TokyoBlackHatNews

cybersecuritydive.com 4分で読了

中国関連グループが巧妙なマルウェアを使い、ソフトウェアサプライヤーをハッキングし、国家安全保障や貿易データを窃取

この音声は自動生成されています。ご意見があればお知らせください。

ワシントン— 中国政府と関係のある高度なハッカーが、テクノロジー企業やSaaSプロバイダー、法律事務所に巧妙なマルウェアで侵入し、これらの企業やその顧客から機密データを密かに盗み出していると、Googleが水曜日に発表しました

Googleによると、ハッカーたちはサービスプロバイダーからその顧客のネットワークへと侵入先を切り替え、法律事務所内の特定人物のメールを調査し、米国の国家安全保障や国際貿易に関する情報を探していたとのことです。

また、攻撃者は広く使われている企業向けテクノロジーのソースコードも盗み出しており、これは未公開の脆弱性を分析し、将来の攻撃に利用するためとみられるとGoogleは述べています。企業向けテクノロジーベンダーへの一部の侵害では、ソフトウェア開発者のメールボックスを調べ、製品の欠陥情報を探していました。

UNC5221という中国関連グループが大半の攻撃を行っているとGoogleは指摘していますが、異なるチームがツールを共有することが多いため、他の中国関連グループも関与している可能性が高いと同社は述べています。

このキャンペーンは現在も進行中であると、Googleのサイバーセキュリティ専門家が火曜日、ワシントンで開催された同社のCyber Defense Summitの記者説明会で語りました。

「これは米国で起きていることであり、次のレベルの活動です。今後さらに多くのことが明らかになるでしょう」と、GoogleのThreat Intelligence Group(GTIG)の主任アナリスト、ジョン・ハルトクイスト氏は述べました。

ハルトクイスト氏はこのキャンペーンを「非常に優れた諜報活動」と表現し、主要ベンダーからその顧客へと攻撃対象を移す動きは、ロシアのSolarWinds諜報キャンペーンなど他のサプライチェーン事件を想起させると述べました。「彼らは上流に移動し、興味のあるターゲットを選び取っているのです。」

隙間に潜む

Googleによると、このキャンペーンの警戒すべき要素は、ハッカーがBrickstormと呼ばれるマルウェアのバックドアを、VMware ESXiハイパーバイザーやメールセキュリティゲートウェイ、脆弱性スキャナーなど、エンドポイント検出・対応(EDR)やウイルス対策ソフトが動作しないシステムに仕込んでいることです。EDRを回避することで、通常のハッカーよりもはるかに長期間潜伏できるようになり、Googleによれば被害者が侵入に気付くまで平均393日かかっているとのことです。これは近年の攻撃検知の改善傾向に逆行する、驚くほど長い「潜伏期間」です。

Googleは、企業が自社ネットワークにBrickstormの痕跡がないかスキャンできるツールや、バックアップから過去の侵入証拠を検索できるYARAルールを公開します。Googleの専門家によれば、ハッカーは痕跡を消すのが非常に巧みです。

多くの組織が「過去の侵害や現在進行中の侵害の証拠を発見することになるでしょう」と、GoogleのMandiant部門の最高技術責任者チャールズ・カーマカル氏は述べました。

Brickstormマルウェアの兆候を確認した企業は、徹底的な調査を行う必要があると彼は付け加えました。「これは非常に高度な敵対者です。」

忍耐強い敵、長期的な波及効果

侵入の主な中国関連グループであるUNC5221は、「ここ数年、米国で最も頻繁かつ深刻、複雑な攻撃を行っている敵対者です」とカーマカル氏は記者団に語りました。

UNC5221のハッカーは非常に巧妙で、同じIPアドレス上のインフラを複数の攻撃で使うことはなく、パターンを作らないようにしています。「彼らを検知し、調査するのは非常に困難です」と彼は述べました。

攻撃者はまた、忍耐強いのも特徴です。ある調査では、Googleはハッカーがバックドアを数か月間休眠状態に設定し、被害者が侵入の兆候を調査している間は動かさなかったことを確認しました。「巧妙ですが、彼らが長期戦を見据えていることも示しています」とGTIGの主任脅威アナリスト、オースティン・ラーセン氏は述べました。

多くの企業が初期アクセス時点のログが自動削除された後になって侵入に気付くため、Googleの研究者たちはハッカーの初期侵入手段を特定するのが難しいと述べています。しかし同社は、攻撃者が「境界やリモートアクセスのインフラ」を侵害している証拠があるとし、Ivanti Connect Secure VPNやその他複数のエッジデバイスが含まれるとしています。UNC5221は過去2年間、Ivantiの脆弱性を悪用してきた主要グループの一つです。

Googleの専門家は、被害企業やサプライヤー経由でハッキングされた企業を含め、被害者の特定は控えました。多くの被害者がまだ侵害の対応中であるためです。同社は、攻撃の全容をさらに把握し、潜在的な被害者に警告するため、今回キャンペーンの存在を公表したと述べています。

このキャンペーンの影響は「これから6か月、12か月、18か月、24か月後にも響き続けるでしょう」とカーマカル氏は述べ、「その間に新たな事実が明らかになり、新たな被害者が侵害を公表することになるでしょう」と語りました。

翻訳元: https://www.cybersecuritydive.com/news/china-espionage-supply-chain-cyberattack-backdoor-malware/760917/

ソース: cybersecuritydive.com
#2025年サイバー攻撃 #AIマルウェア #Brickstorm #Googleサイバーセキュリティ #UNC5221 #サプライチェーン攻撃 #ゼロデイ脆弱性 #中国ハッカー #企業情報漏洩 #国家安全保障

関連記事

トランプ大統領、強力なAIモデルへの政府早期アクセスを求める大統領令に署名

Red Hat の npm パッケージ30件超がサプライチェーン攻撃の標的に

Anthropic、重要インフラ事業者を含む150以上の組織にMythosを拡大提供