サイバーニュース.jp

世界のサイバーなニュースを配信

RedNovemberハッカー集団、政府機関とテクノロジー企業を標的にバックドアを設置

カテゴリ:

, , , , , , , , ,

2024年7月、Recorded FutureのInsikt Groupは、Goベースのバックドア「Pantegana」を利用したサイバー諜報キャンペーン「TAG-100」を公にしました。このキャンペーンは、世界中の政府機関、国際機関、民間組織を標的としていました。新たな証拠により、TAG-100は中国政府が支援する脅威アクター「RedNovember」によるものであるとされています。

2024年6月から2025年7月にかけて、Storm-2077とも重複するRedNovemberは、その活動を拡大し、周辺機器やVPNソリューションを標的として、永続性を確立するためにPanteganaとCobalt Strikeを展開しています。Recorded Futureのネットワークインテリジェンスによると、被害者には中央アジアおよび東南アジアの外務省、アフリカの国家安全保障機関、欧州の政府機関、米国の防衛請負業者2社、欧州のエンジンメーカー、東南アジアの貿易に特化した政府間機関などが含まれていると見られています。

RedNovemberは、偵察、初期アクセス、および潜在的な侵害を実行するために、Pantegana、Cobalt Strike、SparkRATといったオープンソースおよび市販のC2フレームワークに引き続き依存しています。このグループは、スピアフィッシングやエクスプロイトキャンペーンを通じて、米国の防衛産業基盤(DIB)や欧州の宇宙・航空宇宙組織への標的を拡大しています。ファイアウォール、VPN、ロードバランサー、メールサーバーなどのエッジデバイスが、依然として主要な初期アクセスベクトルとなっています。

2025年4月には、RedNovemberはIvanti Connect Secure VPNアプライアンスに対する集中的なキャンペーンを展開し、米国の主要新聞社や専門エンジニアリング・軍事請負業者などの標的をスキャンしました。いくつかの侵入は、2024年12月の台湾周辺での軍事演習や2025年4月のパナマへの米国外交訪問など、中国にとって戦略的利益のある地政学的イベントと時期が重なっています。

以前はTAG-100として追跡されていたRedNovemberは、インターネットに接続されたデバイスを悪用して大規模な初期足がかりを築き、その後PanteganaとCobalt Strikeを侵害後の活動に利用しています。このグループが公開されているPoCエクスプロイトやオープンソースのバックドアを戦略的に使用することで、運用コストを削減し、帰属を曖昧にしています。RedNovemberは、中国政府が支援するアクターがセキュリティアプライアンスを標的とし、より選択的な後続キャンペーンに先立ってアクセスを拡大するという広範な傾向を象徴しています。

Insikt Groupのテレメトリーは、ExpressVPNおよび潜在的に他の商用VPNを介して管理されるPanteganaとCobalt Strikeの継続的な使用を確認しています。2つのGoベースのローダー(LESLIELOADER)が、ALIBABA-CN-NETでホストされているサーバーからSparkRATとCobalt Strike Beaconをメモリ内でサイドローディングしているのが観測されました。RedNovemberはまた、Follinaの脆弱性(CVE-2022-30190)を悪用し、VMwareのセキュリティパッチを装った悪意のあるWordおよびPDFファイルも使用しています。

**被害と標的**
RedNovemberの被害者は、政府、防衛、航空宇宙、法務、テクノロジー分野にわたります。注目すべき事例には以下が含まれます。

* 2025年4月、米国との外交関係後、パナマ政府全体に対する偵察活動が行われ、30以上の省庁がスキャンされました。
* 2024年12月、中国の台湾周辺での軍事演習中に、台湾空軍関連のインフラが標的となりました。
* 複数の米国のDIBおよび宇宙研究機関がポートスキャンとVPNエクスプロイトの試行を受けました。
* 台湾のIT企業および英国を拠点とする防衛請負業者が、SonicWall SSL VPNおよびF5 BIG-IPアプライアンスを介して侵害されました。

**緩和策**
組織は、脅威インテリジェンスを統合してPanteganaおよびSparkRATのC2ドメインをリアルタイムで検出し、周辺デバイスにおける高リスクのRCE脆弱性のパッチ適用を優先し、VPNおよびファイアウォール管理インターフェースに厳格なアクセス制御を適用する必要があります。ネットワークセグメンテーション、多要素認証、エッジデバイスでのログ強化は、侵害後の活動を検出して対応するために不可欠です。

RedNovemberの地理的およびセクターを越えた継続的な拡大は、インターネットに接続されたアプライアンスにおける永続的な脆弱性を浮き彫りにしています。オープンソースフレームワークへの依存はキャンペーンの迅速な拡大を可能にし、市販ツールへの断続的な移行は柔軟な運用姿勢を示唆しています。新たなエクスプロイトが出現し、PoCコードが容易に入手できる中、RedNovemberおよび同様の国家支援型アクターは、エッジデバイスへの積極的な標的設定を維持する構えです。将来の侵入を阻止するためには、警戒と多層防御戦略が不可欠となるでしょう。

元記事: https://gbhackers.com/

投稿をさらに読み込む