“`json
{
“title”: “中国関連の脅威アクター「Warp Panda」、米国企業を標的としたBrickstormマルウェア攻撃”,
“content”: “
概要:米国企業を狙うサイバー攻撃
セキュリティ企業CrowdStrikeは、中国に関連する脅威アクター「Warp Panda」が、米国を拠点とする複数の企業に対してサイバー攻撃を仕掛けていると警告しました。この攻撃では、VMware vCenter環境がハッキングされ、「Brickstorm」と呼ばれるマルウェアが展開されています。
ターゲットとなった業界は多岐にわたり、法律事務所、テクノロジー企業、製造業などが含まれます。攻撃は2025年夏頃に集中して行われました。
攻撃の詳細と手口
Warp Pandaは、Brickstormマルウェアの展開に加え、JSPウェブシェル、さらにGolangベースのインプラント「Junction」と「Guest Conduit」を使用して、VMware ESXiハイパーバイザー環境を標的としていました。
初期アクセスにはインターネットに面したエッジデバイスが悪用され、その後、有効な認証情報やvCenterの脆弱性を突いてvCenter環境へと侵入しています。特筆すべきは、攻撃者が長期的な永続アクセス維持に注力している点で、中には2023年に初期アクセスを得ていたケースも確認されています。
当局からの警告と関連情報
今回の警告は、米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国家安全保障局(NSA)が政府機関および情報技術プロバイダーを標的とした国家支援型ハッカーによるBrickstormマルウェアの使用について警告を発した時期と重なっています。
- CISA、NSA、カナダサイバーセキュリティセンターは、ハッカーがクローン化された仮想マシン(VM)スナップショットを盗み、認証情報を抽出し、隠された不正なVMを作成していると警告しています。
- CISAは、標的とされた組織から8つのマルウェアサンプルを収集しました。あるケースでは、ハッカーが2024年4月から2025年9月までの長期間にわたりネットワーク内に潜伏していたことが判明しています。
- 2025年9月には、Google脅威インテリジェンスグループ(GTIG)が、サプライチェーン攻撃でテクノロジー企業やSaaSプロバイダーを標的とした国家関連ハッカーによるBrickstormマルウェアの展開を警告していました。
脅威の背景と対策の重要性
GTIGの主任脅威アナリストであるオースティン・ラーセン氏は、「このキャンペーンは、ネットワークアプライアンスのようなセキュリティ監視が不十分なデバイスを中国関連アクターが標的とする広範な傾向を浮き彫りにしている」と指摘しています。攻撃の最終的な目的は、米国組織から機密データを盗み出し、戦略的優位性を確保することにあると見られています。
この状況は、組織がネットワークエッジデバイスのセキュリティ対策を強化し、脆弱性管理、認証情報の保護、および包括的な監視体制を徹底することの重要性を示しています。
”
“status”: “publish”
}
“`
元記事: https://www.cybersecuritydive.com/news/china-actor-us-entities-brickstorm-malware/807166/