中国に関連する脅威アクターが、米国の非営利団体を標的としたサイバー攻撃に関与しているとされており、長期的な持続性を確立することを目的としている。これは、政策問題に関与または関連する米国組織を対象とした広範な活動の一環である。 BroadcomのSymantecおよびCarbon Blackチームのレポートによると、この組織は「国際問題に関する米国政府の政策に影響を与えようと積極的に活動している」。攻撃者は2025年4月の数週間にわたりネットワークへのアクセスを維持することに成功した。 最初の活動の兆候は2025年4月5日に現れ、AtlassianのCVE-2022-26134、Apache Log4jのCVE-2021-44228、Apache StrutsのCVE-2017-9805、GoAhead Web ServerのCVE-2017-17562など、さまざまな既知のエクスプロイトを利用したサーバーへの大規模なスキャン活動が検出された。 SymantecとCarbon BlackはThe Hacker Newsに対し、これらのエクスプロイトが成功した形跡はないと述べている。攻撃者は最終的にブルートフォースまたはクレデンシャルスタッフィング攻撃によって初期アクセスを得たと考えられている。 4月16日まで追加の活動は記録されなかったが、この日、攻撃者はインターネット接続をテストするために複数のcurlコマンドを実行し、その後、Windowsコマンドラインツールのnetstatを実行してネットワーク構成情報を収集した。続いて、スケジュールされたタスクを用いてホスト上に持続性を確立した。 このタスクは、正規のMicrosoftバイナリ「msbuild.exe」を実行して不明なペイロードを動作させるよう設計されており、さらに60分ごとに高権限のSYSTEMユーザーとして実行される別のスケジュールタスクも作成された。 SymantecとCarbon Blackによれば、この新たなタスクは「csc.exe」に未知のコードをロードおよびインジェクトすることができ、最終的にコマンド＆コントロール（C2）サーバー（「38.180.83[.]166」）との通信を確立した。その後、攻撃者はカスタムローダーを実行して不特定のペイロード（おそらくリモートアクセス型トロイの木馬（RAT））をメモリ上で展開・実行したと観測されている。 また、正規のVipre AVコンポーネント（「vetysafe.exe」）を実行し、DLLローダー（「sbamres.dll」）をサイドロードする動きも観測された。このコンポーネントは、以前Salt Typhoon（別名Earth Estries）に帰属される活動や、Earth Longzhi（APT41のサブクラスター）に帰属される攻撃でも、Deed RAT（別名Snappybee）のDLLサイドローディングに使用されたとされている。 「この悪意あるDLLのコピーは、以前、中国拠点の脅威アクターであるSpace Piratesに関連する攻撃で使用されていた」とBroadcomは述べている。「このコンポーネントの別のファイル名のバリアントも、中国のAPTグループKelp（別名Salt Typhoon）によって別のインシデントで使用された。」 標的ネットワークで観測された他のツールには、DcsyncやImjpuexcなどが含まれていた。攻撃者がどの程度成功したかは明らかではない。2025年4月16日以降、追加の活動は記録されていない。 「この被害者に対する活動から、攻撃者がネットワーク上で持続的かつステルス性の高い存在を確立しようとしていたこと、またドメインコントローラーの標的化に強い関心を持っていたことが明らかだ。これによりネットワーク内の多くのマシンに拡散する可能性がある」とSymantecとCarbon Blackは述べている。 「ツールのグループ間共有は中国の脅威アクター間で長年続く傾向であり、どの特定のグループが活動の背後にいるかを特定するのは困難だ。」 この公開は、BartBlazeというオンライン名で活動するセキュリティ研究者が、Salt TyphoonによるWinRARのセキュリティ脆弱性（CVE-2025-8088）の悪用を明らかにしたタイミングで行われた。この攻撃チェーンは、侵害されたホスト上でシェルコードを実行するDLLをサイドロードするものである。最終ペイロードはリモートサーバー（「mimosa.gleeze[.]com」）との接続を確立するよう設計されている。 他の中国系ハッカーグループの活動# 2025年7月、Speccom（別名IndigoZebraまたはSMAC）と呼ばれる脅威アクターによる中央アジアのエネルギー分野の標的化。フィッシングメールを通じて、BLOODALCHEMYのバリアントやkidsRAT、RustVoralixなどのカスタムバックドアを配信。 2025年7月、DigitalRecyclersと呼ばれる脅威アクターによる欧州組織の標的化。拡大鏡アクセシビリティツールを利用した異例の持続化手法でSYSTEM権限を取得。 