記事本文(要約)
セキュリティ企業SentinelOneは、中国の脅威アクターが複数のサイバーセキュリティベンダーを標的にしていることを報告しました。同社のネットワーク自体には影響はなかったものの、サードパーティの業者が一時的に侵害されたことで供給チェーンのリスクが発生しました。調査により、APT41に関連するモジュラーバックドア「ShadowPad」を利用し、Check Point、Fortinet、SonicWall製の機器の脆弱性を含む攻撃が70以上の組織に対して行われたことが判明しました。これには、PurpleHazeと呼ばれるAPTグループが関与しており、SSH-in-WebSocketsを使用するGoベースのマルウェアでC2サーバを隠しました。攻撃者の活動はインターネットに接続されたサーバの可用性を評価することに限定されていましたが、これはサイバーセキュリティベンダーが高価値の標的であることを示しています。また、北朝鮮による偽の求人応募やランサムウェア攻撃も増加していることが報告されました。これらの公開により、攻撃報告のスティグマを取り除き、国家支援の攻撃者が同じ手口を再利用するのを難しくすることを目的としています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 09 Jun 2025 17:55:11 +0000
Original URL: https://www.securityweek.com/chinese-espionage-crews-circle-sentinelone-in-year-long-reconnaissance-campaign/
詳細な技術情報
この文章で述べられている事象をセキュリティの観点から詳しく分析します。
CVE番号
具体的なCVE番号は文中に記載されていませんが、以下のような製品や脆弱性が関連している可能性があります。
- ShadowPadがAPT41によって使用されており、Check Point、Fortinet、SonicWallの機器を標的にした最近のエクスプロイトが言及されています。
- Ivantiのゼロデイ脆弱性も攻撃に利用されていますが、CVE番号はまだ公開されていないようです。
脆弱性の仕組み
- ShadowPad: これはモジュール式のバックドアで、APT41によって利用されています。悪用されると、攻撃者がシステム内に持続的な存在を確立しデータを盗む可能性があります。
- ゼロデイ脆弱性: 特に記載されているIvantiのゼロデイは、攻撃者によって早期に利用され、未公開のまま悪用されたと考えられます。
攻撃手法
- 攻撃者はリコノスサンス(情報収集)のためにインターネットに接続されたサーバーをスキャンしました。この準備段階では主にインフラのマッピングと利用可能なサーバーの評価が行われていました。
- ShadowPadは、チェーンされた複数のエクスプロイトを使い、ネットワークに侵入していました。
- PurpleHazeは、SSH-in-WebSocketsを使用してトラフィックをトンネリングし、指揮統制サーバを「運用リレー・ボックス」ネットワークの背後に隠しました。
潜在的な影響
- サイバーセキュリティ会社が攻撃されると、その会社を通じて多数の顧客企業へのアクセスが得られる可能性があり、サプライチェーン全体に影響を与える可能性があります。
- 情報収集フェーズが成功すると、将来的な攻撃の準備が整うため、より深刻なデータ漏洩やサーバーへの侵入が発生するリスクがあります。
推奨される対策
- 脆弱性のパッチ適用: 使用しているすべてのソフトウェアとハードウェアについて、既知および未知の脆弱性に対して定期的にパッチを適用する。
- 侵入検知と防御: ネットワーク内で異常な活動を検出するための侵入検知システム(IDS)を導入する。
- 従業員の教育: フィッシングやソーシャルエンジニアリング攻撃への対策として、従業員に対する定期的なセキュリティトレーニングを実施する。
- アクセス制御の強化: 最小権限の原則に基づいて、特権ユーザーのアクセスを制限し、多要素認証を強制する。
- 情報共有と連携: 他のサイバーセキュリティ企業と情報を共有し、脅威に対する共同の防御策を強化する。
