Palo Alto NetworksのUnit 42によると、捉えどころがなく持続的な新たに確認された中国のスパイグループが、中東、アフリカ、アジアの地政学的に重要なほぼ10の標的に対し、特定の戦術と極めて高いステルス性を駆使して検知を回避し、攻撃を行っていることが明らかになりました。
Phantom Taurusは、他の中国の脅威グループとは異なる独自開発のマルウェアやバックドアのセットを含むツールを使用していると、Palo Alto NetworksのCortex部門で脅威リサーチディレクターを務め、2022年からこのグループの調査を主導してきたAssaf Dahan氏は述べています。
北京の利益に沿った長期的な情報収集活動を行う未公開の脅威グループの発見は、中国の攻撃的なスパイ活動が世界的に拡大していることを浮き彫りにしています。国家主導の脅威のおよそ4分の3は、中国政府の利益のために発生、または活動しているとDahan氏はCyberScoopに語りました。
Unit 42はPhantom Taurusの被害者名を明かしていませんが、同グループが外務省、大使館、外交官、通信ネットワークが運営するネットワークに侵入し、政府首脳間の主要なサミットや政治・経済イベントに関する機密かつタイムリーなデータを盗み出していると述べています。
Phantom Taurusは、狙いを定めたネットワークへの持続的なアクセスを確保し、必要な時に随時データを盗み出せるようにしています。Unit 42の研究者は、約2年前からアクセスが継続していたケースに対応したとDahan氏は述べました。
この脅威グループは依然として活動を続けており、標的とする組織を増やすことでその範囲を拡大しています。「最新の活動はほんの数か月前で、少なくとも世界の2つの地域で非常に活発に動いているのを確認しました」とDahan氏は述べています。
Unit 42は、今回のレポートによって、グループの特殊なマルウェア、侵害の痕跡、戦術・技術・手順に関する詳細が明らかになり、さらなる被害者が特定されると予想しています。
Phantom Taurusは、3つの異なるウェブベースのバックドアで構成される新たに特定されたNET-STARマルウェアスイートを含む、複数のマルウェアを使用しています。これらのバックドアは、コマンドライン引数や任意のコマンド・ペイロードのインメモリ実行、.NETペイロードの読み込みと実行をサポートしており、より厳重に監視された環境でも検知を回避できる能力を備えているとUnit 42は説明しています。
「これらのマルウェアは極めて高いステルス性を持つよう設計されており、レーダーに映らず、秘密裏に本当に機密性の高い組織に侵入することができます」とDahan氏は述べています。Phantom Taurusは、他の複数の中国のスパイグループと共通のインフラやツールも一部利用していますが、Unit 42はこの特殊なマルウェアスイートを使用している他のグループは把握していません。
このグループは、既知の脆弱性を悪用できるインターネットに接続されたデバイスを特定することで、ネットワークへの侵入を果たすことが多いとDahan氏は述べています。「このグループの高度な技術力は本当に群を抜いています。しかし、実際に侵入の足がかりを得る方法は、ほとんどの場合パッチ未適用のサーバーを悪用するという基本的なものです」と彼は付け加えました。
Phantom Taurusのツール、能力、標的、その他活動の痕跡から、Unit 42はこのグループが独自であり、他のリサーチ会社が特定したグループとは重複しないと確信しています。
「彼らの手口全体が他の中国の脅威アクターとは明確に異なっています」とDahan氏は述べました。「他のグループと間違えることはありません。」
翻訳元: https://cyberscoop.com/phantom-taurus-china-espionage-group/
