台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス
2024年8月1日 脅威分析を行う企業「Cisco Talos 」が2023年7月から中国政府から支援を受けているハッカー集団 APT41が台湾の政府系研究機関を侵害し、ShadowPad マルウェア、Cobalt Strike、および侵害後の活動のためのその他のカスタマイズされたツールを配信する悪意のあるキャンペーンを発見しました。
台湾政府の関連する研究機関へ中国のハッカー集団APT41が不正アクセス
2023 年 8 月、Cisco Talos は、台湾政府系研究機関の環境で、IP アドレスに接続して PowerShell スクリプトをダウンロードおよび実行する異常な PowerShell コマンドを検出しました。
この攻撃の被害者は、コンピューティングと関連技術を専門とする、台湾政府系の研究機関で
この組織が行っている研究開発業務の性質上、独自技術や機密技術の入手に専念する脅威アクターにとって貴重なターゲットとなっています。
Cisco Talosはこの不正アクセスの手法が、中国の APTグループが独占的に使用する戦術、技術、手順 (TTP)、インフラストラクチャ、マルウェア ファミリの重複に基づいてており、Cisco Taloがこの攻撃で使用されたマルウェア ローダーを分析した結果、これらが中国のハッカーが利用しているShadowPad マルウェア(RAT)のローダーであることが判明しました。
ただし、Talos は攻撃者が使用した最終的な ShadowPad ペイロードを取得できていません。
ShadowPad は PlugX の後継として広く考えられているモジュール式のリモート アクセス トロイの木馬 (RAT) で、中国のハッキンググループにのみ販売されているのが確認されています。
米国司法省によると、このマルウェアは APT41 によって使用されていることが公表されています。
この攻撃では、Windows Defender による Cobalt Strike の検出を回避するために GoLang で記述された独自の Cobalt Strike ローダーが使用されました。
このローダーは、 GitHub でホストされ、簡体字中国語で記述されたCS-Avoid-Killingというアンチウィルス ローダーに基づいています。このリポジトリは、複数の中国のハッキング フォーラムや技術チュートリアル記事で宣伝されています。
Cobalt Strikeのローダーは、簡体字中国語のファイルおよびディレクトリ パス文字列で構成されており、ローダーを構築/コンパイルした脅威アクターがこの言語に精通していたことを示しています。
一部引用
APT41とは
中国の国家安全部との関係が疑われるハッキング組織で、世界中の100社以上の企業を侵害した疑いで中国人5名とマレーシア人2名に対して起こされた容疑に関連して、2020年9月に米国司法省によって指名されています。
FBIによる指名手配の内容
ZHANG Haoran、TAN Dailin、QIAN Chuan、FU Qiang、JIANG Lizhiは、いずれも APT 41 および BARIUM として知られる中国のハッキンググループのメンバーです。
2019年8月15日、コロンビア特別区の大陪審は、保護されたコンピュータへの不正アクセス、悪質な個人情報窃盗、マネーロンダリング、電子通信詐欺などの罪で、中国国籍のZHANG Haoran とTAN Dailinに対して起訴状を提出した。
これらの罪状は主に、ハイテク企業やビデオゲーム企業、および英国国民を標的とした疑惑の活動に端を発している。
2020年8月11日コロンビア特別区の大陪審は、中国国籍のQIAN Chuan, FU Qiang, and JIANG Lizhiを、組織犯罪、マネーロンダリング、詐欺、身分詐称、およびアクセスデバイス詐欺などの罪で起訴しました。
これらの罪は、成都404ネットワーク技術会社に勤務していた際の不正なコンピュータ侵入に関連しています。被告らは、サプライチェーン攻撃を行い、世界中のネットワークに不正アクセスし、広範な業界の数百社を標的にしました。これには、ソーシャルメディア、通信、政府、防衛、教育、および製造業が含まれます。被害者には、オーストラリア、ブラジル、ドイツ、インド、日本、およびスウェーデンの企業が含まれます。被告らは、米国、オーストラリア、中国(チベット)、チリ、インド、インドネシア、マレーシア、パキスタン、シンガポール、韓国、台湾、およびタイの通信事業者も標的にしました。彼らはランサムウェア攻撃を展開し、被害者からの支払いを要求しました。
関連記事
I-SOON 中国政府へRATを提供していた企業から内部リーク