ソフォスによる調査で明らかになった、東南アジアにおける中国のスパイ活動の詳細
Dream News 2024年07月01日 11:00:00
2024年6月27日
<<報道資料>
ソフォス株式会社
ソフォスによる調査で明らかになった、東南アジアにおける中国のスパイ活動の詳細
~Sophos X-Ops、APT41やBackdoorDiplomacyなどの5つの有名な中国の脅威グループ間のつながりを特定~
~中国の攻撃者は、システムに常駐しスパイ活動を行うために、過去に特定されていないマルウェアを悪用~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は本日、「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」と題するレポートを公開しました。このレポートでは、東南アジア諸国の政府高官を標的として約2年間にわたって実行されている非常に高度なスパイ活動の全容を紹介しています。Sophos X-Opsは、2023年にこの調査を開始しました。ソフォスのMDR(Managed Detection and Response)チームは、同じ組織を標的とした3つの異なるスパイ活動を発見しましたが、これらの2つの活動では、中国が支援している脅威グループ(BackdoorDiplomacy、APT15、そしてAPT41の下部組織であるEarth Longzhi)がこれまでに使用していた同じ戦術、手法、手順(TTP)が確認されました。
これらの脅威グループは、綿密な作戦を立て、多種多様なマルウェアやツールを利用し、政治、経済、軍事に関する機密情報だけでなく、特定の人物を偵察して情報を収集していました。ソフォスは、この一連の攻撃キャンペーンを「クリムゾンパレス」と命名しました。使用されていたマルウェアには、システムに常駐する機能がある過去に検出されていないマルウェアも含まれていました。ソフォスはこのマルウェアを「PocoProxy」と命名しました。
ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは、これらの活動について次のように述べています。「これらの一連の攻撃群(クラスタ)は、中国の南シナ海における戦略に有利に進めるために必要な軍事や経済情報を収集し、中国の国益のために活動しています。このキャンペーンの3つのクラスタは、別個のグループによって実行されていますが、中国の中央権力からの指令の下、同じ標的に対して同時に攻撃を仕掛けていると考えられます。ソフォスが特定した3つの攻撃のうちの1つ(クラスタアルファ)では、マルウェアとTTPが別々に報告された4つの中国の脅威グループと重複していました。これまでの多くの調査でも、中国の攻撃者がインフラやツールを共有していることが分かっていますが、今回のキャンペーンは、中国の脅威グループが広範にわたってツールや攻撃手法を共有していることを改めて認識させるものとなりました。 中国からのサイバー脅威に対する欧米政府各国政府による認識や警戒が高まっています。これらのグループ間の関係をソフォスが特定したことで、中国の単一のグループの攻撃のみに調査を集中させると、複数のグループが活動を連携させている重要な傾向を見逃すリスクがあることがわかりました。視野を広げることで、より効果的な防御が可能になります」
Sophos X-Opsは、2022年12月に初めて標的となった組織のネットワークで悪意のある活動を特定し、中国の脅威グループMustang Panda が過去に利用していたデータ流出ツールを検出しました。ソフォスのMDRチームは、この悪意のある活動についてさらに詳細な調査を実施しました。2023年5月、Sophos X-Opsの脅威ハンティングチームにより、脆弱なVMWareの実行ファイルが発見され、解析の結果、標的のネットワークに3つの異なる攻撃(クラスタブラボー、クラスタチャーリー、およびクラスタアルファ)が行われていたことが判明しました。
クラスタアルファは2023年3月初旬から少なくとも2023年8月まで実行されており、アンチウイルス保護の無効化、権限の昇格、偵察を実行するさまざまなマルウェアが展開されていました。これらのマルウェアには、中国の脅威グループREF5961が使用していたEAGERBEEマルウェアをアップグレードしたバージョンも含まれています。クラスタアルファでは、中国の脅威グループBackdoorDiplomacy、APT15、Worok、TA428が使用しているTTPやマルウェアが使用されていました。
クラスタブラボーは、2023年3月の3週間のみ標的のネットワークで実行され、被害者のネットワークでラテラルムーブメントを行い、主にCCoreDoorと呼ばれるバックドアをサイドロードしていました。このバックドアは、攻撃者が外部と通信するための経路を確立し、重要な情報を見つけ、認証情報を外部に送信します。
クラスタチャーリーは、2023年3月から少なくとも2024年4月まで実行されており、主にスパイ行為や情報流出が実行されています。これらの活動では、Microsoftの実行ファイルを偽装し、攻撃者のC&Cインフラとの通信を確立する常駐ツール「PocoProxy」も展開されています。クラスタチャーリーは、スパイ活動のための軍事や政治関連の文書、ネットワーク内でアクセスできる範囲を広げるための認証情報やトークンなどの大量の機密データを外部に流出させるために実行されていました。クラスタチャーリーは、APT41の下部組織として報告されている中国の脅威グループ「Earth Longzhi」とTTPを共有しています。クラスタアルファとクラスタブラボーは活動を停止していますが、クラスタチャーリーは今も活動を続けています。
