脅威アクター グループ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に

概要 ある中国の持続的標的型攻撃 (APT) グループが継続的に攻撃キャンペーンを実施しており、私たちはこれを「Operation Diplomatic Specter」と呼んでいます。同キャンペーンは、少なくとも 2022 年後半から、中東・アフリカ・アジアの政治団体を標的にしています。 この脅威アクターのアクティビティを分析した結果、少なくとも 7 つの政府機関に対する長期的スパイ活動が明らかになりました。同脅威アクターは大規模な情報収集活動を実行していましたが、そのさい侵害したサーバーに対してめったに目にしないようなメール漏出技術を使っていました。 この収集活動には、現在の地政学的情勢に焦点を当てた、以下の団体に関する機微情報・機密情報入手の試みが含まれています。 外交や経済の特使 大使館 軍事作戦 政治集会 標的各国の省庁 高官 スパイ活動の一環として、同グループはこれまで文書化されたことのないバックドア ファミリーを利用しています。その中には、TunnelSpecter や SweetSpecter と名付けられたバックドアも含まれています。 同脅威アクターは、その時々の地政学的展開を緊密に監視し、日常的に情報漏出をはかっているようです。私たちが観察した事例における脅威アクターの手口は、標的のメール サーバーに侵入して情報を探すというものでした。私たちは、活動が妨害されても繰り返し環境に適応してアクセス回復をはかるなど、攻撃者による持続性保持のための複数の試みを観察しました。また彼らは、新たな地政学的展開がみられるつど、情報源に立ち戻って関連情報を探しているようです。 私たちは、ある単一の脅威アクターが、中国国家に資する活動を行う Operation Diplomatic Specter を組織していることを、高い確度で評価しています。同キャンペーンの一環として観察された戦術は、中国政府と連携した脅威アクターが、アジアという地域を超え、中東やアフリカへと範囲を拡大し、地政学的情勢に関する情報収集範囲を行っているその規模を示すものとなっています。 この脅威アクターが同キャンペーンのなかで収集した情報をどのように使っているのか、その正確なところはわかりません。ですが、脅威アクターが検索したトピックからは、これらの地域における多くの主要プレーヤーと、彼らの中国や世界のほかの地域とのつながりに関する情報が明らかになりました。彼らが検索したトピックは、中国政府と連携する脅威アクターが何を優先しているのかをリサーチャーが覗きこむ窓の役割を果たしています。 さらに、同脅威アクターは Exchange Server のエクスプロイト (ProxyLogon CVE-2021-26855 および ProxyShell CVE-2021-34473) を繰り返し使っていることから、組織がインターネットに接続された機微な資産のハードニングやパッチ適用を行うことがいかに重要なのかが強調されます。アタックサーフェス (攻撃対象領域) を減らし、保護の取り組みを最大限に行うことは、既知の重大な脆弱性についてとくに重要といえます。 機微情報を保護している組織は、悪用頻度の高い脆弱性にはとくに注意を払う必要があります。また組織は、IT 衛生についてベスト...

Muddled Libraのクラウドへの進化

概要 Unit 42 のリサーチャーは、Muddled Libra グループが現在、SaaS (サービスとしてのソフトウェア) アプリケーションや CSP (クラウド サービス プロバイダー) 環境を積極的に標的にしていることを発見しました。さまざまなデータを SaaS アプリケーションに保存し、CSP のサービスを使う組織が増えていますが、脅威アクターは自らの仕事をマネタイズすべく、こうしたデータの一部を自らの攻撃進行に活用したり、恐喝に使ったりしはじめています。 Muddled Libra はまた、CSP サービスの正当なスケーラビリティ機能やネイティブ機能を使って新たなリソースを作成し、それらをデータ漏出に活用しています。すべての CSP は利用規約 (TOS: Terms of Service) ポリシーを用意しており、明示的に Muddled Libra が実行したような行為を禁じています。 本稿では以下について取り上げます。 SaaS 環境や CSP で使われるさまざまなアクセス方法 多用されるエクスプロイト データの偵察 CSP サービスを悪用したデータ漏出戦術 これらの方法はすべて検出可能なパターンを踏襲しているので、そうしたパターンに基づいて緩和策を実装すれば組織を保護できます。組織の環境が進化し、SaaS アプリケーションの使用や CSP の種類が増えてくれば、自社のリソース保護のための追加の対策が必要になってきます。そうした場合、以下に挙げた対策が役立つでしょう。 パロアルトネットワークスのお客さまは、以下の製品を通じて、上記の脅威からさらに強力に保護されています。 Prisma...