概要

Googleは、業界パートナーと協力して、中国関連のサイバー諜報グループUNC2814（GRIDTIDEキャンペーン）のインフラストラクチャを破壊しました。このグループは少なくとも53組織を侵害し、42カ国に影響を与えました。

GRIDTIDEの特徴

GRIDTIDEは、Google Sheets APIを使用してC2通信を行うバックドアであり、悪意のあるトラフィックを良性と偽装します。また、ファイルアップロード/ダウンロードや任意のシェルコマンドの実行をサポートしています。

攻撃手法

• 初期アクセス：UNC2814はウェブサーバーやエッジシステムを標的としています。
• C2通信：GRIDTIDEは、特定のスプレッドシートセルを使用してC2通信を行います。A1セルは攻撃者のコマンドをポーリングし、応答を返します。
• 持続性：UNC2814は/mnt/systemd/system/xapt.serviceサービスを作成し、マルウェアのインスタンスを生成します。

対策と影響

Googleは、攻撃者のコントロール下にあるすべてのGoogle Cloudプロジェクトを終了し、GRIDTIDEに関連する既知のインフラストラクチャを無効にしました。また、攻撃者によって制御されたアカウントへのアクセスも遮断しています。

結論

UNC2814は、最近数年間で遭遇した最も広範囲かつ影響力のあるキャンペーンの一つであり、テレコミュニケーションや政府セクターに対する深刻な脅威を示しています。これらのインフラストラクチャが検出を避ける能力を持つため、長期的なアクセスを得るための継続的な努力が必要です。

元記事: https://thehackernews.com/2026/02/google-disrupts-unc2814-gridtide.html