サイバーセキュリティ企業Recorded Futureの報告によると、中国のサイバー諜報グループが、少なくとも2社の米国防請負業者およびアメリカ大陸、ヨーロッパ、アジア、アフリカのさまざまな組織を侵害しました。
2024年7月から2025年7月の間に、RedNovemberとして追跡されている脅威アクターが、政府、防衛、航空宇宙、その他の業界を含む世界中の重要な組織を標的にしているのが確認されました。
初期アクセスのために、サイバースパイはCisco、F5、Fortinet、Ivanti、Palo Alto Networks、SonicWall、SophosのエッジデバイスやOutlook Web Access(OWA)インスタンスを侵害しました。
攻撃の一環として、RedNovemberはPanteganaと呼ばれるGoベースのバックドア、Cobalt StrikeやSparkRATなどの攻撃用セキュリティツール、初期アクセス・偵察・後続活動のためのオープンソースツールを展開しました。
Recorded Futureの指摘によると、この脅威アクターは、Panteganaをコマンド&コントロール(C&C)フレームワークとしてCobalt Strikeとともに使用することで知られており、サーバー管理には引き続きExpressVPNを利用し、インフラへのリモートアクセスにはWarp VPNも採用している可能性が高いとされています。
サイバーセキュリティ企業は、サイバー諜報グループが中国での国賓訪問前に南米の国のOWAポータルや、東南アジアおよび南米の外務省のOWAポータルを標的にしていたことを観測しました。
過去1年間で、このグループはアフリカ、アジア、ヨーロッパ、南米の複数の国の政府および外交組織を標的にしており、東南アジアに拠点を置く政府間組織への長期間のアクセスを維持していたと考えられています。
RedNovemberは、米国の著名な航空宇宙・防衛組織や防衛産業基盤の団体、さらに欧州の宇宙関連研究センターを含む他の世界的な防衛組織も標的にしていたことが確認されています。
広告。スクロールして続きをお読みください。
2025年4月、このグループは米国のエンジニアリングおよび軍事請負業者を標的にしました。脅威アクターのインフラと、組織内のインターネットに接続可能な2つのICS VPNエンドポイントとの間で通信が確認されましたが、Recorded Futureは侵害が成功したと結論付けるのに十分な証拠は見つかりませんでした。
「また2025年4月、RedNovemberは米海軍関連の高等教育機関に割り当てられたIPアドレス空間に対して広範な偵察活動を行いました」とサイバーセキュリティ企業は指摘しています。
このサイバー諜報グループは、欧州の製造企業、グローバル法律事務所、台湾のIT企業、米国の石油・ガス会社2社、フィジーの複数の金融機関、政府機関、メディア組織、交通当局などの民間組織も標的にしていたことが観測されています。
その他の標的には、米国の新聞、米国のエンジニアリングおよび軍事請負業者、韓国の科学研究機関および原子力規制機関2カ所が含まれます。
Recorded Futureによると、RedNovemberの攻撃キャンペーンは主に偵察と、Palo Alto Networks GlobalProtectファイアウォール、Ivanti Connect Secureインスタンス、Check Point VPNゲートウェイ、Sophos UTMログインポータル、SonicWall SonicOSおよびSonicWall SSL-VPNインスタンス、F5 BIG-IPデバイスなど、エッジデバイスの新たに公開された脆弱性の悪用に焦点を当てています。
サイバーセキュリティ企業は「RedNovemberは他の中国の国家支援型脅威活動グループとともに、今後もエッジデバイスを標的にし、脆弱性が公開されて間もなく悪用を続ける可能性が極めて高い」と考えています。
関連記事: Cisco、ルーターとスイッチに影響するゼロデイ脆弱性を修正
関連記事: FBI、偽IC3ウェブサイトについて警告
関連記事: TurlaとGamaredon、ウクライナへの新たな侵入で協力
関連記事: 脅威アクター、新しいRATでホテルを感染
翻訳元: https://www.securityweek.com/chinese-cyberspies-hacked-us-defense-contractors/
