Thursday 25 August 2022

中国系スパイが6つのバックドアを使って防衛・産業関連企業から情報を盗み出す

The Register, 9 August 2022

中国系スパイが6つのバックドアを使って防衛・産業企業組織から情報を盗み出す
© Provided by The Register

同様の攻撃を受ける可能性が「高い」とカスペルスキーが警告

 カスペルスキーの研究者によると、北京に拠点を置くサイバー集団が、特殊なフィッシングメールと6種類のバックドアを使って、軍や産業団体、政府機関、その他の公共機関に侵入し、機密データを盗んでいたことが明らかになりました。

カスペルスキーの産業用制御システム(ICS)対応チームは、1月にベラルーシ、ロシア、ウクライナなどの東欧諸国とアフガニスタンにある10以上の組織に侵入する一連の標的型攻撃を最初に検出したと聞いています。

「攻撃者は、数十の企業に侵入し、一部の企業のITインフラを乗っ取り、セキュリティソリューションを管理するためのシステムを制御することができました」と、同チームは月曜日に発表した報告書に記しています。

カスペルスキーは、この攻撃は、東アジアやロシアの軍事・研究機関を標的とした歴史を持つ中国のサイバー犯罪組織TA428によるものと「高い信頼性を持って」断定しています。

ICS研究チームは、中国に拠点を置くマルウェアとコマンド&コントロール・サーバーを特定し、この最近の一連の攻撃は、以前他の研究チームが発見した進行中のサイバースパイ活動の延長である可能性が「非常に高い」と付け加えました。

また、チェック・ポイント・リサーチが5月に発見した、中国のサイバースパイがロシアの防衛機関を標的に行った「Twisted Panda」と呼ばれる別のキャンペーンと非常によく似ているようです。

カスペルスキーによると、犯人はフィッシングメールを介して企業ネットワークにアクセスし、その中には一般に公開されていない組織固有の情報が含まれていたそうです。

「これは、攻撃者が事前に準備作業を行ったことを示している可能性があります(同じ組織やその従業員、あるいは被害組織に関連する他の組織や個人に対する以前の攻撃で情報を入手した可能性があります)」と、研究者は説明しています。

おそらく、これらの特別に細工された攻撃には、被害者の組織に関する機密情報が含まれていたため、攻撃者は一部の従業員を騙して、電子メール、およびそれに添付されたMicrosoft Wordドキュメントを開かせることが容易だったのでしょう。Word文書には悪意のあるコードが含まれており、CVE-2017-11882脆弱性を悪用して、追加のユーザー操作なしに、感染したマシンにPortDoorマルウェアを展開させるものでした。例えば、この種の攻撃でよくあるように、ユーザーがマクロを有効にする必要はありませんでした。

PortDoorマルウェアは、中国の国家支援グループによって開発されたと考えられる比較的新しいバックドアで、ロシア連邦海軍の原子力潜水艦を設計するロシアに拠点を置く防衛関連企業に対する2021年のフィッシング攻撃でも使用されています。

カスペルスキーによると、同社のチームは、持続性を確立した後、感染したコンピュータの情報を収集し、追加のマルウェアをインストールしながらシステムをリモートで制御するために使用できる新しいバージョンのPortDoorをID化したという。

攻撃者は、PortDoorの他に、6つのバックドアを使用して、感染したシステムを制御し、機密データを盗み出しました。これらの内のいくつか(nccTrojan、Logtu、Cotx、DNSep)は、これまでTA428に起因するものとされてきました。しかし、カスペルスキーによると、CotScamと呼ばれる6番目のバックドアは新しいものです。 

最初のコンピュータを感染させた後、犯人は横方向に移動し、攻撃の前に盗んだ認証情報を使って、企業ネットワーク上の他のデバイスにマルウェアを拡散させました。この横移動には、ネットワークスキャン、脆弱性検索機能、エクスプロイト、パスワード攻撃などの不正な機能を兼ね備えたハッキングツール「Ladon」を使用したと言われています。

カスペルスキーは、中国のサイバー犯罪者の間で人気があるとされるこのLadonユーティリティの使用も、TA42がこれらのスパイ活動の背後にあることを示す指標であると指摘しています。

感染したマシンの管理者権限を取得した後、犯罪者は手動で被害者組織の機密データを含むファイルを検索・選択して盗み出し、これらのファイルをさまざまな国でホストされているサーバーにアップロードします。これらのサーバーは、個人情報を中国にある第2段階のサーバーに転送しました。

カスペルスキーは、「攻撃者がある程度の成功を収めたことを考えると、今後、同様の攻撃が再び発生する可能性が高いと考えられます」と警告しています。「産業企業や公共機関は、このような攻撃をうまく阻止するために多大な努力をする必要があります。」


✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎✶✳︎

草むらの中を、すごく気にしている黒猫さん。

何か虫でもいるのかと尋ねると、「ニャ〜ン」と、律儀にお返事してくれました。😸



にほんブログ村 海外生活ブログ イギリス情報へ
にほんブログ村
at
Labels: , , , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)