~中国が支援するサイバー攻撃グループ、オープンソースツールの利用に軸足を置く~

~ソフォスは、新たなキーロガー「Tattletale」を発見~

9月 20, 2024 —

サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区代表取締役足立達矢)は本日、「クリムゾンパレス作戦:新たなツール、戦術、および標的」と題するレポートを公開しました。本レポートでは、東南アジアで2年近くにわたって実行されている中国のサイバースパイ活動の最新動向を詳述しています。Sophos X-Opsは、2024年6月に「クリムゾンパレス作戦」と命名した攻撃について報告しました。Sophos X-Opsは、中国が支援しており、重要な政府機関に狙った3つの個別の攻撃クラスタCluster Alpha (クラスタアルファ), Cluster Bravo (クラスタブラボー), Cluster Charlie (クラスタチャーリー)の詳細を明らかにしました。2023年8月に一時的に攻撃が休止されていましたが、Sophos X-Opsは最初に標的となった組織とその地域の他の多数の組織の両方で、クラスタブラボーとクラスタチャーリーの活動が再開されていることを発見しました。

Sophos X-Opsは、さらにこの新たな攻撃を調査している中、新種のキーロガーを発見しました。このキーロガーは脅威ハンターによって「Tattletale」と命名されました。Tattletaleは、システムにサインインしたユーザーになりすまし、パスワードポリシー、セキュリティ設定、キャッシュパスワード、ブラウザ情報、ストレージデータに関する情報を収集します。また、Sophos X-Opsは攻撃の第一波とは対照的に、クラスタチャーリーは最初の攻撃で開発したカスタムマルウェアを展開せず、オープンソースツールを使用するように順次切り替えていることが当レポートで指摘されています。

ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは次のように述べています。「ソフォスは、これらのサイバー攻撃グループとチェスのような戦いを続けてきました。活動の初期段階において、クラスタチャーリーはカスタマイズしたさまざまなツールやマルウェアを展開していましたが、ソフォスは攻撃者が使用していた多くのインフラを無力化し、コマンドアンドコントロール(C2)ツールを阻止してきました。そのため、これらの攻撃者は戦略を転換せざるを得なくなっています。しかし、攻撃の主軸をオープンソースツールに切り替えていることは、これらの攻撃者グループがいかにすばやく適応し、しぶとく生き残っていることを示しています。また、中国が支援するサイバー攻撃グループの新たな動向も明らかになりました。セキュリティコミュニティは、これらの攻撃者から最も機密性の高いシステムを保護する取り組みを進めており、この方針転換に関する知見を共有することは、今後に役立つはずです」

クラスタチャーリーは、2023年3月から8月にかけて東南アジアの重要な政府機関を標的に活動していた中国のサイバー攻撃グループであるEarth Longzhiと戦術、手法、および手順(TTP)を共有しています。このクラスタは数週間活動を停止していましたが、2023年9月に再開し、少なくとも2024年5月まで活動していました。この活動の第2段階では、クラスタチャーリーはネットワークのさらに深部に侵入し、EDR(Endpoint Detection and Response)ツールを回避し、さらに多くの情報を収集することに重点を置いていました。オープンソースツールに切り替えたことに加え、クラスタチャーリーは当初クラスタアルファとクラスタブラボーが展開した戦術を利用し始めました。これは、同じ組織が3つのクラスタすべてを統括し、指示していることを示唆しています。Sophos X-Opsは、東南アジアの他のいくつもの組織で進行しているクラスタチャーリーの活動を追跡しています。

クラスタブラボーは、中国のサイバー攻撃グループである「Unfading Sea Haze」とTTPを共有しており、当初は2023年3月の3週間のみ標的組織のネットワークで活動していました。しかし、このクラスタは2024年1月に再び出現し、今度は同じ地域の少なくとも11の他の組織や機関を標的にしています。

Paul Jaramilloは次のように述べています。「クリムゾンパレス作戦の3つのクラスタがその戦術を洗練させて連携しているだけでなく、東南アジアの他の標的組織にも潜入して、作戦の範囲を拡大しています。中国が支援するサイバー攻撃グループがインフラやツールを頻繁に共有しており、クラスタブラボーとクラスタチャーリーが当初の標的からその対象を拡大していることから、このキャンペーンは今後も進化し、新たな場所で被害が生まれる恐れがあります。ソフォスは今後もこれらの活動を緊密に監視しています」

詳しくは、「クリムゾンパレス:新たなツール、戦術、および標的」をご覧ください。サイバー攻撃を阻止するためのソフォスの脅威ハンティングやその他のサービスの詳細については、ソフォスのマネージドディテクション&レスポンス(MDR)をご覧ください。

この約2年間にわたるサイバースパイ活動キャンペーンの背後にある脅威ハンティングの詳細については、ウェビナー「Surfacing a Hydra: Operation Crimson Palace(英語)」(https://events.sophos.com/operation-crimson-palace/にて解説しますので、ぜひご登録ください。

詳細情報

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。