セキュリティ企業FireEye社は、Pulse Secure VPNアプライアンスのゼロデイ脆弱性を悪用して、米国とヨーロッパ全域の防衛関連企業や政府機関に侵入した中国のハッキンググループの活動を捕捉していました。
Pulse Secure社、ハッキングに使用されたVPNのゼロデイ脆弱性を修正
FireEye社がUNC2630およびUNC2717として追跡されている2グループが、Pulse Secure機器にWebShellをインストール、そのWebShellを使って内部ネットワークに接続し、内部ネットワークの認証情報や電子メールのやり取りや機密文書などを盗み出していました。
しかし、FireEye社は攻撃に関与したグループの1つが同社が攻撃を暴露する3日前に感染させたネットワークから自分たちマルウェアを削除し始めるという奇妙な行動に出ていたと発表しています。
2021年4月17日から20日にかけて弊社のインシデント担当者はUNC2630が数十台の感染したデバイスにアクセスしATRIUMやSLIGHTPULSEなどのウェブシェルを削除しているのを確認しました
タイミング的には偶然だったかもしれませんが、UNC2630はFireEyeがハッキングされたネットワークの一部を調査していることを知り、ハッカーは意識的に手を引いて証拠を消すことにした可能性が非常に高いです。
中国のスパイが複数の被害者の環境に存在する多数のバックドアを我々の情報公開と同時に削除することは珍しいです。
新たに4種類のマルウェアが発見される
FireEye社の追跡調査報告書では最初の報告書に記載されていた12種類のマルウェアに加え、新たに4種類のマルウェアが発見したとのことです。
| Malware名 | Malwareの説明 | 攻撃者名 |
| BLOODMINE | BLOODMINEは、Pulse Secure Connectのログファイルを解析するユーティリティ。ログイン、メッセージID、ウェブリクエストに関連する情報を抽出し、関連するデータを別のファイルにコピーします | UNC2630 |
| BLOODBANK | パスワードハッシュまたは平文のパスワードを含む2つのファイルを解析し、コマンドプロンプトで出力ファイルが与えられるのを待つ認証情報を詐取するユーティリティ | UNC2630 |
| CLEANPULSE | 特定のログイベントの発生を防ぐために使用される可能性のあるメモリパッチユーティリティ。ATRIUM のウェブシェルの近くで発見 | UNC2630 |
| RAPIDPULSE | 任意のファイルを読み取ることができるWebShell。他のWebShellによく見られるように、RAPIDPULSEは正規のPulse Secureファイルを改変して存在します。RAPIDPULSE は、攻撃者にとって暗号化されたファイルのダウンローダーとして機能します。 | UNC2630 |
FireEye社は、Pulse Secure社と協力し、ハッキングされたアプライアンスとその所有者を特定したとのことです
FireEye社は新しいデータに基づいて被害者のほとんどが米国に拠点を置く組織であり、残りはヨーロッパであったと述べています。
さらに、当初は防衛関連企業や政府機関が標的になっているとしていましたが、新しいデータによると攻撃者は通信、金融、運輸などの他の産業分野の企業も狙っていたことがわかりました。
さらにFireEye社は、両グループを中国政府のサイバースパイ活動に関連しているとも述べています。
我々は現在、UNC2630とUNC2717によるスパイ活動が、中国政府の重要な優先事項を支えていると評価している。危険にさらされた組織の多くは中国の第14次5カ年計画で表明された北京の戦略目標に沿った業種や業界で企業活動を行っている企業である
また、多くのメーカーはハイテク、グリーンエネルギー、通信分野で中国企業と競合しています。
中国は国際的な競争力を維持するために不可欠であると考えている重要な経済的中心分野としてエネルギー、医療、鉄道輸送、通信、国防と安定、先進製造業、ネットワークパワー、スポーツと文化の8つのカテゴリーを上げています
FireEye社は、同じセキュリティ企業であるBAE Systems社との共同分析に基づき、今回のハッキング攻撃は古典的なサイバー・スパイ活動の特徴があるとして、「2つのグループは侵入を隠すためにハッキングしたネットワークからフォレンジックな証拠を編集または削除するのに多くの時間を費やしていました。多くの組織でデータが盗まれた形跡がありますが、オバマ・習近平協定に違反していると考えられるような、中国のスパイ活動家によるデータのステージングや流出は直接確認されていません。」と指摘しています。
Comments