サイバーニュース.jp

世界のサイバーなニュースを配信

中国関連グループがステルス型マルウェアでソフトウェアサプライヤーをハッキング

カテゴリ:

, , , , , , , , ,

Googleが発表したところによると、中国に関連する高度なハッカー集団が、ステルス型マルウェアを用いてテクノロジー企業、SaaSプロバイダー、法律事務所に侵入し、機密データを窃取していることが明らかになりました。このキャンペーンは、近年で最も重大なサプライチェーン攻撃の一つとされています。

**攻撃の概要**

Googleは水曜日、中国関連のハッカーが企業に侵入し、国家安全保障や経済に関する機密データを盗んでいると発表しました。ハッカーはサービスプロバイダーから顧客のネットワークへと標的を広げ、法律事務所内の特定の人物のメールを検索したり、米国の国家安全保障や国際貿易に関する情報を探したりしています。

また、広く利用されているエンタープライズ技術のソースコードも盗んでおり、これは将来の攻撃に利用できる未公開の脆弱性を分析するためである可能性が高いとGoogleは指摘しています。一部の企業技術ベンダーへの侵入では、ソフトウェア開発者のメールボックスを検索し、製品の欠陥に関する情報を探していました。

**主要な脅威アクター:UNC5221**

Googleによると、UNC5221と呼ばれる中国関連グループが攻撃の大部分を実行していますが、ツールを共有する他の中国関連グループも関与している可能性が高いとのことです。このキャンペーンは現在も活発に進行中であり、Googleの脅威インテリジェンスグループ(GTIG)のチーフアナリストであるジョン・ハルトクイスト氏は、「これは米国で起こっており、次のレベルの活動であり、今後さらに多くのことが明らかになるだろう」と述べています。

ハルトクイスト氏は、このキャンペーンを「非常に優れた情報収集活動」と表現し、主要ベンダーから顧客への攻撃者の動きは、ロシアのSolarWindsスパイ活動のような他のサプライチェーン事件を想起させると語りました。「彼らは、関心のあるターゲットを選び出すことができる上流へと移動しているのです。」

**検出を回避するステルス型マルウェア「Brickstorm」**

このキャンペーンの憂慮すべき要素は、ハッカーが「Brickstorm」と呼ばれるマルウェアのバックドアを使用していることです。これは、VMware ESXiハイパーバイザー、メールセキュリティゲートウェイ、脆弱性スキャナーなど、エンドポイント検出・対応(EDR)やアンチウイルスソフトウェアを実行できないシステムに仕掛けられます。

EDRを回避することで、ハッカーは通常よりもはるかに長く潜伏することができます。Googleによると、被害者が侵入を発見するまでに平均393日かかっており、これは最近の攻撃検出の改善傾向に逆行する驚くほど長い「滞留時間」です。

Googleは、企業がネットワークをスキャンしてBrickstormの証拠を検出できるツールと、過去の侵入の証拠をバックアップから検索できるYARAルールを公開しています。Googleの専門家は、ハッカーが痕跡を消すことに長けていると述べています。GoogleのMandiant部門の最高技術責任者であるチャールズ・カルマカル氏は、「多くの組織が過去の侵害または現在進行中の侵害の証拠を発見するだろう」と述べ、Brickstormマルウェアの兆候が見られる企業は徹底的な調査を行う必要があると付け加えました。「これは非常に高度な敵対者です。」

**忍耐強い敵対者と長期的な影響**

侵入の主な責任を負う中国関連グループUNC5221は、攻撃の頻度、深刻度、複雑さの点で「過去数年間で米国で最も蔓延している敵対者」であるとカルマカル氏は記者団に語りました。UNC5221のハッカーは非常にステルス性が高く、認識可能なパターンを作成しないように、同じIPアドレスで複数の攻撃にインフラストラクチャを使用することはないとカルマカル氏は述べています。「彼らを検出して調査することは非常に困難です。」

攻撃者はまた、忍耐強いです。ある調査では、Googleはハッカーがバックドアを数ヶ月間休眠状態に設定し、その間に被害者が侵入の兆候を調査しているのを確認しました。GTIGの主任脅威アナリストであるオースティン・ラーセン氏は、「これは巧妙ですが、彼らが長期的なゲームに臨んでいることも示しています」と述べています。

ほとんどの企業は、初期アクセス期間のログが自動的に削除された後まで侵入を発見していないため、Googleの研究者はハッカーの初期アクセス手段を特定するのに苦労しています。しかし、同社は、証拠がIvanti Connect Secure VPNや他のいくつかのエッジデバイスを含む「境界およびリモートアクセスインフラストラクチャの侵害」を指していると述べています。UNC5221は、過去2年間でIvantiの脆弱性を悪用した主要なグループの1つです。

Googleの専門家は、サプライヤーの侵害によってハッキングされた企業を含む被害者の特定を拒否しました。これは、これらの被害者の多くがまだ侵入の修復を行っているためです。同社は、攻撃の範囲についてさらに学び、潜在的な被害者に警告するために、現在進行中のキャンペーンを公表したと述べています。

カルマカル氏は、このキャンペーンの影響は「今後6ヶ月から12ヶ月、18ヶ月、24ヶ月にわたって響き続けるだろう」と述べ、「その間に、新しいことが明らかになり、新しい被害者が(侵害を)開示するだろう」と付け加えました。

元記事:[China-linked groups are using stealthy malware to hack software suppliers](https://www.cybersecuritydive.com/news/china-linked-groups-stealthy-malware-hack-software-suppliers/700000/)

投稿をさらに読み込む