サイバーニュース.jp

世界のサイバーなニュースを配信

アジアの国家支援型ハッカー集団「TGR-STA-1030」が70以上の政府機関・インフラを侵害

カテゴリ:

アジアの国家支援型グループ「TGR-STA-1030」による大規模サイバー攻撃

Palo Alto NetworksのUnit 42が発表した新たな調査結果によると、アジアを拠点とするこれまで未確認のサイバースパイグループ「TGR-STA-1030」が、過去1年間にわたり37カ国、70以上の政府機関および重要インフラ組織のネットワークに侵入していたことが明らかになりました。

このグループは、2025年11月から12月にかけて、155カ国の政府インフラに対して偵察活動を行っていたことも確認されています。侵害された組織には、5つの国家レベルの法執行機関/国境管理機関、3つの財務省、経済・貿易・天然資源・外交機能に関わるその他の政府省庁が含まれています。

TGR-STA-1030は2024年1月から活動していると評価されており、使用するツールやサービス、言語設定、標的設定、GMT+8の活動時間から、アジアを起源とする国家支援型グループであると推測されています。

標的と手口:巧妙なフィッシングとマルウェア「Diaoyu Loader」

この攻撃グループは、被害者の電子メールサーバーから金融交渉、契約、銀行口座情報、重要な軍事関連の運用アップデートなど、機密データを窃取・持ち出したことが確認されています。

攻撃の出発点として利用されたのはフィッシングメールです。受信者をニュージーランドのファイルホスティングサービスMEGAへのリンクに誘導し、そこには「Diaoyu Loader」という実行ファイルと「pic1.png」というゼロバイトファイルを含むZIPアーカイブがホストされていました。

Diaoyu Loaderは、自動サンドボックス分析を回避するための二段階実行ガードレールを備えています。具体的には、水平画面解像度が1440以上であるというハードウェア要件と、実行ディレクトリ内に特定のファイル(pic1.png)が存在するかどうかの環境依存チェックを行います。これらの条件が満たされない場合、マルウェアは悪意のある動作を開始する前に終了します。

さらに、マルウェアは特定のセキュリティプログラム(Aviraの「SentryEye.exe」、Bitdefenderの「EPSecurityService.exe」、Kasperskyの「Avp.exe」、Sentinel Oneの「SentinelUI.exe」、Symantecの「NortonSecurity.exe」)の存在を確認しています。

ローダーの最終的な目的は、GitHubリポジトリから3つの画像ファイル(「admin-bar-sprite.png」、「Linux.jpg」、「Windows.jpg」)をダウンロードし、Cobalt Strikeペイロードを展開することです。

多様なツールとN-day脆弱性の悪用

TGR-STA-1030は、初期アクセスを得るために、様々なN-day脆弱性を悪用しようとしたことも確認されています。対象となったソフトウェア製品は、Microsoft、SAP、Atlassian、Ruijieyi Networks、Commvault、Eyou Email Systemなど多岐にわたります。現時点では、ゼロデイ脆弱性が利用された証拠は確認されていません。

攻撃者が使用したツールには、以下のものが含まれます。

  • C2フレームワーク: Cobalt Strike、VShell、Havoc、Sliver、SparkRAT
  • Webシェル: Behinder、neo-reGeorg、Godzilla(これらのWebシェルは中国のハッキンググループとの関連性が高いとされています)
  • トンネリングツール: GO Simple Tunnel(GOST)、Fast Reverse Proxy Server(FRPS)、IOX

特筆すべきは、Linuxカーネルルートキット「ShadowGuard」の使用です。これはeBPF技術を利用してプロセス情報の詳細を隠蔽し、psのようなユーザー空間分析ツールから特定のプロセスを隠すために重要なシステムコールを傍受します。また、「swsecret」という名前のディレクトリやファイルも隠蔽します。

C2サーバーは、合法的なVPSプロバイダーのインフラをリースして構成されており、さらにトラフィックを中継するための追加のVPSインフラも利用しています。

継続する脅威と国際社会への影響

この脅威アクターは、侵害したいくつかのエンティティへのアクセスを数ヶ月間維持しており、長期間にわたる情報収集の努力を示唆しています。

Unit 42は、TGR-STA-1030が依然として世界中の政府および重要インフラに対する活発な脅威であると結論付けています。グループは主に諜報目的で政府省庁を標的とし、特定の経済パートナーシップを確立または模索している国々を優先して活動していると評価されています。

その手法、標的、および作戦規模は憂慮すべきものであり、国家安全保障と基幹サービスに長期的な影響を与える可能性があります。

元記事: https://thehackernews.com/2026/02/asian-state-backed-group-tgr-sta-1030.html

投稿をさらに読み込む