TokyoBlackHatNews

breached.company 5分で読了

中国のAPT「UAT-8837」、北米の重要インフラに対し高度なキャンペーンを展開

Cisco Talos、中国と関係する脅威アクターがゼロデイ攻撃と高度なツールキットを用い、高価値組織を標的にした攻撃を実施していることを明らかに

北米全域の重要インフラ運用者に対する厳しい警告として、Cisco Talosは、UAT-8837が主導する継続中のスパイ活動キャンペーンの詳細を公開した。UAT-8837は中国と関係する高度持続的脅威(APT)アクターで、少なくとも2025年以降、高価値組織を体系的に標的としてきた。このキャンペーンは、大陸の最重要資産に対する国家支援型サイバー作戦がさらにエスカレートしていることを示す、また一つの事例である。

脅威アクター:UAT-8837

Cisco Talosは中程度の確信度で、UAT-8837が中国のより広範なサイバー諜報体制の一部として活動していると評価している。この結論は、既知の中国系脅威アクターとの戦術的な重なりに基づくものだ。同グループの作戦上の焦点は明確で、北米の重要インフラ分野に属する高価値組織への初期侵入(Initial Access)を確立することにあるように見える。

多くの脅威アクターと比べてUAT-8837を際立たせているのは、サイバー侵入の初期侵入段階に特化しているように見える点だ。複数の侵害で観測された侵入後の活動に基づき、研究者は同グループがアクセスブローカーとして機能し、他の中国の国家支援チームによるより広範な諜報活動を可能にする足掛かりを構築している可能性があるとみている。

一見すると散発的に見える標的選定のパターンも、北米の経済・安全保障上の利益を支える重要インフラ組織に意図的に焦点を当てていることが明らかになる。

ゼロデイ脆弱性の悪用

UAT-8837キャンペーンで最も懸念される点は、脅威アクターがゼロデイエクスプロイトにアクセスできることを示している点だ。直近では、同グループはSitecore製品における重大なViewStateデシリアライゼーション脆弱性であるCVE-2025-53690を悪用し、被害組織に侵入した。

CVE-2025-53690:サプライチェーンの時限爆弾

このSitecoreの脆弱性はCVSSスコア9.0で、特に悪質な原因に由来する。2017年以前に公式の導入ドキュメントで公開されていたASP.NETのサンプルmachine keyがそれだ。これら初期の導入ガイドに従った組織は、意図せず本番環境に深刻なセキュリティ欠陥を持ち込んでしまった。

この脆弱性は複数のSitecore製品に影響する:

  • Sitecore Experience Manager(XM)
  • Sitecore Experience Platform(XP)
  • Sitecore Experience Commerce(XC)
  • Sitecore Managed Cloudのデプロイ

攻撃者が露出したmachine keyを入手すると、検証メカニズムを回避する悪意あるViewStateペイロードを作成でき、システム権限でのリモートコード実行につながる。米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は2025年9月、CVE-2025-53690を「Known Exploited Vulnerabilities(既知の悪用されている脆弱性)」カタログに追加し、連邦政府の民生機関に対して9月25日までに当該欠陥を修正するよう義務付けた。

UAT-8837によるこのゼロデイ悪用と、GoogleのMandiantチームが文書化したキャンペーンとの戦術的な重なりは、中国の情報機関内で脆弱性の兵器化に関する協調的なアプローチが取られていることを示唆している。

侵入後ツールの「スイスアーミーナイフ」

初期侵入後、UAT-8837は顕著な運用上の柔軟性を示し、オープンソースとカスタムの両方からなる広範なツール群を展開する。脅威アクターのツールキットは、検知回避とラテラルムーブメント(横展開)の手法に対する高度な理解を示している。

ネットワークトンネリングとリモートアクセス

Earthwormは、UAT-8837の主要なネットワークトンネリング手段として機能する。中国語話者の脅威アクターに広く使用されているこのツールにより、攻撃者は内部ネットワークのエンドポイントを外部インフラに公開できる。Cisco Talosは、脅威アクターがEarthwormの複数バージョンを展開し、エンドポイント保護製品を回避できるものを特定するために亜種を切り替えていることを観測した。検知されないバージョンは、その後、さまざまなポート(80、443、447、448、1433、8888、11112)を介して攻撃者管理下サーバーへのリバーストンネルを確立するために使用される。

DWAgentはオープンソースのリモート管理ツールで、侵害されたシステムへの永続的なアクセスを提供する。UAT-8837は、この正規ソフトウェアを継続的なリモートアクセスおよび追加マルウェアの展開に悪用しており、ツール自体が本質的に悪性ではないため検知がより困難になる。

Active Directoryの偵察

UAT-8837は、複数のツールを通じて高度なActive Directory(AD)標的化能力を示している:

SharpHoundは包括的なAD列挙を可能にし、ドメインの関係性、権限、潜在的な攻撃経路をマッピングする。このBloodHoundコレクターにより、脅威アクターはドメインアーキテクチャの全体像を把握できる。

CertipyはADの探索と悪用の両方を支援し、攻撃者がActive Directory Certificate Services(ADCS)における設定不備を特定して、権限昇格や永続化に悪用できるようにする。

翻訳元: https://breached.company/chinese-apt-uat-8837-wages-sophisticated-campaign-against-north-american-critical-infrastructure/

ソース: breached.company
#Active Directory攻撃 #CISA(既知の悪用脆弱性) #CVE-2025-53690 #Sitecore #UAT-8837 #サイバー諜報 #ゼロデイ攻撃 #中国系APT #北米 #重要インフラ

関連記事

サードパーティのメールベンダーが侵害され、Flickrの3,500万人のユーザーデータが流出

フリード・フランクのデータ侵害でJPMorganとゴールドマン・サックスのプライベート・エクイティ投資家を含む46,000人超が露出:ウォール街のエリート法律事務所が大手銀行顧客にとっての「負債」に

SoFi Technologiesのデータ侵害で数万人分が流出:フィンテック利用者が知っておくべきこと