Source: https://www.securityweek.com/details-emerge-on-chinese-hacking-operation-impersonating-us-lawmaker/
🛡 概要
最近、中国のハッキンググループが米中関係や国際貿易に関与する団体を標的とするフィッシングキャンペーンを展開していることが報告されました。この攻撃は2025年の7月と8月に観測され、従来のマルウェアに依存するのではなく、Visual Studio Codeを利用したリモートトンネルの確立を試みています。
🔍 技術詳細
この攻撃は、TA415として知られる中国の国家支援ハッキンググループによって実行されており、US政府やシンクタンク、学術機関がターゲットになっています。攻撃者は、米中ビジネス協議会を偽装したメールを送り、受取人を閉鎖的なブリーフィングに招待しています。その後、米国の議会議員であるジョン・ムーレナーを偽装したメールが送信され、中国への制裁に関する草案へのフィードバックを求めています。フィッシングメッセージには、パスワード保護されたアーカイブへのリンクが含まれており、LNKファイルと隠しサブフォルダが含まれています。このLNKファイルを起動すると、バッチスクリプトが実行され、VSCodeのCLIがMicrosoftのサーバーからダウンロードされ、持続的なタスクが作成され、GitHubを介して認証されたVS Codeのリモートトンネルが確立されます。
⚠ 影響
この攻撃により、ターゲットとなった団体は機密情報が漏洩するリスクにさらされています。特に、米中関係に関する情報や政策が狙われており、経済や外交において重大な影響を及ぼす可能性があります。攻撃者は、ターゲットのコンピュータにリモートでアクセスし、任意のコマンドを実行できる状態にするため、被害の拡大が懸念されます。TA415は、成都に拠点を置く民間の政府契約者として活動しており、その活動は中国の情報収集の優先事項と一致しています。
🛠 対策
このような攻撃から身を守るためには、組織内のセキュリティ意識を高め、フィッシング攻撃に対する教育を行うことが重要です。また、メールの送信元を確認し、疑わしいリンクをクリックしないようにすることも有効です。さらに、システムに最新のセキュリティパッチを適用し、ファイアウォールや侵入検知システムを導入することで、リモートアクセスのリスクを軽減することができます。定期的なセキュリティ監査も推奨されます。
