Googleの脅威インテリジェンスグループおよびMandiantの研究者は、ハッカーが数百日間にわたり侵害されたネットワークに潜伏し、貴重な情報を取得した最近の中国のサイバースパイ活動を分析しました。
この攻撃には、中国のAPTであるUNC5221が使用したステルス型バックドア「BrickStorm」が関与しており、2023年のMITREを標的とした攻撃でも使われました。
最新のBrickStormキャンペーンはGoogleの研究者によってUNC5221に関連付けられましたが、他の中国の脅威アクターにも関係しているとされています。UNC5221はしばしばSilk Typhoonと同一視されますが、研究者は同一ではないと考えています。
このキャンペーンは2025年3月からMandiantによって監視されており、攻撃者は法律サービス、SaaS(ソフトウェア・アズ・ア・サービス)、テクノロジー、BPO(ビジネスプロセスアウトソーシング)などの業界を標的としています。
サイバースパイは平均して393日間、標的のネットワークに潜伏していました。これにより、研究者が初期侵入経路を特定するのが困難な場合も多くありましたが、少なくとも1件では、脅威アクターがIvanti製品のゼロデイ脆弱性を悪用したと考えられています。
攻撃者は、従来のEDRや他のセキュリティソリューションがサポートされていない多様なアプライアンスにBrickStormマルウェアを展開していました。
Mandiantは、LinuxやBSDベースのアプライアンスでBrickStormを確認しています。最近の報告では、Windows版のマルウェアも存在しているとされていますが、Mandiantはそれを確認していません。
「BRICKSTORMは多くのアプライアンスタイプで発見されていますが、UNC5221は一貫してVMware vCenterおよびESXiホストを標的としています。複数のケースで、脅威アクターはVMwareシステムに移行する前にネットワークアプライアンスにBRICKSTORMを展開していました」とMandiantは説明しています。「アクターは、ネットワークアプライアンス上で動作するマルウェアによって取得された可能性のある有効な認証情報を使い、環境内のvCenterサーバーに横移動しました。」
広告。スクロールして続きを読む。
最新のBrickStormキャンペーンは高価値の標的を狙っており、その目的は従来のサイバースパイ活動にとどまりません。
中国のハッカーは、侵害したSaaSプロバイダーの下流顧客に移動するために得たアクセス権を利用しました。さらに、Mandiantは、盗まれた情報の一部を使って企業向けテクノロジーのゼロデイ脆弱性を特定したと考えています。
「この侵入キャンペーンの一環として、脅威アクターは多くの企業が利用する企業向けテクノロジーに関連する独自のソースコードやその他の知的財産を盗んでいます」とGoogle CloudのMandiant Consulting CTO、チャールズ・カーマカル氏は説明します。「私たちは、脅威アクターが盗んだソースコードを分析し、企業向けテクノロジー製品に存在する欠陥やゼロデイ脆弱性を見つけて悪用していると考えています。」
「直接的な被害者だけでなく、その下流の組織も存在することを理解することが重要です。これらの企業向け製品のゼロデイを開発することで、脅威アクターはこのテクノロジーを利用する下流企業を標的にできるのです」とカーマカル氏はSecurityWeekに語りました。