2025年6月から9月にかけて、FamousSparrowと呼ばれる脅威アクターによるラテンアメリカ（アルゼンチン、エクアドル、グアテマラ、ホンジュラス、パナマ）の政府機関の標的化。Microsoft Exchange ServerのProxyLogon脆弱性を悪用してSparrowDoorを展開した可能性。 2025年5月から9月にかけて、防衛航空分野の台湾企業、中国拠点の米国貿易団体、中国拠点のギリシャ政府機関、エクアドル政府機関を標的としたSinisterEye（別名LuoYu、Cascade Panda）による攻撃。AitM（Adversary-in-the-Middle）攻撃で正規ソフトウェアアップデート機構を乗っ取り、WinDealer（Windows用）やSpyDealer（Android用）などのマルウェアを配信。 2025年6月、PlushDaemonと呼ばれる脅威アクターによるカンボジアの日本企業と多国籍企業の標的化。AitMポイズニングによりSlowStepperを配信。 「PlushDaemonは、ルーターなどのネットワーク機器を侵害し、EdgeStepperと名付けたツールを展開することでAitMポジショニングを実現します。このツールは、標的ネットワークのDNSトラフィックをリモートの攻撃者管理DNSサーバーへリダイレクトします」とESETは述べている。 「このサーバーは、ソフトウェアアップデートインフラに関連するドメインへの問い合わせに対し、アップデートハイジャックを実行するWebサーバーのIPアドレスで応答し、最終的にPlushDaemonの主力バックドアであるSlowStepperを配信します。」 中国系ハッカーグループが誤設定されたIISサーバーを標的に# 近月、脅威ハンターは中国語を話す脅威アクターが、公開されたマシンキーを利用して誤設定されたIISサーバーを標的とし、SEOクローキングやWebシェル機能を備えたTOLLBOOTH（別名HijackServer）というバックドアをインストールしているのを確認した。 「REF3927は、公開されたASP.NETマシンキーを悪用してIISサーバーを侵害し、TOLLBOOTHのSEOクローキングモジュールを世界中に展開しています」とElastic Security Labsの研究者は先月末に公開されたレポートで述べている。HarfangLabによれば、このオペレーションは世界中で数百台のサーバーに感染を広げており、インドと米国に感染が集中している。 この攻撃は、初期アクセスを利用してGodzilla Webシェルをドロップしたり、GotoHTTPリモートアクセスツールを実行したり、Mimikatzで認証情報を収集したり、オープンソースのルートキットHiddenを改変したHIDDENDRIVERを展開して感染マシン上の悪意あるペイロードの存在を隠蔽する試みが特徴である。 REF3927の攻撃パターンとTOLLBOOTHのSEOクローキングワークフロー このクラスターは、GhostRedirector、Operation Rewrite、UAT-8099など、IISサーバーを標的とした中国系脅威アクターの長いリストに新たに加わったものであり、こうした活動の急増を示している。 「悪意あるオペレーターは主に中国語を使用し、SEO対策のために侵害を利用しているように見受けられますが、展開されたモジュールは、影響を受けたサーバー上で任意の当事者がリモートでコマンドを実行できる持続的かつ認証不要なチャネルを提供しています」とフランスのサイバーセキュリティ企業は述べている。 （本記事は公開後、SymantecおよびCarbon Blackからの回答を反映して更新されました。） 翻訳元:

Bilgisayar yönetimi ve veri güvenliği denilince akla gelen klasik araçlardan biri Symantec Ghost’tur.Özellikle sistem yedekleme, disk klonlama ve hızlı geri yükleme işlemlerinde tercih edilen Ghost, hem bireysel kullanıcılar hem de kurumsal IT yöneticileri için güçlü bir çözüm sunar. 💡 Symantec Ghost Nedir? Symantec Ghost, Symantec tarafından geliştirilen, disk görüntüleme (disk imaging) ve yedekleme yazılımıdır.Bilgisayarın tüm sistemini veya belirli bölümlerini tek bir imaj dosyası olarak kaydederek, sorun yaşandığında sistemi eski haline getirmeye olanak tanır.

