中国のハッカーが、「政府機関や軍事企業を攻撃」する為に、「これまで知られていなかった新しい戦術」を考え出したとロシアが分析

https://youtu.be/fLZz_iTjq-o　参考

中国のVolt Typhoonは現在米国のインフラを偵察、特にグアムに注目していると言われています。

ステルス性の高い中国のVanguard Panda/Volt Typhoonグループは、トロイの木馬化されたオープンソース ライブラリ等を使用して攻撃されたネットワークに長期間滞在し、正規のユーティリティを使用してネットワークを偵察する。古い脆弱性を悪用する事から侵入が始まる。

重要インフラにおけるパンダの亡霊

CrowdStrike（カリフォルニア州に本拠を置くコンピューター セキュリティテクノロジー会社）の専門家は、重要インフラへの攻撃を専門とする、中国発祥と思われる新しいAPTグループ（「APT」とは、“Advanced Persistent Threat”の略）について説明した。

※これが私達にとっても他人事ではない理由として、2015年の日本年金機構からの情報漏洩事件がＡＰＴグループによって行われたからです。

2015年5月、日本年金機構から約125万人分もの個人情報が盗み出された事件。日本国内にAPT攻撃の脅威を知らしめるきっかけとなった事件と言われています。この事件においては、標的型メール攻撃が波状的に3度も行われた結果の情報漏洩であり、標的型メール攻撃の危険性が伺えます。

ハッカー達は、これまでにない新しい手法を使っている。

CrowdStrikeの発表では、このグループをVanguard Pandaと呼び、ManageEngine　Self-Service Plusエクスプロイト（ソフトウェアの脆弱性やセキュリティ上の欠陥を利用した不正プログラム）を使用して最初のアクセスを獲得すると指摘。※1・2

続いて、ウェブシェル（web経由でサーバのコマンドを実行する事を可能にするバックドアの一種）をインストールして永続的にアクセスを可能にし、様々なライブ・オフ・ザ・ランド方式（侵害したシステム内にBuilt-inとして存在するツールやバイナリを活用して攻撃を継続する手法です。環境寄生型攻撃や現地調達型攻撃と表現されるとの事）を使用してウェブ上を密かに移動し、新しい方式で永続的なプレゼンスを提供する。

※1　ManageEngineはIT管理用ソフトウェア・ソリューションのメーカーである。

※2 　Self-Service Plusは、ADSelfService Plusのことで、企業環境におけるActive Directoryへのパスワードと権限付与を扱う為の開発のようだ。

ライブ・オフ・ザ・ランドの概念については、ステルス性を確保し、悪意ある作戦を実行する為に、様々な合法的ユーティリティを悪用する事を指す。

Vanguard Panda（別名Volt Typhoon）は、中国の諜報機関と繋がりのあるサイバースパイグループと考えられており、米国政府、防衛組織、重要インフラへの侵入を専門としている。

このグループはステルス性に細心の注意を払い、一般に入手可能なツールを使用する事で知られている。

殆どの場合、攻撃は高度に標的化されている為、グループは長い間発見されていない。

その活動の始まりは、おおよそ2020年半ばに遡る。

脆弱性、ウェブシェル、トロイの木馬ライブラリ

CrowdStrikeによると、このグループは「安定性の為にウェブシェル（web経由でサーバのコマンドを実行する事を可能にするバックドアの一種）を好んで使用し、目的を達成する為に主にLOTLツール（環境寄生型攻撃用ツール）を使用して、短時間の活動で済んでいる」という。
※損保ホールディングスによると、環境寄生型（LotL）攻撃はLiving off the Land攻撃の略であり、マルウェアや悪性プログラムを利用せず、セキュリティツールやOSに組み込まれた既存の機能などを悪用した攻撃を指します。

Living off the Landは、食料や物資を現地調達するという意味であり、不正アクセス先のシステムをそのまま流用する手法になぞらえて命名されました。

よく使われるセキュリティツールにはMimikatz、cobalt strikeがあり、OSの機能としてはWMIやPowerShellなどが悪用されているとの事。

失敗した攻撃の1つでは、ハッカーがApache Tomcatサーバー（世界中で最も使用されているWebサーバソフトとシステム）上で稼働しているZoho ManageEngine ADSelfService Plusサービス（同製品は、「Active Directory」においてアカウントロックやパスワードのセルフリセット、シングルサインオンなどの機能を提供するソフトウェア。）を標的とし、一連の疑わしいプロセス番号付けとネットワーク接続のカタログ化コマンドを実行しました。

CrowdStrikeによると、攻撃者の行動は、彼らがターゲット環境を熟知している事を明確に示していました。

Vanguard PandaがどのようにしてManageEngineの環境をハックしたのか、正確なところは完全には明らかになっていないが、認証バイパスやリモートからの任意のコードの実行を可能にする重大な脆弱性CVE-2021-40539の悪用が指摘されている。

「このような脆弱性があれば、攻撃者は標的の環境でやりたい放題です」と情報セキュリティ専門家は述べています。最初の侵入がまさにこのような方法によって行われたのであれば、攻撃者は好きなだけ脆弱な環境に留まり続け、長期間にわたって興味のある情報を収集する事ができる。

中国の攻撃オペレーターはおそらく、攻撃により残された大量の成果物を除去し、ログをクリーンアップしたのだろう。しかし、彼らが考慮しなかったことの1つは、悪意のある操作の間に生成されたコンパイル済みのJavaクラスファイルがサーバーに残されていたことです。

これにより、更にいくつかのウェブシェルとバックドアが明らかになった。

https://www.cnews.ru/news/top/2023-06-27_kitajskie_hakery_ispolzuyut

中国政府は他国の機密情報を盗む為に切磋琢磨しており、こうしたバンガードパンダの様なグループが活躍している様です。

日本はデジタル化が他国より遅れているとして、マイナンバーカードの保険証などとの紐付けを急いでいる様ですが、こうした恐ろしいハッカーに狙われて日本人の個人情報が丸裸にされないようシッカリ対策を行う事が重要ですね。