悪名高いグループAPT15(ノミ、ニッケル、Vixen Panda、Ke3chang、Royal Apt、およびPlayful Dragonとも呼ばれます)とUNC5174を含む中国が支援する脅威俳優は、昨年7月と現在の年の3月の間に70の高価値組織を対象とした一連の攻撃を開始しました。研究者が主にShadowPadマルウェアを使用したサイバーエピオンを目的としていると考えているこの広範なキャンペーンのターゲットの中には、AI搭載のセキュリティプロバイダーSentineloneがありました。

Sentineloneの脅威研究部門であるSentinelabsは、この悪意のある活動を積極的に追跡しています。彼らはそれをPurpleHazeという名前で分類し、より広範なShadowpad操作の一部として識別します。最近のブログ投稿で詳述されている彼らの調査では、センチネローンが影響を受けた2つの特定の事例が明らかになりました。 10月に発生する最初のものは、インターネット経由でアクセス可能なSentineloneサーバーで「大規模なリモート偵察」を行っている脅威アクターが特徴とするパープルハーズアクティビティを含みました。今年の初めに行われた2番目のインシデントは、ShadowPadマルウェアに接続され、Sentineloneの従業員のハードウェアロジスティクスの管理を担当するサードパーティの組織に焦点を当てました。

ロジスティクスプロバイダーでの侵入を発見すると、Sentineloneは迅速に行動しました。 「私たちはすぐに侵入の詳細をITサービスと物流組織に通知しました」とSentinellabsの研究者は述べました。彼らはすぐに、Sentineloneの内部インフラストラクチャ、ソフトウェア、およびハードウェア資産の包括的な調査を開始しました。この徹底的な調査では、センチネローンの直接システム内で「妥協の証拠がない」ことがわかりました。

You Might Also Like
TikTok、一部のクリエイターに風景動画の使用を促す
TikTok、一部のクリエイターに風景動画の使用を促す
これらのSamsung電話はすでに9月のAndroidアップデートを取得しています
これらのSamsung電話はすでに9月のAndroidアップデートを取得しています
Razer Hammerhead True Wireless Pro:仕様、価格、リリース日
Razer Hammerhead True Wireless Pro:仕様、価格、リリース日

直接的な内部妥協がないにもかかわらず、センチネローンは、物流プロバイダーをターゲットにする際の攻撃者の究極の目標について不確実なままです。即時の焦点はサードパーティの組織自体であったかもしれませんが、中国の脅威俳優は、下流の組織にリーチを拡大するために、あるエンティティに足場を確立するという戦術で知られています。この可能性は依然として懸念であり、サイバー脅威の相互接続された性質を強調しています。

Sentineloneのようなサイバーセキュリティベンダーのターゲティングは、会社が現在の脅威の状況の議論の余地のない側面と見なしているものを強調しています。サイバーセキュリティ企業は、クライアントを保護する上で重要な役割、多様なネットワーク環境への深い可視性、および悪意のある運用を混乱させる能力により、脅威アクターにとって特に魅力的なターゲットです。 Sentineloneは、この点を強調し、「サイバーセキュリティ企業は、保護的な役割、クライアント環境への深い可視性、敵の運用を混乱させる能力により、脅威アクターの価値の高いターゲットです」と述べています。

Sentineloneは、これらのタイプの攻撃に関して、サイバーセキュリティ業界内での透明性とコラボレーションを促進しています。これらの事件を公に開示する彼らの目的は、「透明性を促進し、コラボレーションを促進することにより、業界の防衛の強化に貢献する」ことです。彼らは、これらのキャンペーンに関する情報を共有するのに役立つと信じています。 [indicators of compromise] これらのキャンペーンに関連しているため、中国と脅威の主体の戦術、目的、運用パターンのより深い理解に貢献します。」

これらの攻撃にリンクされている2つの主要なグループ、APT15およびUNC5174には、悪意のある活動の長い歴史があります。 APT15は、休眠と復活の期間を伴う20年以上にわたって活動しており、最近、北アメリカと南アメリカの両方で中国の民族集団と外務省を標的にしていることが観察されています。以前にMandiantによって記録されていたUNC5174は、米国、英国、カナダなどの西側諸国に焦点を当てて、中国政府の請負業者として活動していると考えられています。

センチネローンは、それ自体を擁護することに加えて、7月から3月までの8か月間に、APT15またはUNC5174のいずれかによってかなりの数の侵入を追跡しました。これらの侵入は、前述のさまざまな分野の70を超える組織に加えて、南アジア政府機関や欧州メディア組織を含む、多様な標的に影響を与えました。これらのセクターには、製造、政府、金融、通信、および研究が含まれていました。

 

中国支援の俳優によるこの一連の攻撃からの調査結果は、脅威の風景の容赦ない性質を強調しています。 Sentineloneは、すべての組織、特にサイバーセキュリティベンダーの重要なニーズを強調し、高いレベルの警戒を維持し、堅牢な監視機能を実装し、そのような洗練された攻撃を防御するための効果的かつ迅速な対応計画を立てています。

「調査の詳細を公に共有することで」とSentinellabsの研究者は次のように書いています。 [indicators of compromise] これらのキャンペーンに関連しているため、中国と脅威の主体の戦術、目的、運用パターンのより深い理解に貢献します。」彼らは、この共同アプローチは、国民国家に代わって運営されている持続的で先進的な脅威関係者に対するより強力な集団防御を構築するために不可欠であると彼らは主張します。

Source: 中国にリンクされた俳優は、70を超える組織をターゲットにしています

  Windows 10でリモートワーク用のVPN接続をセットアップするにはどうすればよいですか?