中国関連の集団は、最新の侵入キャンペーンでアメリカ大陸、アジア、アフリカの通信会社と政府機関を攻撃するためのユニークな手口を見つけた。Googleの脅威インテリジェンスは、名前が明かされていない業界パートナーとともに、このギャングを阻止した。彼らはChocolate Factory(Googleの別称)のスプレッドシートツール自体を悪用の一部として使用していた。
Chocolate FactoryはGoogle Threat Intelligence Group主導のアクションを水曜日に発表し、他のチームとのパートナーシップで、2017年以来GTIGが追跡しているUNC2814グループが制御していたすべてのGoogle Cloud Projectsを終了したと述べた。彼らはまた、既知のUNC2814インフラストラクチャとアカウントをすべて無効にし、中国のスパイが指揮統制(C2)目的で使用していたGoogle Sheets APIコールへのアクセスを取り消した。
“2月18日現在、GTIGの調査では、UNC2814が4大陸の42か国の53の被害者に影響を及ぼしており、少なくとも20か国以上の疑わしい感染を特定している”と脅威ハンターはレポート内で述べた。
彼らはまた、UNC2814がSalt Typhoonと観測可能な重複を持たないことに注意した。Salt Typhoonは北京の支援を受けた別のグループで、アメリカの主要な通信会社をハッキングし、情報を盗んだ。それはほぼすべてのアメリカ人に属する情報で、2019年にまでさかのぼる。
Googleのエンジニアたちは、このキャンペーンでUNC2814がどのように被害者の環境に初期アクセスを獲得したかについては知らないが、疑わしい中国政府の集団は、歴史的にWebサーバーとエッジシステムを悪用・侵害することで侵入していると述べた。
“具体的なターゲティングについては可視性がありませんが、以前のPRC関連のテレコム対象のスパイ活動侵入は、特に反体制派や活動家、ならびに従来のスパイ活動ターゲットのような個人や組織を監視目的でターゲットにしてきました”と、GTIG技術リーダーのDan PerezはThe Registerに述べた。”UNC2814がこのキャンペーン中に達成した種類のアクセスは、おそらくこの種のオペレーションを可能にするでしょう。”
Perezは、脅威グループのインフラストラクチャを排除するために協力した具体的な業界パートナーの名前を明かすことを拒否した。
セキュリティ調査員は、顧客環境における疑わしいアクティビティに関するMandiant調査中にこのキャンペーンを発見した。具体的には、このバイナリ「/var/tmp/xapt」がroot権限でシェルを開始し、その後、システムのユーザーおよびグループ識別子を取得するコマンドを実行して、rootへの権限昇格に成功したことを確認した。
Googleは、ペイロードがDebian/Ubuntuシステムのコマンドラインツールにちなんで「xapt」という名前が付けられたと疑っており、これは被害者の環境に隠れやすくし、正当なツールのように見えるようにするためだと考えられている。
侵入者はまた、正当なGoogle Sheets API機能を悪用して指揮統制(C2)トラフィックを偽装する新しいバックドア「Gridtide」を使用した。MandiantはGridtideをUNC2814に関連付けている。
侵入後、スパイはSSHを経由して横展開を行い、偵察を実行し、権限を昇格させ、その後、ユーザーがセッションを閉じた後でも実行できるコマンド「nohup ./xapt」を使用してGridtideバックドアをデプロイした。
“その後、SoftEther VPN Bridgeが展開され、外部IPアドレスへのアウトバウンド暗号化接続が確立された”と脅威インテリジェンスチームは書いた。”VPN設定メタデータは、UNC2814が2018年7月からこの特定のインフラストラクチャを活用していることを示唆している。”
CベースのバックドアはGoogle SheetsをC2プラットフォームとして使用し、シェルコマンドを実行でき、ファイルをアップロードおよびダウンロードできる。この場合、攻撃者は個人情報を含むエンドポイントにGridtideをデプロイした。おそらく関心のある人物の特定と追跡が目的で、個人情報には姓名、電話番号、生年月日と出生地、投票者ID、国民IDナンバーが含まれていた。
Googleの対応チームが実際のデータ盗難を観測していませんが、以前の中国政府のスパイキャンペーンは通話データレコードの盗難と暗号化されていないSMSメッセージ、および通信会社の合法的な盗聴システムの悪用が関与していた。
GTIGは、このキャンペーンのすべての被害者に通知し、侵害されたユーザーを「積極的にサポート」していると述べている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/25/google_and_friends_disrupt_unc2814/
