中国ハッカー、FireEyeの攻撃報道の数日前に多数のバックドアを全削除:オバマ・習近平協定違反を危惧してか

セキュリティ企業FireEye社は、Pulse Secure VPNアプライアンスのゼロデイ脆弱性を悪用して、米国とヨーロッパ全域の防衛関連企業や政府機関に侵入した中国のハッキンググループの活動を捕捉していました。

Pulse Secure社、ハッキングに使用されたVPNのゼロデイ脆弱性を修正

FireEye社がUNC2630およびUNC2717として追跡されている2グループが、Pulse Secure機器にWebShellをインストール、そのWebShellを使って内部ネットワークに接続し、内部ネットワークの認証情報や電子メールのやり取りや機密文書などを盗み出していました。

ウェブシェル(webshell)とは?

しかし、FireEye社は攻撃に関与したグループの1つが同社が攻撃を暴露する3日前に感染させたネットワークから自分たちマルウェアを削除し始めるという奇妙な行動に出ていたと発表しています。

2021年4月17日から20日にかけて弊社のインシデント担当者はUNC2630が数十台の感染したデバイスにアクセスしATRIUMやSLIGHTPULSEなどのウェブシェルを削除しているのを確認しました

タイミング的には偶然だったかもしれませんが、UNC2630はFireEyeがハッキングされたネットワークの一部を調査していることを知り、ハッカーは意識的に手を引いて証拠を消すことにした可能性が非常に高いです。

中国のスパイが複数の被害者の環境に存在する多数のバックドアを我々の情報公開と同時に削除することは珍しいです。

Re-Checking Your Pulse: Updates on Chinese APT Actors Compromising Pulse Secure VPN Devices | Mandiant

新たに4種類のマルウェアが発見される

FireEye社の追跡調査報告書では最初の報告書に記載されていた12種類のマルウェアに加え、新たに4種類のマルウェアが発見したとのことです。

Malware名Malwareの説明攻撃者名
BLOODMINE  BLOODMINEは、Pulse Secure Connectのログファイルを解析するユーティリティ。ログイン、メッセージID、ウェブリクエストに関連する情報を抽出し、関連するデータを別のファイルにコピーしますUNC2630
BLOODBANK  パスワードハッシュまたは平文のパスワードを含む2つのファイルを解析し、コマンドプロンプトで出力ファイルが与えられるのを待つ認証情報を詐取するユーティリティUNC2630
CLEANPULSE  特定のログイベントの発生を防ぐために使用される可能性のあるメモリパッチユーティリティ。ATRIUM のウェブシェルの近くで発見UNC2630
RAPIDPULSE  任意のファイルを読み取ることができるWebShell。他のWebShellによく見られるように、RAPIDPULSEは正規のPulse Secureファイルを改変して存在します。RAPIDPULSE は、攻撃者にとって暗号化されたファイルのダウンローダーとして機能します。UNC2630


FireEye社は、Pulse Secure社と協力し、ハッキングされたアプライアンスとその所有者を特定したとのことです

FireEye社は新しいデータに基づいて被害者のほとんどが米国に拠点を置く組織であり、残りはヨーロッパであったと述べています。

さらに、当初は防衛関連企業や政府機関が標的になっているとしていましたが、新しいデータによると攻撃者は通信、金融、運輸などの他の産業分野の企業も狙っていたことがわかりました。

さらにFireEye社は、両グループを中国政府のサイバースパイ活動に関連しているとも述べています。

我々は現在、UNC2630とUNC2717によるスパイ活動が、中国政府の重要な優先事項を支えていると評価している。危険にさらされた組織の多くは中国の第14次5カ年計画で表明された北京の戦略目標に沿った業種や業界で企業活動を行っている企業である

また、多くのメーカーはハイテク、グリーンエネルギー、通信分野で中国企業と競合しています。

中国は国際的な競争力を維持するために不可欠であると考えている重要な経済的中心分野としてエネルギー、医療、鉄道輸送、通信、国防と安定、先進製造業、ネットワークパワー、スポーツと文化の8つのカテゴリーを上げています

FireEye社は、同じセキュリティ企業であるBAE Systems社との共同分析に基づき、今回のハッキング攻撃は古典的なサイバー・スパイ活動の特徴があるとして、「2つのグループは侵入を隠すためにハッキングしたネットワークからフォレンジックな証拠を編集または削除するのに多くの時間を費やしていました。多くの組織でデータが盗まれた形跡がありますが、オバマ・習近平協定に違反していると考えられるような、中国のスパイ活動家によるデータのステージングや流出は直接確認されていません。」と指摘しています。

中国のアメリカへのハッキング手法を公開:FireEyeレポート

コメント

タイトルとURLをコピーしました