Russian actors, likely linked to Sandworm, targeted Ukrainian firms using LotL tactics and dual-use tools to steal data and stay hidden, says Symantec and Carbon Black. Russian threat actors, likely linked to the APT Sandworm, targeted Ukrainian organizations to steal sensitive data and maintain long-term network access, Symantec Threat Hunter Team and Carbon Black report. […]

ウクライナの組織が、ロシア系の脅威アクターによって標的にされ、機密データの窃取や侵害されたネットワークへの持続的なアクセスを狙われています。 SymantecおよびCarbon Black Threat Hunter Teamによる新しいレポートによると、この活動は2か月間にわたり大手ビジネスサービス組織を、また1週間にわたり同国の地方自治体を標的にしました。 攻撃は主にLiving-Off-the-Land（LotL）戦術とデュアルユースツールを活用し、マルウェアの使用を最小限に抑えてデジタルフットプリントを減らし、長期間にわたり検知を回避しています。 「攻撃者は、パブリックに公開されたサーバーにウェブシェルを展開することでビジネスサービス組織へのアクセスを獲得しました。これはおそらく、1つ以上の未修正の脆弱性を悪用したものと考えられます」と、Broadcom傘下のサイバーセキュリティチームはThe Hacker Newsに共有したレポートで述べています。 攻撃で使用されたウェブシェルの1つはLocaloliveであり、これは以前Microsoftによって、ロシア系SandwormクルーのサブグループがBadPilotと名付けられた数年にわたるキャンペーンの一環として使用していたことが指摘されています。LocalOliveはChisel、plink、rsockstunなどの次段階ペイロードの配信を容易にするために設計されており、少なくとも2021年後半から利用されています。 ビジネスサービス組織を標的とした悪意ある活動の初期の兆候は2025年6月27日にさかのぼり、攻撃者は足掛かりを利用してウェブシェルを設置し、偵察活動を行っていました。脅威アクターはまた、PowerShellコマンドを実行してMicrosoft Defender Antivirusのスキャンからマシンのダウンロードフォルダを除外し、30分ごとにメモリダンプを実行するスケジュールタスクを設定していたことも判明しています。 その後数週間にわたり、攻撃者はさまざまな行動を実施しました。例としては― レジストリハイブのコピーを1.logというファイルに保存 さらに多くのウェブシェルを設置 ウェブシェルを使ってユーザーディレクトリ内の全ファイルを列挙 「kee」で始まるすべての実行中プロセスをリストアップするコマンドを実行（おそらくKeePassパスワード保管庫を標的） 2台目のマシンで全アクティブユーザーセッションをリストアップ ダウンロードフォルダ内の「service.exe」と「cloud.exe」という実行ファイルを実行 3台目のマシンで偵察コマンドを実行し、Microsoft Windows Resource Leak Diagnostic tool（RDRLeakDiag）を使ってメモリダンプを取得 レジストリを変更してRDP接続を許可し、着信RDP接続を可能に 4台目のマシンでWindows構成情報を取得するPowerShellコマンドを実行 RDPclipを実行してリモートデスクトップ接続時のクリップボードにアクセス OpenSSHをインストールしてコンピュータへのリモートアクセスを容易に OpenSSHサーバー用にポート22のTCPトラフィックを許可するPowerShellコマンドを実行 ドメインアカウントを使い、30分ごとに不明なPowerShellバックドア（link.ps1）を実行するスケジュールタスクを作成 不明なPythonスクリプトを実行 正規のMikroTikルーター管理アプリケーション（「winbox64.exe」）をダウンロードフォルダに展開 興味深いことに、「winbox64.exe」の存在は2024年4月にもCERT-UAによって、ウクライナのエネルギー・水道・暖房供給業者を標的としたSandwormキャンペーンとの関連で記録されています。 