- 中国政府が支援するグループSilver Dragonが政府機関を標的に
- 攻撃者がGoogle CloudおよびWindowsサービスを悪用してステルス化
- カスタムバックドアGearDoorが秘密のデータ流出を可能に
中国政府が支援する脅威アクターが、東南アジアとヨーロッパ全域の標的をスパイするための痕跡を隠すために、正当なWindowsおよびGoogle Cloudサービスを悪用しているのが目撃されている。
Check Point Research(CPR)による新しいレポートは、Silver Dragonと呼ばれるグループが2024年半ば以降活動しており、ロシア、ポーランド、ハンガリー、イタリアなどのヨーロッパ諸国の政府機関を標的にしているだけでなく、日本、ミャンマー、マレーシアも標的にしていることを明らかにしている。
Silver Dragonはおもにサイバースパイ活動に従事する悪名高い政府支援の脅威アクターであるAPT41の一部であると思われる。
通常の「ノイズ」を活用する
攻撃は通常、公式の通信になりすまし、武器化されたドキュメントとリンクを共有するフィッシングメールから始まる。または、グループはインターネットに公開されたシステムを狙い、サーバーを侵害して内部ネットワーク内でより深く移行して追加のツールを展開する。
キャンペーンの中心にあるのは、GearDoorと呼ばれるカスタムバックドアで、通常の怪しげなサーバーの代わりにGoogle Driveをコマンド・アンド・コントロール(C2)インフラストラクチャとして使用している。感染した各マシンは専用アカウントにGoogle Cloudフォルダを作成し、定期的なハートビートデータをアップロードし、通常のファイルに偽装したオペレータコマンドを取得する。
盗まれたすべての情報はその同じ場所に流出される。
Silver Dragonはまた、正当なWindowsサービスをハイジャックし、それらを停止して再作成して、信頼できる名前で悪意のあるコードをロードするのが目撃されている。これらにはWindows Update、Bluetooth、および.NET Frameworkユーティリティが含まれる。
通常のシステムアクティビティに溶け込むことで、攻撃者はディフェンダーに発見されることなく、より長くシステム上に留まることができる。CPRは、このタクティクが「システムサービスが定期的なノイズを生成する」大規模な環境で非常にうまく機能すると述べている。
ハッカーはまた、SSHcmdやCobalt Strikeなどの幅広い権昇格後ツールをデプロイしている。前者はリモートコマンド実行とファイル転送を可能にする軽量なSSHユーティリティであり、Cobalt Strikeは脅威アクターによって一般的に悪用されるペネトレーションテストツールである。
「カスタムインフラストラクチャのみに依存するのではなく、政府系アクターはますます正当なエンタープライズシステムと信頼できるクラウドサービス内に自分自身を埋め込んでいる。これは従来の周辺防御の可視性を低下させ、標的ネットワーク内の滞在時間を延長する」とCPRは結論付けた。
「経営幹部にとって、その影響は明らかである:露出はもはや明らかなマルウェアまたは疑わしい外部接続に限定されない。リスクは現在、正当なサービス、クラウドプラットフォーム、および中核となるオペレーティングシステムコンポーネントの微妙な悪用を含む。」
そしてもちろんあなたはまたTikTokでTechRadarをフォローしてニュース、レビュー、ビデオ形式のアンボックスを見ることができ、WhatsAppで私たちから定期的な更新を受け取ることもできます。
