中国のAPTが世界中の5Gプロバイダを標的に

McAfeeのAdvanced Threat Research (ATR) ストラテジック・インテリジェンスチームは 明らかにしました 主要な通信プロバイダーを世界中で標的とした長期的なサイバー・エスピオナージ作戦を。セキュリティ研究者によると、中国の国家支援ハッカーは、複数の米国、EU、東南アジアの通信会社のネットワークにマルウェアを仕込み、偵察を行い、5G技術に関連する機密情報を盗む計画をした。おそらく、この悪意のあるキャンペーンは対象地域での5G展開における中国技術の禁止への対応として北京政府の名の下で開始されました。

「Operation Dianxun」の概要

戦術、技術、手順（TTP）に対する詳細な分析は、このキャンペーンを「Mustang Panda」または「RedDelta」として知られる中国のAPTアクターに結び付けます。以前、このハッカー集団はカトリック団体、モンゴルのNGO、米国に拠点を置くシンクタンクを攻撃しているのが目撃されました。しかし、2020年8月には、このグループは通信会社を標的にするスパイ活動を行う「Operation Dianxun」に関連する悪意のある活動へとシフトしました。

現在、最初の感染ベクターは不明ですが、McAfeeの専門家は攻撃者が被害者をフィッシングドメインにリダイレクトし、悪意のあるソフトウェアを彼らのシステムに配信すると提案しています。特に、ユーザーにはHuaweiの会社キャリアページを装った偽のウェブサイトを訪問するよう促されます。このページで被害者をだまして偽のFlashアプリケーションをダウンロードさせ、そのアプリケーションはリローダーとして機能し、DotNetユーティリティをターゲットマシンにドロップします。DotNetツールは、持続性を得るために使われ、偵察を行い、侵害されたネットワークに第二段階のバックドアをロードします。詳細な分析により、ほとんどの場合DotNetがbase64 gzipファイル形式のCobalt Strike攻撃キットを配信することが判明しています。中国のハッカーは、侵入の最新段階でCobalt Strikeを利用し、侵害されているネットワークに横方向に移動し、5G技術に関連する貴重なデータを探します。

セキュリティ専門家は、Huawei自体がこの悪意のある作戦に関連しているわけではなく、むしろ悪事の被害者であることを指摘しています。さらに、研究者らは同じTTPに基づく悪質な活動を最近目撃していることから、キャンペーンがまだ進行中であると考えています。

「Operation Dianxun」攻撃の検出

「Operation Dianxun」に関連する可能性のある攻撃を検出するために、私たちの優れたThreat Bounty開発者である Emir Erdogan が専用のコミュニティSigmaルールを発表しました：

https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZW 

そのルールは以下のプラットフォームへの変換があります：

SIEM： Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR： Carbon Black, Microsoft Defender ATP

MITRE ATT＆CK：

戦術：実行、持続性、特権昇格

技法：スケジュールされたタスク（T1053）

「Threat Detection Marketplace」に登録、業界初のSaaSプラットフォームであり、変換が容易な100,000以上の検出および応答ルールを集約しています。 自分自身の検出コンテンツを作成し、グローバルな脅威の調査イニシアティブに貢献することに興味がありますか？ 「Threat Bounty Program」に参加 して、あなたのインプットに対して報酬を得ましょう！