当てた作戦から、彼らがサイバースパイ能力に多大な投資を行っている、資金とリソースが潤沢な組織に属していることが示唆される。

敵対者は、VMware vCenter サーバー上にBRICKSTORM マルウェアを展開していることが確認されている。これは Golang で記述されたバックドアであり、しばしば updatemgr や vami-http といった正規の vCenter プロセスを装う。

Warp Panda はまた、これまで観測されていなかった 2 種類の Golang ベースのインプラント –  Junction と GuestConduit – を、それぞれ ESXi ホストおよびゲスト VM 上に展開した。

12月4日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、被害者システム上で長期的な永続性を確保するために、PRC が支援する国家レベルのサイバーアクターが BRICKSTORM マルウェアを使用していることを確認する共同勧告を公表した。この勧告では、VMware vSphere プラットフォームも標的となっていることが指摘されている。

CISA の分析によると、このサイバー脅威アクターは、少なくとも 2024年4月から 2025年9月3日までの間、永続的なアクセスのためにBRICKSTORMを使用していた。

Warp Panda はしばしば、インターネットに面したエッジデバイスの脆弱性を悪用して初期アクセスを獲得し、その後、有効な認証情報の使用や vCenter の脆弱性の悪用を通じて vCenter 環境へと横展開する、と CrowdStrike は指摘している。侵害されたネットワーク内で横方向に移動するために、敵対者は SSH と、権限を持つ vCenter 管理アカウントである vpxuser を使用する。

一部の事例では、ホスト間でデータを移動するために、セキュア・ファイル転送プロトコル(SFTP)を使用していたことが CrowdStrike によって確認されている。

TTP(戦術・技術・手順)には、ログの消去やファイルのタイムスタンピングに加え、悪意ある VM の作成(vCenter サーバーには未登録のまま)および使用後のシャットダウンも含まれる。

正規のネットワークトラフィックに紛れ込むために、敵対者は vCenter サーバー、ESXi ホスト、ゲスト VM を経由してトラフィックをトンネリングする目的で BRICKSTORM を使用している。

BRICKSTORM インプラントは正規の vCenter プロセスを装い、ファイル削除やシステム再起動後もインプラントが生き残ることを可能にする永続化メカニズムを備えている。

さらに Warp Panda は、作戦行動の中で、エッジデバイスおよび VMware vCenter 環境に存在する複数の脆弱性を悪用している。

翻訳元: https://www.infosecurity-magazine.com/news/chinalinked-warp-panda/

ソース: infosecurity-magazine.com
#Brickstormマルウェア #CrowdStrike調査レポート #VMware vCenter攻撃 #Warp Panda #クラウド・仮想環境セキュリティ #サイバー諜報活動 #中国系APT #北米企業標的型攻撃 #国家支援ハッカー(中国) #長期潜伏型サイバー攻撃

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新