Sophos(ソフォス)は、「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」と題するレポートを公開した。
同レポートでは、東南アジア諸国の政府高官を標的として約2年間にわたって実行されている、高度なスパイ活動の全容を紹介しているという。2023年に、Sophos X-Opsがこの調査を開始。ソフォスのMDR(Managed Detection and Response)チームは、同じ組織を標的とした3つの異なるスパイ活動を発見したものの、これらの2つの活動では、中国が支援している脅威グループ(BackdoorDiplomacy、APT15、そしてAPT41の下部組織であるEarth Longzhi)がこれまでに使用していた同じ戦術、手法、手順(TTP)が確認されたとしている。
これらの脅威グループは、綿密な作戦を立て、多種多様なマルウェアやツールを利用し、政治、経済、軍事に関する機密情報のほか、特定の人物を偵察して情報を収集していたという。ソフォスは、この一連の攻撃キャンペーンを「クリムゾンパレス」と命名。使用されていたマルウェアには、システムに常駐する機能がある過去に検出されていないマルウェアも含まれていたとのこと。ソフォスは、このマルウェアを「PocoProxy」と命名した。
同社の脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramillo氏は、これらの活動について次のように述べている。
「これらの一連の攻撃群(クラスタ)は、中国の南シナ海における戦略に有利に進めるために必要な軍事や経済情報を収集し、中国の国益のために活動しています。このキャンペーンの3つのクラスタは、別個のグループによって実行されていますが、中国の中央権力からの指令の下、同じ標的に対して同時に攻撃を仕掛けていると考えられます。ソフォスが特定した3つの攻撃のうちの1つ(クラスタアルファ)では、マルウェアとTTPが別々に報告された4つの中国の脅威グループと重複していました。これまでの多くの調査でも、中国の攻撃者がインフラやツールを共有していることが分かっていますが、今回のキャンペーンは、中国の脅威グループが広範にわたってツールや攻撃手法を共有していることを改めて認識させるものとなりました。中国からのサイバー脅威に対する欧米各国政府による認識や警戒が高まっています。これらのグループ間の関係をソフォスが特定したことで、中国の単一のグループの攻撃のみに調査を集中させると、複数のグループが活動を連携させている重要な傾向を見逃すリスクがあることがわかりました。視野を広げることで、より効果的な防御が可能になります」
Sophos X-Opsは、2022年12月に初めて、標的となった組織のネットワークで悪意のある活動を特定し、中国の脅威グループMustang Pandaが過去に利用していたデータ流出ツールを検出。ソフォスのMDRチームは、この悪意ある活動について詳細な調査を実施し、2023年5月、Sophos X-Opsの脅威ハンティングチームにより、脆弱なVMWareの実行ファイルが発見され、解析の結果、標的のネットワークに3つの異なる攻撃(クラスタブラボー、クラスタチャーリー、およびクラスタアルファ)が行われていたことが判明したと述べている。
クラスタアルファは、2023年3月初旬から少なくとも2023年8月まで実行されており、アンチウイルス保護の無効化、権限の昇格、偵察を実行する様々なマルウェアが展開されていたという。これらのマルウェアには、中国の脅威グループREF5961が使用していたEAGERBEEマルウェアをアップグレードしたバージョンも含まれている。クラスタアルファでは、中国の脅威グループBackdoorDiplomacy、APT15、Worok、TA428が使用しているTTPやマルウェアが使用されていたとしている。
クラスタブラボーは、2023年3月の3週間のみ標的のネットワークで実行され、被害者のネットワークでラテラルムーブメントを行い、主にCCoreDoorと呼ばれるバックドアをサイドロードしていたという。このバックドアは、攻撃者が外部と通信するための経路を確立し、重要な情報を見つけ、認証情報を外部に送信するという。
クラスタチャーリーは、2023年3月から少なくとも2024年4月まで実行されており、主にスパイ行為や情報流出が実行されているとしている。これらの活動では、Microsoftの実行ファイルを偽装し、攻撃者のC&Cインフラとの通信を確立する常駐ツール「PocoProxy」も展開されている。クラスタチャーリーは、スパイ活動のための軍事や政治関連の文書、ネットワーク内でアクセスできる範囲を広げるための認証情報やトークンなど大量の機密データを外部に流出させるために実行されていたという。クラスタチャーリーは、APT41の下部組織として報告されている中国の脅威グループ「Earth Longzhi」とTTPを共有。クラスタアルファとクラスタブラボーは活動を停止しているが、クラスタチャーリーは今も活動を続けていると述べている。
Jaramillo氏は次のように述べている。
「このキャンペーンでは、南シナ海を巡るサイバースパイ活動が積極的に展開されていることが確認されています。潤沢なリソースがある複数の脅威グループが、数週間から数か月をかけて一度に同じ重要な政府組織を標的にし、商用のツールと高度な独自のマルウェアを組み合わせて使用しています。これまでも、そして今でも、これらの脅威グループは、使用するツールを頻繁に変更しながら、組織の内部を自由に動き回っています。少なくとも1つのクラスタはまだ活発に活動しており、さらに監視を強めようとしています。このような中国の脅威グループは、同じツールを共有する傾向があるため、今回のキャンペーンで確認されたTTPや新しいマルウェアが、世界のその他の地域における中国のサイバー脅威グループの活動で再び利用される可能性があります。ソフォスは、これら3つの攻撃について調査を今後も継続し、発見した情報は今後も情報機関に報告していきます」
【関連記事】
・ソフォス、日本法人の新代表取締役に足立達矢氏が就任
・「サービスとしてのランサムウェア経済圏が生まれている」 ソフォスが2023年版脅威レポートを公開
・教育機関のランサムウェア被害が増加 ソフォスの業界別の調査レポートで明らかに
