Source: https://www.darkreading.com/cyberattacks-data-breaches/chinese-apt-brickstorm-backdoors-edge-devices
🛡 概要
中国に関連したサイバー諜報グループが、標準的なエンドポイント検出および応答(EDR)をサポートしていないネットワークおよびインフラ機器を利用して、法律サービスやテクノロジー、SaaSプロバイダー、ビジネスプロセスアウトソーシングなどのさまざまな分野の組織に侵入しています。攻撃者は、Googleの脅威インテリジェンスグループ(GTIG)が「Brickstorm」として追跡している高度なバックドアを展開し、研究者によると、長期的なアクセスを可能にしています。この脅威は、平均で393日間も検出されずにネットワーク内に留まることができるという、非常に巧妙な手法を用いています。
🔍 技術詳細
Brickstormは、正当なソフトウェアを模倣し、各被害者ごとにユニークなコマンド&コントロール(C2)サーバーを使用することで、検出とブロックを極めて困難にしています。GTIGの研究者によれば、UNC5221は主にLinuxまたはBSDベースのシステムに対して攻撃を行っており、既知の脆弱性やゼロデイの欠陥を悪用して侵入しています。ターゲットにはファイアウォール、VPN、IDS/IPSなどが含まれ、これらのシステムは通常、設計上ロックダウンされているため、標準的なエンドポイント検出および修復ツールを展開できず、攻撃者にとって盲点を生じさせます。BrickstormはGoで書かれたクロスプラットフォームのバックドアであり、SOCKSプロキシ機能をサポートしています。これにより、感染したデバイスを通じて攻撃者がトラフィックをルーティングし、ネットワーク内での深い侵入を可能にします。
⚠ 影響
Brickstormのキャンペーンは、特に企業やBPO、政府や他のテクノロジー企業が使用する製品をターゲットにしており、被害者の数や具体的な詳細は公開されていませんが、UNC5221が長期的に組織内に潜伏することで、重要な情報が漏洩するリスクが高まります。また、攻撃者は高権限の資格情報を収集し、通常の管理タスクとして活動するため、発見が難しくなります。これにより、企業内の重要なシステムが危険にさらされ、顧客データや機密情報が不正にアクセスされる可能性があります。組織は、特にエッジデバイスや仮想化プラットフォームにおいて、従来の監視手法が及ばない範囲での攻撃に対して警戒する必要があります。
🛠 対策
Brickstormの脅威に対抗するためには、まずエッジデバイスや仮想化プラットフォームのセキュリティを強化することが重要です。定期的な脆弱性スキャンやパッチ適用を行い、既知の脆弱性を悪用されるリスクを低減させるべきです。また、高権限の資格情報の管理を厳格に行い、アクセス権の見直しや監査を定期的に実施することが求められます。さらに、異常な活動を検出するための監視システムを導入し、リアルタイムでのアラートを設定することで、早期の脅威検出につなげることが可能です。最後に、従業員に対してセキュリティ教育を行い、フィッシング攻撃やその他のソーシャルエンジニアリング手法に対する認識を高めることも重要です。