SymantecとCarbon Blackは、侵害の中でSandwormとの関連を示す証拠は見つからなかったものの、「ロシア起源であるように見える」と述べています。また、攻撃は複数のPowerShellバックドアやマルウェアである可能性の高い不審な実行ファイルの展開が特徴だったことも明らかにしました。しかし、これらのアーティファクトは分析のために入手されていません。 「攻撃者は侵害中に限られた量のマルウェアしか使用しませんでしたが、発生した悪意ある活動の多くは、Living-Off-the-Landや攻撃者が持ち込んだデュアルユースソフトウェアなど、正規のツールを利用していました」とSymantecとCarbon Blackは述べています。 「攻撃者はWindowsのネイティブツールに関する深い知識を示し、熟練した攻撃者がどのようにして攻撃を進め、資格情報などの機密情報を盗みつつ、標的ネットワーク上に最小限の痕跡しか残さないかを示しました。」 この発表は、Gen Threat LabsがGamaredonによるWinRARの現在は修正済みの脆弱性（CVE-2025-8088、CVSSスコア: 8.8）を利用したウクライナ政府機関への攻撃を詳述したことを受けてのものです。 「攻撃者は#CVE-2025-8088（WinRARパストラバーサル）を悪用し、RARアーカイブを配信して、ユーザーが無害なPDFを開くだけで、HTAマルウェアをスタートアップフォルダにサイレントにドロップします」と同社はXへの投稿で述べています。「これらの誘導は、被害者に武器化されたアーカイブを開かせるよう巧妙に作られており、過去のキャンペーンで見られた積極的な標的化のパターンが続いています。」 また、Recorded Futureのレポートによると、ロシアのサイバー犯罪エコシステムはOperation Endgameなど国際的な法執行機関のキャンペーンによって積極的に形作られており、ロシア政府と電子犯罪グループとの関係が受動的な容認から積極的な管理へと変化していることが明らかになりました。 漏洩したチャットのさらなる分析により、これらの脅威グループ内の上層部がしばしばロシアの情報機関と関係を維持し、データ提供やタスク実行、賄賂や政治的コネを利用して免責を得ていることが判明しています。同時に、サイバー犯罪クルーは西側および国内の監視を回避するために運用の分散化を進めています。 ロシアのサイバー犯罪者が自国内の企業や団体を標的にしない限り自由に活動できることは以前から知られていましたが、クレムリンは現在、必要に応じて人材をリクルートまたは取り込んだり、攻撃が自国の利益と一致する場合は見て見ぬふりをしたり、脅威アクターが「政治的に不都合または外部にとって恥ずかしい存在」となった場合に選択的に法を執行したりと、より微妙なアプローチを取っているようです。 このことから、「ダーク・カヴナント（暗黒の契約）」は、商業的企業、影響力および情報取得の手段、そして国内の安定を脅かしたり西側からの圧力によって責任を問われるリスクがある場合の負債という、いくつかの要素が組み合わさったものと見なせます。 「ロシアのサイバー犯罪地下組織は、国家による統制と内部不信という二重の圧力で分裂しつつあり、独自のフォーラム監視やランサムウェアアフィリエイトのやり取りからは、運営者間のパラノイアの高まりが見て取れます」と同社はダーク・カヴナントレポート第3弾で指摘しています。 翻訳元:

China-based threat actors exploited ToolShell SharePoint flaw CVE-2025-53770 soon after it was patched in July.

Symantec exposed a complex Chinese APT network (Glowworm/UNC5221) deploying Zingdoor and ShadowPad across US/South American targets. The groups abuse DLL sideloading and PetitPotam for credential theft.

Veeam's proposed acquisition of Securiti AI for $1.725 billion addresses a long-standing disconnect between where data runs and where it's protected. The move

Chinese threat actors exploited a patched SharePoint flaw, CVE-2025-53770, in global espionage attacks.

