セキュリティ企業のSymantec社が発表したレポートによると、中国を拠点に活動していると思われるサイバースパイ集団が、東南アジアの国にある4つの重要インフラ組織を標的にしていたことがわかりました。
侵入は2020年11月から2021年3月にかけて行われ、標的となったのは
- 水道会社
- 電力会社
- 通信会社
- 防衛関連企業
シマンテック社は、攻撃者がSCADAシステムに関する情報を狙っていた証拠を発見したと述べています。
SCADAシステムとは、一般的に生産ラインや産業機器を制御・管理するために使用される機器です。
我々は、攻撃者が感染したマシンからデータを流出させたことがまだ確認できていません。しかし、攻撃者が使用していたデバイスには、SCADAシステムの設計に関与していた可能性を示すツールが搭載されており、これは攻撃者が関心を持っていた可能性を示しています
LOLbinsを悪用した攻撃グループ
研究者によると、ハッキングされた組織への攻撃者の侵入口を特定することはできませんでしたが、いったん侵入するとLOLbins(living-off-the-land)と呼ばれる、正規のアプリを使って悪意のある操作を隠す高度な戦術を見せたとのことです。悪用されたツールには以下のようなものがあります。
- Windows Management Instrumentation (WMI)
- ProcDump
- PsExec
- PAExec
- Mimikatz
さらに、このグループは、PotPlayer Miniという無料のマルチメディアプレーヤーを使用して、バックドア、キーロガー、トラフィックプロキシツールなどの悪意のあるDLLを侵害されたコンピュータにインストールしました。
汎用性のある正規のツールを使用したことで、研究者がグループについて収集できた情報量は絞られ、Symantec社によると、今回の攻撃を中国を拠点とするスパイグループに特定できただけで、侵入を以前から知られていたグループと結びつける追加の手がかりは見つからなかったとのことです。
ハッキングされたターゲットが所在する国の名前を挙げていません。
Comments