~中国が支援するサイバー攻撃グループ、オープンソースツールの利用に軸足を置く~

~ソフォスは、新たなキーロガー「Tattletale」を発見~

9月 20, 2024 —

サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区代表取締役足立達矢)は本日、「クリムゾンパレス作戦:新たなツール、戦術、および標的」と題するレポートを公開しました。本レポートでは、東南アジアで2年近くにわたって実行されている中国のサイバースパイ活動の最新動向を詳述しています。Sophos X-Opsは、2024年6月に「クリムゾンパレス作戦」と命名した攻撃について報告しました。Sophos X-Opsは、中国が支援しており、重要な政府機関に狙った3つの個別の攻撃クラスタCluster Alpha (クラスタアルファ), Cluster Bravo (クラスタブラボー), Cluster Charlie (クラスタチャーリー)の詳細を明らかにしました。2023年8月に一時的に攻撃が休止されていましたが、Sophos X-Opsは最初に標的となった組織とその地域の他の多数の組織の両方で、クラスタブラボーとクラスタチャーリーの活動が再開されていることを発見しました。

Sophos X-Opsは、さらにこの新たな攻撃を調査している中、新種のキーロガーを発見しました。このキーロガーは脅威ハンターによって「Tattletale」と命名されました。Tattletaleは、システムにサインインしたユーザーになりすまし、パスワードポリシー、セキュリティ設定、キャッシュパスワード、ブラウザ情報、ストレージデータに関する情報を収集します。また、Sophos X-Opsは攻撃の第一波とは対照的に、クラスタチャーリーは最初の攻撃で開発したカスタムマルウェアを展開せず、オープンソースツールを使用するように順次切り替えていることが当レポートで指摘されています。

ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは次のように述べています。「ソフォスは、これらのサイバー攻撃グループとチェスのような戦いを続けてきました。活動の初期段階において、クラスタチャーリーはカスタマイズしたさまざまなツールやマルウェアを展開していましたが、ソフォスは攻撃者が使用していた多くのインフラを無力化し、コマンドアンドコントロール(C2)ツールを阻止してきました。そのため、これらの攻撃者は戦略を転換せざるを得なくなっています。しかし、攻撃の主軸をオープンソースツールに切り替えていることは、これらの攻撃者グループがいかにすばやく適応し、しぶとく生き残っていることを示しています。また、中国が支援するサイバー攻撃グループの新たな動向も明らかになりました。セキュリティコミュニティは、これらの攻撃者から最も機密性の高いシステムを保護する取り組みを進めており、この方針転換に関する知見を共有することは、今後に役立つはずです」

クラスタチャーリーは、2023年3月から8月にかけて東南アジアの重要な政府機関を標的に活動していた中国のサイバー攻撃グループであるEarth Longzhiと戦術、手法、および手順(TTP)を共有しています。このクラスタは数週間活動を停止していましたが、2023年9月に再開し、少なくとも2024年5月まで活動していました。この活動の第2段階では、クラスタチャーリーはネットワークのさらに深部に侵入し、EDR(Endpoint Detection and Response)ツールを回避し、さらに多くの情報を収集することに重点を置いていました。オープンソースツールに切り替えたことに加え、クラスタチャーリーは当初クラスタアルファとクラスタブラボーが展開した戦術を利用し始めました。これは、同じ組織が3つのクラスタすべてを統括し、指示していることを示唆しています。Sophos X-Opsは、東南アジアの他のいくつもの組織で進行しているクラスタチャーリーの活動を追跡しています。

クラスタブラボーは、中国のサイバー攻撃グループである「Unfading Sea Haze」とTTPを共有しており、当初は2023年3月の3週間のみ標的組織のネットワークで活動していました。しかし、このクラスタは2024年1月に再び出現し、今度は同じ地域の少なくとも11の他の組織や機関を標的にしています。

Paul Jaramilloは次のように述べています。「クリムゾンパレス作戦の3つのクラスタがその戦術を洗練させて連携しているだけでなく、東南アジアの他の標的組織にも潜入して、作戦の範囲を拡大しています。中国が支援するサイバー攻撃グループがインフラやツールを頻繁に共有しており、クラスタブラボーとクラスタチャーリーが当初の標的からその対象を拡大していることから、このキャンペーンは今後も進化し、新たな場所で被害が生まれる恐れがあります。ソフォスは今後もこれらの活動を緊密に監視しています」

詳しくは、「クリムゾンパレス:新たなツール、戦術、および標的」をご覧ください。サイバー攻撃を阻止するためのソフォスの脅威ハンティングやその他のサービスの詳細については、ソフォスのマネージドディテクション&レスポンス(MDR)をご覧ください。

この約2年間にわたるサイバースパイ活動キャンペーンの背後にある脅威ハンティングの詳細については、ウェビナー「Surfacing a Hydra: Operation Crimson Palace(英語)」(https://events.sophos.com/operation-crimson-palace/にて解説しますので、ぜひご登録ください。

詳細情報

ソフォスについて

ソフォスは、サイバー攻撃に打ち勝つための高度なセキュリティソリューションのグローバルリーダーです。2025年2月にセキュアワークスを買収し、MDRを中心にAIに最適化されたサービス、テクノロジー、製品を提供するサイバーセキュリティ業界の先駆者として、新たな展開を迎えました。ソフォスは現在、30,000以上の組織をサポートする世界最大のMDR(Managed Detection and Response)プロバイダーとなりました。ソフォスのポートフォリオには、先進的エンドポイントやネットワーク、メール、クラウドセキュリティが含まれ、Sophos Centralプラットフォームを通じて統合的防御を提供しています。セキュアワークスは、Taegis、ID脅威検出と対応(ITDR)、次世代 SIEM、リスク管理、包括的なアドバイザリーサービスを提供しています。ソフォスは、これらすべてのソリューションを、世界中のリセラーパートナー、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)を通じて提供することで、フィッシング、ランサムウェア、データ盗難、などの日常的なサイバー犯罪や、国家主導型サイバー攻撃から世界60万以上の組織を守っています。このソリューションは、Sophos X-Opsによる脅威インテリジェスと、新たに統合されたCounter Threat Unit (CTU) のデータによって強化されます。ソフォスは英国オックスフォードに本社を置いています。詳細は www.sophos.com をご覧ください。