シスコ・タロスの研究者によれば、中国のハッカーは過去1年間に、侵害された認証情報と悪用可能なサーバーを組み合わせて、北米の複数の重要インフラ組織への侵入に成功した。
木曜日に公表された調査結果で、研究者らは、中国政府の支援を受けたハッキング集団が「高価値」組織への初期アクセス獲得を任務としていた、昨年開始のキャンペーンを記録した。シスコ・タロスはこのグループを「UAT-8837」と呼んでいる。
アクセスを得た後、脅威アクターはさまざまなツールを用いて認証情報やセキュリティ設定、その他の情報を窃取し、被害組織へのより広範なアクセスを可能にした。
このグループは複数の脆弱性を利用してアクセスを獲得してきたが、シスコ・タロスは、ソフトウェア企業SiteCoreの製品に影響する不具合であるCVE-2025-53690の悪用を伴う複数の侵入を追跡した。
このゼロデイ脆弱性は秋に連邦のサイバーセキュリティ当局によって注目され、すべての連邦民生機関に対し、9月25日までに当該不具合を修正するよう命じられた。当時、Googleはこの不具合に関わるインシデントについて独自の分析を公開し、シスコ・タロスが取り上げたものと同じ事後侵害ツールを少なくとも4つ挙げていた。
シスコ・タロスは、この不具合を標的にしていることは、中国のグループが「ゼロデイエクスプロイトにアクセスできる可能性がある」ことを示していると述べた。
ハッキンググループが使用したツールの一つであるEarthwormは、脅威アクターが内部エンドポイントを攻撃者所有のリモート基盤に露出させることを可能にする。シスコ・タロスによれば、Earthwormは侵入の際に中国語話者の脅威アクターによって広範に使用され、どの内部エンドポイントがエンドポイント保護製品に検知されないかを特定するために用いられてきた。
「その後、検知されないバージョンが、攻撃者が制御するサーバーへのリバーストンネルを作成するために使用される」と彼らは説明した。
中国のハッカーが重要インフラを標的にしていることへの懸念は、12月にSalt Typhoonというグループが議会スタッフが使用するメールプラットフォームを侵害しているのが検知されたインシデントを受けて再燃した。
攻撃の標的となったスタッフは、下院の中国委員会や、外交問題を扱う複数の委員会で働いている。米当局は、連邦機関やその他の重要インフラ組織を標的とする中国政府支援のハッキンググループについて、繰り返し警告してきた。
水曜日には、西側の複数のサイバー機関が、多くの重要インフラ組織で使用される産業システムの中核にある運用技術が直面するデジタル脅威の増大について、警告を発表した。
翻訳元: https://therecord.media/china-hackers-apt-cisco-talos