中国と関係のある脅威アクターが、2025年7月に公開されパッチが適用された後、Microsoft SharePointのToolShellセキュリティ脆弱性を悪用し、中東の通信会社に侵入しました。 また、アフリカのある国の政府部門、南米の政府機関、米国の大学、さらにおそらくアフリカの州技術機関、中東の政府部門、欧州の金融会社も標的となりました。 BroadcomのSymantec Threat Hunter Teamによると、これらの攻撃はCVE-2025-53770の悪用を含んでおり、これはオンプレミスのSharePointサーバーに存在した（現在はパッチ済みの）セキュリティ欠陥で、認証をバイパスしリモートコード実行を可能にするものでした。 CVE-2025-53770は、CVE-2025-49704およびCVE-2025-49706のパッチ回避と評価されており、3つの中国の脅威グループ（Linen Typhoon（別名Budworm）、Violet Typhoon（別名Sheathminer）、Storm-2603）によってゼロデイとして武器化されてきました。Storm-2603は最近、Warlock、LockBit、Babukランサムウェアファミリーの展開と関連しています。 しかし、Symantecの最新の調査によると、さらに幅広い中国の脅威アクターがこの脆弱性を悪用していることが示されています。これには、Salt Typhoon（別名Glowworm）ハッキンググループも含まれており、ToolShellの脆弱性を利用して、Zingdoor、ShadowPad、KrustyLoaderなどのツールを通信会社やアフリカの2つの政府機関に展開したとされています。 KrustyLoaderは、2024年1月にSynacktivによって詳細が明らかにされたRustベースのローダーで、中国系スパイ活動グループUNC5221がIvanti Endpoint Manager Mobile（EPMM）やSAP NetWeaverの脆弱性を悪用した攻撃で以前使用していました。 一方、南米の政府機関や米国の大学を狙った攻撃では、初期アクセスの獲得に未公開の脆弱性が使用され、その後SQLサーバーやAdobe ColdFusionソフトウェアが稼働するApache HTTPサーバーの悪用を通じて、DLLサイドローディング技術で悪意あるペイロードが配信されました。 一部のインシデントでは、攻撃者が権限昇格とドメイン侵害のためにCVE-2021-36942（別名PetitPotam）のエクスプロイトを実行し、さらにスキャン、ファイルダウンロード、認証情報窃取を促進するために、入手可能なツールやLiving-off-the-land（LotL）ツールを使用していることが観察されています。 「被害者の種類や使用されたツールの一部には、これまでGlowwormに帰属されてきた活動との重複が見られます」とSymantecは述べています。「しかし、現時点でこの活動を特定のグループに断定的に帰属させる十分な証拠はありませんが、すべての証拠は背後にいるのが中国拠点の脅威アクターであることを示しています。」 「標的となったネットワーク上で行われた活動は、攻撃者が認証情報の窃取や、被害者ネットワークへの持続的かつステルスなアクセスの確立に関心を持っていたことを示しており、おそらくスパイ活動を目的としていると考えられます。」 翻訳元:

画像クレジット: Shutterstock (画像クレジット: Shutterstock) 中国のAPT「Jewelbug」がロシアのITプロバイダーに侵入し、5か月間発見されずに潜伏 攻撃者はリネームしたMicrosoftデバッガーを使って防御を回避し、Yandex Cloud経由でデータを流出 Symantecは、中国拠点の攻撃者が地政学的な同盟関係にもかかわらずロシアを標的にしていると指摘 最近、中国のハッカーがロシア人を標的にしていることが確認され、西側のサイバーセキュリティコミュニティの間で注目を集めています。両国はサイバースペースを含む多くの分野で同盟関係にあると見なされているためです。 今週初め、セキュリティ企業Symantecは新しいレポートを公開し、最近「非常に活発」な中国国家支援の脅威アクター「Jewelbug」の活動を詳述しました。このレポートによると、Jewelbugは南米、南アジア、台湾、そして特にロシアを標的にしていることが確認されています。 2025年初頭、JewelbugはロシアのITサービスプロバイダーのネットワークに侵入し、少なくとも5か月間潜伏していました。その間、彼らはコードリポジトリやソフトウェアビルドシステムにアクセスし、ITサービスプロバイダーの顧客に対してサプライチェーン攻撃を仕掛けるために利用できる状態でした。 7zup.exeとYandex この侵害が発覚したのは、研究者がITプロバイダーのシステム上で「7zup.exe」というファイルを発見したときでした。これは、正規のMicrosoftバイナリ「CDB（Microsoft Console Debugger）」をリネームしたものでした。 Symantecによると、このツールはシェルコードの実行、アプリケーションのホワイトリスト回避、実行ファイルやDLLの起動、セキュリティソリューションの終了などに利用できます。 