~中国が支援するサイバー攻撃グループ、オープンソースツールの利用に軸足を置く~

~ソフォスは、新たなキーロガー「Tattletale」を発見~

9月 20, 2024 —

サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区代表取締役足立達矢)は本日、「クリムゾンパレス作戦:新たなツール、戦術、および標的」と題するレポートを公開しました。本レポートでは、東南アジアで2年近くにわたって実行されている中国のサイバースパイ活動の最新動向を詳述しています。Sophos X-Opsは、2024年6月に「クリムゾンパレス作戦」と命名した攻撃について報告しました。Sophos X-Opsは、中国が支援しており、重要な政府機関に狙った3つの個別の攻撃クラスタCluster Alpha (クラスタアルファ), Cluster Bravo (クラスタブラボー), Cluster Charlie (クラスタチャーリー)の詳細を明らかにしました。2023年8月に一時的に攻撃が休止されていましたが、Sophos X-Opsは最初に標的となった組織とその地域の他の多数の組織の両方で、クラスタブラボーとクラスタチャーリーの活動が再開されていることを発見しました。

Sophos X-Opsは、さらにこの新たな攻撃を調査している中、新種のキーロガーを発見しました。このキーロガーは脅威ハンターによって「Tattletale」と命名されました。Tattletaleは、システムにサインインしたユーザーになりすまし、パスワードポリシー、セキュリティ設定、キャッシュパスワード、ブラウザ情報、ストレージデータに関する情報を収集します。また、Sophos X-Opsは攻撃の第一波とは対照的に、クラスタチャーリーは最初の攻撃で開発したカスタムマルウェアを展開せず、オープンソースツールを使用するように順次切り替えていることが当レポートで指摘されています。

ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは次のように述べています。「ソフォスは、これらのサイバー攻撃グループとチェスのような戦いを続けてきました。活動の初期段階において、クラスタチャーリーはカスタマイズしたさまざまなツールやマルウェアを展開していましたが、ソフォスは攻撃者が使用していた多くのインフラを無力化し、コマンドアンドコントロール(C2)ツールを阻止してきました。そのため、これらの攻撃者は戦略を転換せざるを得なくなっています。しかし、攻撃の主軸をオープンソースツールに切り替えていることは、これらの攻撃者グループがいかにすばやく適応し、しぶとく生き残っていることを示しています。また、中国が支援するサイバー攻撃グループの新たな動向も明らかになりました。セキュリティコミュニティは、これらの攻撃者から最も機密性の高いシステムを保護する取り組みを進めており、この方針転換に関する知見を共有することは、今後に役立つはずです」

クラスタチャーリーは、2023年3月から8月にかけて東南アジアの重要な政府機関を標的に活動していた中国のサイバー攻撃グループであるEarth Longzhiと戦術、手法、および手順(TTP)を共有しています。このクラスタは数週間活動を停止していましたが、2023年9月に再開し、少なくとも2024年5月まで活動していました。この活動の第2段階では、クラスタチャーリーはネットワークのさらに深部に侵入し、EDR(Endpoint Detection and Response)ツールを回避し、さらに多くの情報を収集することに重点を置いていました。オープンソースツールに切り替えたことに加え、クラスタチャーリーは当初クラスタアルファとクラスタブラボーが展開した戦術を利用し始めました。これは、同じ組織が3つのクラスタすべてを統括し、指示していることを示唆しています。Sophos X-Opsは、東南アジアの他のいくつもの組織で進行しているクラスタチャーリーの活動を追跡しています。

クラスタブラボーは、中国のサイバー攻撃グループである「Unfading Sea Haze」とTTPを共有しており、当初は2023年3月の3週間のみ標的組織のネットワークで活動していました。しかし、このクラスタは2024年1月に再び出現し、今度は同じ地域の少なくとも11の他の組織や機関を標的にしています。

Paul Jaramilloは次のように述べています。「クリムゾンパレス作戦の3つのクラスタがその戦術を洗練させて連携しているだけでなく、東南アジアの他の標的組織にも潜入して、作戦の範囲を拡大しています。中国が支援するサイバー攻撃グループがインフラやツールを頻繁に共有しており、クラスタブラボーとクラスタチャーリーが当初の標的からその対象を拡大していることから、このキャンペーンは今後も進化し、新たな場所で被害が生まれる恐れがあります。ソフォスは今後もこれらの活動を緊密に監視しています」

詳しくは、「クリムゾンパレス:新たなツール、戦術、および標的」をご覧ください。サイバー攻撃を阻止するためのソフォスの脅威ハンティングやその他のサービスの詳細については、ソフォスのマネージドディテクション&レスポンス(MDR)をご覧ください。

この約2年間にわたるサイバースパイ活動キャンペーンの背後にある脅威ハンティングの詳細については、ウェビナー「Surfacing a Hydra: Operation Crimson Palace(英語)」(https://events.sophos.com/operation-crimson-palace/にて解説しますので、ぜひご登録ください。

詳細情報

ソフォスについて

ソフォスは、サイバーセキュリティ業界のリーダー企業として、AI を駆使したプラットフォームや精鋭スタッフによるサービスを世界中の 600,000社以上のお客様にご利用いただいています。セキュリティの成熟度にかかわらず、あらゆるお客様のご要望にお応えし、サイバー攻撃を撃退すべくお客様とともに成長を続けています。機械学習や、自動化、リアルタイムの脅威インテリジェンスに、Sophos X-Ops の最前線スタッフから得た専門知識を組み合わせて、高度な脅威監視、検出、対応を 24時間 365日体制で行っています。
ソフォスは、業界最先端の MDR (managed detection and response) を提供しているのに加えて、エンドポイントをはじめ、ネットワーク、メール、クラウドセキュリティ、XDR (extended detection and response)、ITDR (identity threat detection and response)、次世代の SIEM まで、サイバーセキュリティテクノロジーのあらゆるラインナップを取り揃えています。さらに、専門家によるアドバイザリーサービスも提供しており、組織はこれらを組み合わせて利用することで、リスクをあらかじめ減らし、迅速な対応をとれるようになるだけでなく、進化し続ける脅威の一歩先をいくために必要な可視性および拡張性を確保することが可能となります。
ソフォスは、グローバルに広がるパートナーエコシステムを通じて市場展開しており、お客様は、MSP (Managed Service Provider)、MSSP (Managed Security Service Provider) や、リセラー、ディストリビューターのほか、マーケットプレイスにおける統合、ソフォスのサイバーリスクパートナーまで、信頼できる関係性を自由にお選びいただけます。  ソフォス本社は英国のオックスフォードにあります。詳細については www.sophos.com をご覧ください。