チェック・ポイントの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下、CPR)は、Microsoftが今年5月に発表した、中国が支援するハッカー集団が世界各国でサイバーインフラを侵害しているとの警告を受けて、同種の攻撃が今後も継続されるとの予測を発表した。
米国、オーストラリア、カナダ、ニュージーランド、英国の当局は「米国や国際的なサイバーセキュリティ当局は、中華人民共和国(PRC)の国家支援によるサイバーアクター(通称Volt Typhoon)に関連する、最近発見された注目すべき一連の活動を強調するために、この共同サイバーセキュリティ勧告(CSA)を発表する」という声明を発表。
このVolt Typhoonのような中国のAPTグループは、これまでにも高度なサイバースパイ活動を展開。主な目的としては、戦略的な情報収集、標的型攻撃、あるいは将来的な作戦を見据えたネットワークへの足場固めにあるという。
今回の勧告では、これらの脅威アクターが採用する様々な手法が指摘されており、特に「Living off the land」攻撃によって、ルーターなどのネットワーク機器を悪用する手法が用いられているという。
CPRのレポートによれば、これらのキャンペーンは中国の国家支援型APTグループ「Camaro Dragon」によるものとされ、同じく中国の国家支援型APTグループ「Mustang Panda」の活動と類似しているという。
CPRによる分析では、TP-Link社のルーターに、専用に作成された悪意あるファームウェアが埋め込まれていることを発見。このインプラントは、「Horse Shell」と名のカスタマイズされたバックドアを含む様々な有害コンポーネントを備えており、攻撃者による持続的なアクセスの維持と、匿名のインフラ構築、侵害されたネットワークへの水平展開を可能にするとしている。
【関連記事】
・Emotetが昨年11月以来の国内観測マルウェア首位に チェックポイントが調査結果を発表
・3CXデスクトップアプリがトロイの木馬化され、サプライチェーン攻撃のリスクに チェックポイントが発表
・チェックポイント、中小企業向けセキュリティソリューション「Infinity Spark」を発表