中国政府のために働くハッカーが42カ国の50以上の通信事業者と政府機関に侵入しました。このキャンペーンではクラウドプラットフォームの正当な機能を悪用して、攻撃者の足跡を隠しました。
「攻撃者はAPI呼び出しを使用して、[Software-as-a-Service] アプリと通信し、コマンド・アンド・コントロール(C2)インフラとして悪質なトラフィックを無害に見せかけていました」とGoogleの脅威インテリジェンスグループとMandiantの研究者は水曜日のレポートで述べました。
Googleは「多作で捉えどころのない」中国関連のハッカーチーム(UNC2814として追跡)について、「アフリカ、アジア、アメリカ大陸全域の国際政府機関と世界的な通信機関を標的にした長い歴史を持っている」と述べました。
このグループは最新のキャンペーンの一環として、世界中の53の組織に侵入しました。これはGoogleが「10年間の集中的な努力」を反映した可能性があると述べた大規模な規模です。
「このスケールの多数の侵入は、通常、数年間の集中的な努力の結果であり、容易には再確立されません」とGoogle研究者は述べました。「UNC2814は彼らのグローバルなプレゼンスを再確立するために懸命に働くことが予想されます。」
UNC2814は北京のSalt Typhoonキャンペーンの責任者である脅威アクターとは異なり、「Webサーバーとエッジシステムを悪用して侵入する歴史を持っている」とGoogleは述べました。研究者は2017年以来その活動を追跡しています。
コラボレーションプラットフォームの乗っ取り
最新の操作では(Googleとそのパートナーが先週攻撃者のインフラストラクチャを押収することで破壊した)、UNC2814ハッカーはGoogle Sheets APIの精密な悪用を通じて制御した「GRIDTIDE」というバックドアマルウェアを展開しました。
Googleのレポートによると、GRIDTIDEはセルA1でコマンドを探し、その後セルのデータを活動状況レポートで上書きしました。ハッカーは近くのセルを使用して、追加のツールを被害者のマシンに転送し、ファイルを流出させました。
「シートが準備されると、バックドアはホストベースの偵察を実行します」とGoogleは述べました。これにはターゲットマシン、そのユーザー、およびそのネットワーク環境に関する情報の収集が含まれます。「この情報はその後、攻撃者が制御するスプレッドシートのセルV1に流出・保存されます。」
このキャンペーンの巧妙な技術と広範な影響は、「通信および政府部門に直面する深刻な脅威と、これらの侵入が防御者による検出を回避する能力」を強調しているとGoogleは警告しました。
キャンペーンはSalt Typhoonとは異なりますが、Googleはそれが同様の目標を持っているように見えると述べ、「通信におけるサイバースパイ活動と一致しており、主に関心のある人物を特定、追跡、および監視するために活用されている」と説明しました。
攻撃者をオフラインにする
ハッキングキャンペーンへの対応として、Googleは攻撃者のクラウドプラットフォームアクセスを無効にし、同社とそのパートナーは脅威アクターのWebドメインをシンクホール化しました。
「攻撃者によって制御されたすべてのクラウドプロジェクトを終了し、GRIDTIDEバックドアによって侵害された環境への永続的なアクセスを効果的に遮断しました」と研究者は述べました。
Googleはまた、グループが2023年以来使用してきたインフラストラクチャに関連した侵害の指標を公開し、GRIDTIDEを検出するためにシグネチャベースのマルウェア検出を更新し、クラウドセキュリティのお客様が環境内の潜在的な侵害をスキャンするために使用できる検索クエリを提供しました。
同社はキャンペーンの被害者に通知したと述べました。
翻訳元: https://www.cybersecuritydive.com/news/china-cyberattacks-telecommunications-google-sheets/813082/
