概要

中国政府に結びつくハッカー集団が、42カ国以上の50を超える通信会社や政府機関を攻撃した。このキャンペーンでは、クラウドプラットフォームの正当な機能を利用して攻撃者の足跡を隠す巧妙な技術が使用された。

攻撃手法

Googleの脅威インテリジェンスグループとMandiantは、この攻撃者がソフトウェア・アズ・ア・サービス（SaaS）アプリケーションをコマンド＆コントロール（C2）インフラストラクチャとして使用し、悪意のあるトラフィックを通常のものに偽装する方法で活動していると報告した。

攻撃者の特徴

• Googleはこの「活発で見つけにくい」中国関連のハッカー集団をUNC2814として追跡しており、アフリカ、アジア、アメリカ大陸の国際政府やグローバルな通信組織を長年にわたって標的としてきた。
• UNC2814は、ウェブサーバーやエッジシステムの脆弱性を悪用して侵入する傾向がある。

最新の攻撃

この最新のキャンペーンでは、UNC2814がGoogle Sheets APIを巧妙に利用し、「GRIDTIDE」というバックドアマルウェアを展開した。GRIDTIDEはA1セルでコマンドを探し、そのセルのデータを活動状況レポートで上書きする。

影響と対策

• Googleは攻撃者のクラウドプラットフォームへのアクセスを停止し、パートナーとともに攻撃者のインフラストラクチャをシナホール（sinkhole）にした。
• Googleはインジケーター・オブ・コムプロイズ（IOC）も公開し、2023年以来使用されているインフラストラクチャの更新版検出ツールも提供した。

結論

このキャンペーンは通信業界と政府セクターに対する深刻な脅威を示しており、これらの侵入が防御者によって容易に見つかる可能性があることを強調している。

元記事: https://www.cybersecuritydive.com/news/china-cyberattacks-telecommunications-google-sheets/813082/