「cbd.exeのリネーム版を使うのはJewelbugの活動の特徴です」とレポートには記されています。「Microsoftは、CDBの実行をデフォルトでブロックし、明確に必要な場合のみ特定ユーザーにホワイトリスト登録することを推奨しています。」 CBDの助けを借りて、Jewelbugは認証情報のダンプ、永続化の確立、スケジュールタスクによる権限昇格を行いました。彼らはWindowsイベントログを消去して痕跡を隠そうとし、Yandex Cloudを使ってデータを流出させました。Yandexはロシアのクラウドサービスプロバイダーであり、国内で一般的に使われているため、通常は疑いを持たれにくいと考えられます。 「中国のAPTグループによるロシア組織の標的化は、中国拠点の攻撃者による活動において、ロシアが決して対象外ではないことを示しています」とSymantecは結論付けています。 出典：The Register GoogleニュースでTechRadarをフォローし、 お気に入りの情報源に追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンをクリックするのをお忘れなく！ もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的な最新情報を受け取れます。 翻訳元:

中国のサイバースパイがロシアのITサービスプロバイダーに密かに侵入したことが、研究者によって明らかにされました。これは、北京がデジタルの視線をモスクワに向けた珍しい例だとされています。 SymantecのThreat Hunter Teamのセキュリティ専門家は、中国のAPTグループ「Jewelbug」（REF7707、CL-STA-0049、Earth Aluxとしても追跡）によるロシアのITサービス企業への侵入を報告しており、国家に連携するサイバースパイ活動の闇の世界における驚くべき展開となっています。 これまで、中国とロシアのサイバーアクターは互いに争うことを避けてきました。しかし、この隠密な侵害は、中国のオペレーターが今やロシアのインフラ、あるいは少なくともそのサプライチェーンを情報収集のために探る意思があることを示唆しています。 Symantecによると、この侵入は2025年初頭から5月まで続き、攻撃者に被害者ネットワーク内のビルドサーバー、コードリポジトリ、その他の機密インフラへの数か月間にわたる未検知のアクセスを許しました。実質的に、Jewelbugはプロバイダーの顧客に対してソフトウェアサプライチェーン攻撃を仕掛ける態勢を整えていたことになり、これは「内側からドアを破る」典型的な手法で、ロシア企業のネットワーク全体に波及する可能性がありました。 攻撃者は身を隠すため、Microsoftのcdb.exeをリネームした「7zup.exe」を使用しました。これはJewelbugの過去の作戦でも見られた手法で、シェルコードの実行、DLLの生成、プロセスの乗っ取りが可能です。認証情報のダンプ、スケジュールタスクによる永続化、イベントログの消去もレパートリーに含まれており、データの持ち出しはYandex Cloud経由で行われました。これはロシア企業がブロックしたり疑問視したりする可能性が低く、攻撃者にとっては国内サイバーパリメータ内でのもっともらしい否認性を与えます。 「中国のAPTグループによるロシア組織の標的化は、中国拠点のアクターによる作戦においてロシアが排除されていないことを示している」と、Broadcom傘下のSymantecは述べています。 「ITサービスプロバイダーが、ロシア国内の顧客企業に対するソフトウェアサプライチェーン攻撃を目的として標的にされた可能性があるという点も注目に値します。これは、攻撃者が国内の多数の企業にアクセスできる可能性があり、サイバースパイ活動や妨害に利用できたことを意味します。」 これは北京がロシアのシステムに注目した唯一の事例ではありません。ニューヨーク・タイムズの調査によると、中国系のハッカーグループは2022年半ば以降、軍事機密を求めてロシアの国家・企業ネットワークに侵入してきました。ある事例では、「Sanyo」と呼ばれるグループがロシアのエンジニアリング企業を装い、原子力潜水艦に関するデータを抽出したとされています。また別のケースでは、攻撃者がロステックを調査し、衛星通信、レーダーシステム、電子戦に関する情報を探ったと報告されています。 この報告は、両国間の「無限の友情」という公のレトリックにもかかわらず、北京がロシアを切り離せない同盟国というより、搾取に値する豊富な情報資産と見なしている可能性を示唆しています。 並行して、Microsoft Graph APIとOneDriveをコマンド＆コントロールインフラとして活用する新たなバックドアが南米の標的への攻撃で確認されています。このクラウドネイティブなC2チャネルへの移行は、Jewelbugがより秘匿性と高度化を追求していることを示し、従来型の悪意ある挙動の指標が少なくなっています。 ロシアの防御担当者や、ロシアのITインフラを供給・依存しているすべての人にとって、これは警告の一撃です。中国のサイバーエリートにとって手を出さない領域と見なされてきた分野でも、ルールが変わりつつあるのかもしれません。® 翻訳元:

