概要:重要インフラを狙う中国関連ハッカー
高度な脅威アクター「UAT-8837」が、北米の重要インフラシステムを標的とし、既知の脆弱性およびゼロデイ脆弱性を悪用してシステムへの初期アクセスを獲得していることがCisco Talosの研究レポートにより明らかになりました。
2025年以降活動していると見られるこのハッカー集団の主な目的は、標的組織への初期アクセス確保にあるとCisco Talosは指摘しています。過去のレポートでは、別の中国関連アクター「UAT-7290」(2022年以降活動)もアクセス確保を任務としていますが、こちらはスパイ活動にも関与しているとされています。
Sitecoreゼロデイ脆弱性「CVE-2025-53690」の悪用
UAT-8837による攻撃は、通常、侵害された認証情報の悪用、またはサーバーの脆弱性の悪用から始まります。最近のインシデントでは、脅威アクターがSitecore製品のViewState Deserializationゼロデイ脆弱性「CVE-2025-53690」を悪用したことが確認されました。これは、同集団が未公開のセキュリティ問題にもアクセスしている可能性を示唆しています。
Mandiantの研究者らは、2025年9月初旬にCVE-2025-53690が積極的に悪用されているゼロデイ脆弱性であることを報告しており、その攻撃では「WeepSteel」と名付けられた偵察用バックドアが展開されたことが観測されています。
攻撃後の活動と使用されたツール
UAT-8837は、ネットワークへの侵入後、Windowsネイティブコマンドを使用してホストおよびネットワーク偵察を実行し、認証情報収集を容易にするためにRDP RestrictedAdminを無効にする場合があります。Cisco Talosのアナリストは、攻撃者のポストエクスプロイト活動には、認証情報などの機密データを収集するための様々なコマンドを実行するハンズオンキーボード操作が含まれると述べています。
これらの攻撃で観測されたツールに関して、UAT-8837は主にオープンソースおよびLiving-off-the-Landユーティリティを使用し、検出を回避するために継続的にバリアントを切り替えています。Cisco Talosのレポートで強調されているツールの一部は以下の通りです:
- GoTokenTheft, Rubeus, Certipy:アクセストークンの窃取、Kerberosの悪用、Active Directory関連の認証情報および証明書データの収集。
- SharpHound, Certipy, setspn, dsquery, dsget:Active Directoryユーザー、グループ、SPN、サービスアカウント、ドメイン関係の列挙。
- Impacket, Invoke-WMIExec, GoExec, SharpWMI:WMIおよびDCOMを介したリモートシステムでのコマンド実行(検出がブロックされるとツールを切り替え)。
- Earthworm:リバースSOCKSトンネルの作成により、内部システムを攻撃者が制御するインフラに公開。
- DWAgent:アクセス維持と追加ペイロード展開のためのリモート管理ツール。
- Windowsコマンドおよびユーティリティ:パスワードや設定を含むホスト、ネットワーク、セキュリティポリシー情報の収集。
中国関連の関連性
Cisco Talosは、UAT-8837と中国のオペレーションとの関連性について「中程度の確信」を持っており、その評価は「既知の他の中国関連脅威アクターの戦術、技術、手順(TTP)との重複」に基づいています。
攻撃の目的と潜在的影響
分析された侵入で実行されたコマンドから、研究者らは攻撃者が認証情報、ADトポロジ、信頼関係、セキュリティポリシー、および構成を標的としていると結論付けています。少なくとも1回のケースでは、ハッカーは被害者が使用する製品からDLLを抜き出しており、これは将来のトロイの木馬化やサプライチェーン攻撃に利用される可能性があります。