Jaramilloは、次のように述べています。「このキャンペーンでは、南シナ海を巡るサイバースパイ活動が積極的に展開されていることが確認されています。潤沢なリソースがある複数の脅威グループが、数週間から数か月をかけて一度に同じ重要な政府組織を標的にし、商用のツールと高度な独自のマルウェアを組み合わせて使用しています。これまでも、そして今でも、これらの脅威グループは、使用するツールを頻繁に変更しながら、組織の内部を自由に動き回っています。少なくとも1つのクラスタはまだ活発に活動しており、さらに監視を強めようとしています。このような中国の脅威グループは、同じツールを共有する傾向があるため、今回のキャンペーンで確認されたTTPや新しいマルウェアが、世界のその他の地域における中国のサイバー脅威グループの活動で再び利用される可能性があります。ソフォスは、これら3つの攻撃について調査を今後も継続し、発見した情報は今後も情報機関に報告していきます」
このスパイ活動のキャンペーンについては、Sophos.comで「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」(https://news.sophos.com/ja-jp/2024/06/05/operation-crimson-palace-sophos-threat-hunting-unveils-multiple-clusters-of-chinese-state-sponsored-activity-targeting-southeast-asia-jp/)をご覧ください。
3つのクラスタについての詳細については、「クリムゾンパレス (Crimson Palace):技術的な詳解」(翻訳中)をご覧ください。
■詳細情報
● 2024年上半期のアクティブアドバーサリーレポートでは、サイバー攻撃者の最新のTTP(戦術、手法、手順)を紹介しています。
https://news.sophos.com/ja-jp/2024/04/03/active-adversary-report-1h-2024-jp/
● 「ソフォス脅威レポート2024年版」で中堅・中小企業に対する最大の脅威を参照してください。
https://news.sophos.com/ja-jp/2024/03/12/2024-sophos-threat-report-jp/
● 脅威活動クラスタの使用による悪意のある活動のパターンの特定
https://news.sophos.com/en-us/2023/08/08/a-series-of-ransomware-attacks-made-by-different-groups-share-curiously-similar-characteristics/
● Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)を購読し、Sophos X-Opsと画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細を確認してください。
■ ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
■報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
<<報道資料>
ソフォス株式会社
ソフォスによる調査で明らかになった、東南アジアにおける中国のスパイ活動の詳細
~Sophos X-Ops、APT41やBackdoorDiplomacyなどの5つの有名な中国の脅威グループ間のつながりを特定~
~中国の攻撃者は、システムに常駐しスパイ活動を行うために、過去に特定されていないマルウェアを悪用~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は本日、「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」と題するレポートを公開しました。このレポートでは、東南アジア諸国の政府高官を標的として約2年間にわたって実行されている非常に高度なスパイ活動の全容を紹介しています。Sophos X-Opsは、2023年にこの調査を開始しました。ソフォスのMDR(Managed Detection and Response)チームは、同じ組織を標的とした3つの異なるスパイ活動を発見しましたが、これらの2つの活動では、中国が支援している脅威グループ(BackdoorDiplomacy、APT15、そしてAPT41の下部組織であるEarth Longzhi)がこれまでに使用していた同じ戦術、手法、手順(TTP)が確認されました。
これらの脅威グループは、綿密な作戦を立て、多種多様なマルウェアやツールを利用し、政治、経済、軍事に関する機密情報だけでなく、特定の人物を偵察して情報を収集していました。ソフォスは、この一連の攻撃キャンペーンを「クリムゾンパレス」と命名しました。使用されていたマルウェアには、システムに常駐する機能がある過去に検出されていないマルウェアも含まれていました。ソフォスはこのマルウェアを「PocoProxy」と命名しました。
ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは、これらの活動について次のように述べています。「これらの一連の攻撃群(クラスタ)は、中国の南シナ海における戦略に有利に進めるために必要な軍事や経済情報を収集し、中国の国益のために活動しています。このキャンペーンの3つのクラスタは、別個のグループによって実行されていますが、中国の中央権力からの指令の下、同じ標的に対して同時に攻撃を仕掛けていると考えられます。ソフォスが特定した3つの攻撃のうちの1つ(クラスタアルファ)では、マルウェアとTTPが別々に報告された4つの中国の脅威グループと重複していました。これまでの多くの調査でも、中国の攻撃者がインフラやツールを共有していることが分かっていますが、今回のキャンペーンは、中国の脅威グループが広範にわたってツールや攻撃手法を共有していることを改めて認識させるものとなりました。 中国からのサイバー脅威に対する欧米政府各国政府による認識や警戒が高まっています。これらのグループ間の関係をソフォスが特定したことで、中国の単一のグループの攻撃のみに調査を集中させると、複数のグループが活動を連携させている重要な傾向を見逃すリスクがあることがわかりました。視野を広げることで、より効果的な防御が可能になります」
