企業を標的にする世界規模のキャンペーンが研究者によって発見された。先頃明らかにされた「ZeroLogon」脆弱性も悪用されているという。
現在展開されているとみられるこのサイバー攻撃は、Cicada(APT10、Stone Panda、Cloud Hopperとしても知られる)の仕業だと考えられている。
Cicadaは2009年より活動が確認されているハッカー集団で、中国政府の支援を受けている可能性があると米国は考えている。これまで、Cicadaは日本とつながりのある組織を標的にしており、今回の攻撃キャンペーンも例外ではないようだ。
Symantecの研究者は、17の地域で企業やその子会社が最近Cicadaの標的になったことを確認している。自動車や製薬、エンジニアリング、マネージドサービスプロバイダー(MSP)、製造などをはじめとする広範な業界の企業が標的とされたとしている。
Symantecによれば、Cicadaの最新の攻撃キャンペーンは2019年10月中旬に始まり、少なくとも2020年10月まで続いた。
Cicadaは豊富なリソースを持っているとみられ、さまざまなツールとテクニックを駆使している。例えば、DLLサイドローディングやネットワーク偵察、認証情報の窃取、ブラウザーのルート証明書をインストールしてデータをデコードできるコマンドラインユーティリティー、「PowerShell」スクリプト、さらにRARアーカイブや合法的なクラウドホスティングプロバイダーが、窃取した情報のダウンロードや圧縮、抽出に使われている。
特に注目すべきなのは、ZeroLogonを悪用できるツールが利用されていることだ。ZeroLogon(「CVE-2020-1472」)は、共通脆弱性評価システム(CVSS)で深刻度が10と評価されている。Microsoftは8月にパッチをリリースした。「Active Directory」で利用されている「Netlogon」プロトコルの実装に存在している脆弱性で、悪用されればドメイン管理者のアクセス権が奪われる恐れがある。
Cicadaはこの攻撃キャンペーンで、これまでSymantecがこのハッカー集団による利用を確認したことのなかったカスタムマルウェア「Backdoor.Hartip」なども使用している。
このハッカー集団は情報の窃取とサイバースパイ活動に注力しているようだ。
Symantecの研究者は「攻撃者が被害者のネットワークで費やした時間はさまざまだ。一部の被害者のネットワークではかなりの時間を費やし、別の被害者のネットワークではわずか数日だった」とし、「一部のケースでは、攻撃者がネットワークでしばらく時間を費やしたが、活動は停止し、数カ月後に再開した可能性もある」と説明している。
Symantecは、「中程度の確信度」でこのキャンペーンがCicadaによるものと評価する十分な証拠を発見していると述べている。
またSymantecは、「Cicadaは今も多くのリソースとスキルにアクセスし、このような高度で広範囲なキャンペーンを実行できる状態であることは明らかだ。そのため、このグループは依然として極めて危険だ」とし、「最近明らかになったZeroLogon脆弱性や、カスタムのバックドアを悪用するツールを利用していることから、このグループがアクティブに被害者を攻撃しようと、ツールや手法を進化させ続けていることが分かる」と述べた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
