編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」

"国家の利益のため"活動する中国の脅威アクター、東南アジアの大手通信事業者狙う--Cybereason報告

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2021-08-05 13:43

 Cybereasonのサイバーセキュリティ研究者が、大手通信事業者のネットワーク侵害に焦点を当てたサイバー諜報活動について調査している。

 Cybereason Nocturnusが米国時間8月3日に公開した報告書によると、サイバー攻撃グループは「DeadRinger」という名の下、「中国国家の利益」のために活動していると考えられる。Cybereasonは3つのクラスターを特定したという。

 同社によると、「これまで特定されていなかった」これらのキャンペーンは、主に東南アジアで展開されている。そして、SolarWindsKaseyaを狙った攻撃が、ベンダーを通じて被害者へのアクセスを確保したのと同様に、このグループは通信事業者を標的にしているという。

 同社は、これらの攻撃が、既知の中国のAPT(Advanced Persistent Threat)グループと、戦術や技術が重複していることから、中国国家の支援を受けたAPTグループなどが関与しているとみている。

 3つのアクティビティークラスターが見つかっており、最も古い攻撃は2017年にさかのぼる。1つめはSoft Cell APTが実施したとみられ、2018年に攻撃を開始している。

 2つめのクラスターは、Naikon APTの仕業と考えられる。2020年第4四半期から活動が確認されており、2021年第1四半期まで続いている。Cybereasonによると、Naikonは中国人民解放軍(PLA)の軍事局と関連している可能性がある。

 3つ目のクラスターは、2017年以降活動しているとみられる。APT27/Emissary Pandaが背後にいる可能性があると考えられる。「Microsoft Exchange Server」を侵害するために、独自のバックドアを使う。2021年第1四半期まで活動が確認されている。

 報告書で指摘されている手法には、Microsoft Exchange Serverの脆弱性の悪用、「China Chopper」ウェブシェルの展開などがある。また「Mimikatz」を使った認証情報の取得、「Cobalt Strike」ローダーの利用、コマンド&コントロール(C2)サーバーに接続するためのバックドアの利用といった手口も用いられている。

 Cybereasonによると、いずれの攻撃クラスターも、通信事業者のネットワーク侵害の目的は、「機密情報の収集、呼詳細レコード(CDR:Call Detail Record)データを含む請求サーバーなどの重要なビジネス資産、そしてドメインコントローラー、ウェブサーバー、Microsoft Exchange Serverなどの重要なネットワークコンポーネントを侵害して、サイバー諜報活動を推進すること」だという。

 場合によっては、各クラスターが重複し、同じターゲット環境やエンドポイントで同じ時に発見されたこともある。しかしCybereasonは、それぞれが独立して活動していたのか、別の中心的なグループの指示を受けて活動していたのか、現時点では明らかではないとしている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]