Sophos X-Opsは、2022年12月に初めて標的となった組織のネットワークで悪意のある活動を特定し、中国の脅威グループMustang Panda が過去に利用していたデータ流出ツールを検出しました。ソフォスのMDRチームは、この悪意のある活動についてさらに詳細な調査を実施しました。2023年5月、Sophos X-Opsの脅威ハンティングチームにより、脆弱なVMWareの実行ファイルが発見され、解析の結果、標的のネットワークに3つの異なる攻撃(クラスタブラボー、クラスタチャーリー、およびクラスタアルファ)が行われていたことが判明しました。
クラスタアルファは2023年3月初旬から少なくとも2023年8月まで実行されており、アンチウイルス保護の無効化、権限の昇格、偵察を実行するさまざまなマルウェアが展開されていました。これらのマルウェアには、中国の脅威グループREF5961が使用していたEAGERBEEマルウェアをアップグレードしたバージョンも含まれています。クラスタアルファでは、中国の脅威グループBackdoorDiplomacy、APT15、Worok、TA428が使用しているTTPやマルウェアが使用されていました。
クラスタブラボーは、2023年3月の3週間のみ標的のネットワークで実行され、被害者のネットワークでラテラルムーブメントを行い、主にCCoreDoorと呼ばれるバックドアをサイドロードしていました。このバックドアは、攻撃者が外部と通信するための経路を確立し、重要な情報を見つけ、認証情報を外部に送信します。
クラスタチャーリーは、2023年3月から少なくとも2024年4月まで実行されており、主にスパイ行為や情報流出が実行されています。これらの活動では、Microsoftの実行ファイルを偽装し、攻撃者のC&Cインフラとの通信を確立する常駐ツール「PocoProxy」も展開されています。クラスタチャーリーは、スパイ活動のための軍事や政治関連の文書、ネットワーク内でアクセスできる範囲を広げるための認証情報やトークンなどの大量の機密データを外部に流出させるために実行されていました。クラスタチャーリーは、APT41の下部組織として報告されている中国の脅威グループ「Earth Longzhi」とTTPを共有しています。クラスタアルファとクラスタブラボーは活動を停止していますが、クラスタチャーリーは今も活動を続けています。
Jaramilloは、次のように述べています。「このキャンペーンでは、南シナ海を巡るサイバースパイ活動が積極的に展開されていることが確認されています。潤沢なリソースがある複数の脅威グループが、数週間から数か月をかけて一度に同じ重要な政府組織を標的にし、商用のツールと高度な独自のマルウェアを組み合わせて使用しています。これまでも、そして今でも、これらの脅威グループは、使用するツールを頻繁に変更しながら、組織の内部を自由に動き回っています。少なくとも1つのクラスタはまだ活発に活動しており、さらに監視を強めようとしています。このような中国の脅威グループは、同じツールを共有する傾向があるため、今回のキャンペーンで確認されたTTPや新しいマルウェアが、世界のその他の地域における中国のサイバー脅威グループの活動で再び利用される可能性があります。ソフォスは、これら3つの攻撃について調査を今後も継続し、発見した情報は今後も情報機関に報告していきます」
このスパイ活動のキャンペーンについては、Sophos.comで「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」(https://news.sophos.com/ja-jp/2024/06/05/operation-crimson-palace-sophos-threat-hunting-unveils-multiple-clusters-of-chinese-state-sponsored-activity-targeting-southeast-asia-jp/)をご覧ください。
3つのクラスタについての詳細については、「クリムゾンパレス (Crimson Palace):技術的な詳解」(翻訳中)をご覧ください。
■詳細情報
● 2024年上半期のアクティブアドバーサリーレポートでは、サイバー攻撃者の最新のTTP(戦術、手法、手順)を紹介しています。
https://news.sophos.com/ja-jp/2024/04/03/active-adversary-report-1h-2024-jp/
● 「ソフォス脅威レポート2024年版」で中堅・中小企業に対する最大の脅威を参照してください。
https://news.sophos.com/ja-jp/2024/03/12/2024-sophos-threat-report-jp/
● 脅威活動クラスタの使用による悪意のある活動のパターンの特定
https://news.sophos.com/en-us/2023/08/08/a-series-of-ransomware-attacks-made-by-different-groups-share-curiously-similar-characteristics/
● Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)を購読し、Sophos X-Opsと画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細を確認してください。
■ ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
■報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
情報提供元: Dream News