Googleは水曜日、中国関連の高度なハッカー集団が、ステルス性の高いマルウェアを用いてテクノロジー企業、サービスとしてのソフトウェア（SaaS）プロバイダー、法律事務所に侵入し、機密データを窃取していると発表しました。

Googleによると、ハッカーはサービスプロバイダーから顧客ネットワークへと標的を移し、法律事務所の特定の人物のメールを検索したり、米国の国家安全保障や国際貿易に関する情報を探したりしています。また、将来の攻撃に利用するため、広く使われているエンタープライズ技術のソースコードを盗み、未公開の脆弱性を分析しているとのことです。

Googleの脅威インテリジェンスグループ（GTIG）によると、「UNC5221」という中国関連グループが攻撃の大部分を実行していますが、ツールを共有しているため他の中国関連グループも関与している可能性が高いとされています。このキャンペーンは現在も活発に進行中です。

GTIGのチーフアナリストであるジョン・ハルトクイスト氏は、このキャンペーンを「非常に優れた情報収集活動」と評し、ロシアのSolarWinds事件のようなサプライチェーン攻撃を想起させると述べました。「彼らは上流に移動し、関心のある標的を選び出している」と指摘しています。

攻撃の憂慮すべき要素は、VMware ESXiハイパーバイザー、メールセキュリティゲートウェイ、脆弱性スキャナーなど、エンドポイント検出応答（EDR）やアンチウイルスソフトウェアを実行できないシステムに「Brickstorm」と呼ばれるマルウェアのバックドアを仕掛けていることです。EDRを回避することで、ハッカーは通常よりもはるかに長く潜伏でき、Googleによると、被害者が侵入を発見するまでに平均393日かかっており、これは最近の攻撃検出の改善傾向に逆行する驚くべき「滞留時間」です。

Googleは、企業がネットワークをスキャンしてBrickstormの証拠を検出するためのツールと、過去の侵入の証拠をバックアップから検索するためのYARAルールを公開する予定です。GoogleのMandiant部門の最高技術責任者であるチャールズ・カーマカル氏は、ハッカーが痕跡を消すことに長けていると述べ、「これは非常に高度な敵対者だ」と強調しました。

UNC5221は、攻撃の頻度、深刻度、複雑さの点で「過去数年間で米国で最も蔓延している敵対者」であるとカーマカル氏は語ります。UNC5221のハッカーは非常にステルス性が高く、認識可能なパターンを作成しないよう、同じIPアドレスのインフラを複数の攻撃で再利用することはないとのことです。「彼らを検出して調査することは非常に難しい」と彼は述べました。攻撃者はまた忍耐強く、ある調査では、被害者が侵入の兆候を調査している間、バックドアを数ヶ月間休眠状態に設定していたことが判明しました。GTIGの主任脅威アナリストであるオースティン・ラーセン氏は、「巧妙だが、彼らが長期的なゲームに臨んでいることも示している」と述べています。

ほとんどの企業が初期アクセス期間のログが自動的に削除された後に侵入を発見するため、Googleの研究者はハッカーの初期アクセス手段を特定するのが困難であると述べています。しかし、証拠はIvanti Connect Secure VPNやその他のエッジデバイスを含む「境界およびリモートアクセスインフラの侵害」を指しています。UNC5221は、過去2年間でIvantiの脆弱性を悪用した主要なグループの1つです。

Googleは被害企業の特定を拒否しましたが、これは多くの被害者がまだ侵入の修復作業を行っているためです。Googleは、攻撃の範囲についてさらに情報を得るため、また潜在的な被害者に警告するために、この進行中のキャンペーンを公表したと述べました。カーマカル氏は、このキャンペーンの影響は「今後6ヶ月から12ヶ月、18ヶ月、24ヶ月にわたって響き続けるだろう」と予測しています。

元記事：[Cybersecurity Dive](https://www.cybersecuritydive.com/news/china-linked-groups-stealthy-malware-hack-software-suppliers/700000/)