中国と関係のある脅威アクターが、ロシアのITサービスプロバイダーを標的とした5か月間にわたる侵入に関与していたことが判明し、このハッキンググループが東南アジアや南米以外の国にも活動範囲を拡大していることが明らかになりました。 2025年1月から5月にかけて行われたこの活動は、Broadcom傘下のSymantecによって、Jewelbugとして追跡されている脅威アクターによるものとされており、これはCL-STA-0049（Palo Alto Networks Unit 42）、Earth Alux（Trend Micro）、およびREF7707（Elastic Security Labs）として知られるクラスターと重複していると述べています。 この調査結果は、モスクワと北京の間で年々「軍事、経済、外交」関係が強化されているにもかかわらず、ロシアが中国のサイバースパイ活動の対象外ではないことを示唆しています。 「攻撃者はコードリポジトリやソフトウェアビルドシステムにアクセスしており、これらを利用してロシア国内の同社顧客を標的としたサプライチェーン攻撃を実行する可能性がありました」とSymantec脅威ハンターチームは報告書でThe Hacker Newsに伝えています。「特筆すべきは、攻撃者がデータをYandex Cloudに流出させていたことです。」 Earth Aluxは少なくとも2023年第2四半期から活動しているとされ、主にアジア太平洋（APAC）および中南米（LATAM）地域の政府、テクノロジー、物流、製造、通信、ITサービス、小売業を標的とし、VARGEITやCOBEACON（別名Cobalt Strike Beacon）などのマルウェアを配布しています。 一方、CL-STA-0049/REF7707による攻撃では、FINALDRAFT（別名Squidoor）という高度なバックドアが配布されていることが確認されており、これはWindowsとLinuxの両方のシステムに感染可能です。Symantecの調査結果は、これら2つの活動クラスターが初めて関連付けられたことを示しています。 ロシアのITサービスプロバイダーを標的とした攻撃では、JewelbugがMicrosoft Console Debugger（「cdb.exe」）のリネーム版を利用したとされており、これによりシェルコードの実行やアプリケーションの許可リスト回避、実行ファイルの起動、DLLの実行、セキュリティソリューションの終了などが可能になります。 この脅威アクターは、資格情報のダンプ、スケジュールタスクによる永続化の確立、Windowsイベントログの消去による活動痕跡の隠蔽も行っていたことが確認されています。 ITサービスプロバイダーを標的とすることは戦略的であり、サプライチェーン攻撃の可能性を開き、脅威アクターが悪意あるソフトウェアアップデートを通じて複数の下流顧客に同時に侵入することを可能にします。 さらに、Jewelbugは2025年7月に南米の大規模な政府機関への侵入にも関与しており、開発中とされる未公開のバックドアを展開しました。これはグループの進化する能力を浮き彫りにしています。このマルウェアはMicrosoft Graph APIとOneDriveをコマンド＆コントロール（C2）に利用し、システム情報の収集、標的マシンからのファイル一覧取得、情報のOneDriveへのアップロードが可能です。 Microsoft Graph APIの利用により、脅威アクターは通常のネットワークトラフィックに紛れることができ、フォレンジック上の痕跡も最小限となるため、事後分析を困難にし、脅威アクターの潜伏期間を延長させます。 その他の標的には、2024年10月および11月に南アジア拠点のITプロバイダーや台湾企業が含まれており、後者への攻撃ではDLLサイドローディング技術を利用して、ShadowPadなど中国のハッキンググループ専用のバックドアを含む悪意あるペイロードが投下されました。 感染チェーンはまた、セキュリティソフトを無効化するKillAVツールや、ECHOACアンチチートドライバーのカーネル読み書き脆弱性を悪用できる公開ツールEchoDrvの展開が特徴であり、これは「脆弱なドライバー持ち込み（BYOVD）」攻撃の一環とみられます。 また、資格情報のダンプにはLSASSやMimikatz、探索や権限昇格にはPrintNotifyPotato、Coerced Potato、Sweet Potatoなどのフリーのツール、さらにGelsemiumやLucky Mouseといった中国のハッキンググループが使用してきたSOCKSトンネリングユーティリティEarthWormも利用されていました。 「Jewelbugがクラウドサービスや他の正規ツールの利用を好むことは、被害者ネットワーク内で目立たず、ステルス性と持続性の高い存在を確立することがこのグループにとって最重要であることを示しています」とSymantecは述べています。 この情報公開は、台湾の国家安全局が中国による政府部門へのサイバー攻撃の増加を警告し、北京の「ネット上のトロール軍団」が偽情報をSNS上で拡散し、政府への信頼を損ね、米国への不信感を煽ろうとしていると指摘したタイミングで明らかになりました（ロイター報道）。 翻訳元: