ビルバグ攻撃検出：中国関連のスパイ活動グループが東南アジアの組織を標的に

ESETの2024年第2四半期から第3四半期のAPT活動報告によれば、中国に関連するグループが世界をリードしている APT 作戦で、情報収集を目的としたキャンペーンが一般的かつ持続的な脅威の中でも特に目立っています。Billbugとして知られる中国に関連するスパイ活動グループが、2024年8月から2025年2月にかけて東南アジアの複数の業界の組織を複数にわたり侵入し、新しいカスタムツール（ロード）を使用しています。 情報窃取マルウェアおよびリバースSSHユーティリティ。

中国に関連する脅威行為者によるBillbug攻撃を検出

グローバルな緊張が高まり続ける中、国家支援の脅威行為者はより活発かつ洗練された手法を用いるようになっています。サイバースパイ活動は中心的な役割を果たしており、攻撃はより標的化され、検出が難しくなっています。最近の例として、中国に関連するBillbugグループによるアジア全域の組織を狙ったキャンペーンがあります。

新たな脅威を上回り、貴社に対する潜在的なBillbug攻撃を阻止するために、 SOC Primeプラットフォーム は攻撃者のTTPに対応する一連の関連Sigmaルールを提供しています。下の 検出を探索 ボタンを押すと、専用のルールセットに即座にアクセスできます。

検出を探索

これらのルールは、多くのSIEM、EDR、データレイクソリューションに対応し、 MITRE ATT&CK® にマッピングされており、脅威調査を効率化します。検出は、リンク、攻撃タイムライン、トリアージ推奨事項などを含む広範なメタデータでも強化されています。 CTI リンク、攻撃タイムライン、トリアージ推奨事項など。

国家支援行為者が使用するTTPに対応するより多くの検出コンテンツを求めているセキュリティ専門家は、Threat Detection Marketplaceで「APT」タグを使用して、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、そして高度な脅威検出を支える完全な製品スイートを用いた、より広範な検出アルゴリズムとリアルタイムの脅威インテルを探索できます。

Billbug攻撃分析

中国支援のグループ、Billbug（別名Lotus Blossom、Lotus Panda、Bronze Elgin、Spring Dragon、またはThrip）は、東南アジアの組織に対する一連のサイバースパイ活動の攻撃を行っており、政府省庁、航空交通検査局、通信プロバイダ、および建設会社を侵入しています。攻撃者はまた、ある東南アジアの国のニュースエージェンシーと隣国の航空貨物オペレーターを侵入し、ロード、資格情報窃取ツール、リバースSSHユーティリティを含むカスタムツールを使用しました。

Billbugは少なくとも2009年以来、サイバー脅威分野で活動しています。以前、BillbugはPsExecを使用してInfostealer Catchamasを展開し、米国および東南アジアの防衛、地理空間、および通信業界におけるさらなる侵入を発見しました。2019年以来、Billbugは、軍事、メディア、および教育機関をアジア全域で標的とするために、進化する永続性シェルと共にHannotogおよびSagerunexなどのカスタムバックドアを使用しています。彼らの作戦は、フィリピン、ベトナム、香港、台湾の州機関、製造、通信、メディアの標的を成功裏に突いています。2022年には、グループは証明書機関を侵害し、デジタル証明書の盗用の可能性に関し懸念を引き起こしました。

グループの侵入の中には、攻撃者は正当なTrend MicroおよびBitdefenderの実行ファイルを悪用して悪意のあるDLLをサイドロードしました。 log.dll および別のモジュール、sqlresourceloader.dllもサイドロードされました。最新の Symantecによる研究 では、東南アジアに対する攻撃でChromeKatzおよびCredentialKatzを用いてChromeの資格情報およびクッキーを収集し、ポート22でのカスタムリバースSSHリスナーを使用したことが明らかにされています。さらに、敵対者は内部サービスを公開するために公共のZrok P2Pトンリングツールを悪用し、 datechanger.exe を使用してファイルのタイムスタンプを偽装し、フォレンジック分析を妨害しました。

中国に支援された行為者に関連付けられたサイバースパイ活動の急増は、世界のサイバーセキュリティの状況で懸念を引き起こし続けています。少なくとも2009年以来活動しているBillbug APTグループは、東南アジア全域の重要なセクター、政府、電気通信、航空、メディアを標的とする作戦を強化しました。カスタムツール、資格情報窃取ツール、リバースSSHリスナー、およびサイドロードされたマルウェアを活用し、グループは一貫してステルスと持続性に焦点を当てています。これは、組織が防御を強化し、進化するAPT戦術に先んじる必要のある緊急性を強調しています。組織は SOC Primeの完全な製品スイートに頼ることができ、AIによって強化された最先端技術を融合し、組織のサイバーセキュリティの姿勢をリスク最適化します。