-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
中国ハッカーSilk Typhoon、IPサプライチェーンを侵害して下流顧客を狙うように
BleepingComputer – March 5, 2025
中国のサイバースパイグループ「Silk Typhoon」が戦術を変更し、ITサプライチェーンの侵害によって下流顧客へ不正アクセスするようになっているとして、マイクロソフトが注意喚起した。
Silk Typhoon(Hafniumとも)は、マイクロソフトが2020年から追跡している中国の国家型アクター。豊富なリソースと確かな技術力を武器に、米国やその他の国々のITサービス・インフラ企業、RMM企業、MSPのほか、医療や法律サービス、高等教育、防衛、政府、NGO、エネルギー部門の組織など、幅広い地域・セクターを攻撃対象としている。最近では、2024年12月に実施された米国財務省の外国資産管理室(OFAC)や対米外国投資委員会(CFIUS)に対する攻撃が話題になった。
同APTのこれまでの攻撃では、インターネットに露出したエッジデバイスにおける脆弱性が初期アクセス獲得の手段として利用されることが主で、その後Webシェルが投下されたのち、侵害されたVPNやRDPを通じてラテラルムーブメントが行われるのが一般的だった。しかし2024年後半にマイクロソフトが観測した攻撃では、RMM(リモート監視・管理)ソリューションやPAM(特権アクセス管理)、クラウドアプリのプロバイダー、クラウドデータ管理企業に関連する盗難APIキーおよび認証情報が悪用され、下流顧客の環境が侵害されるようになったという。
また、同グループの最近のアクティビティとして、漏洩した認証キーや認証情報を見つけ出すため、GitHubリポジトリやその他の公開リソースをスキャンしていることや、パスワードスプレー攻撃を実施していることも報告されている。一方で、ゼロデイを含む脆弱性の悪用も初期アクセスの手段として引き続き使われており、2025年1月にはIvanti Pulse Connect VPNの脆弱性(CVE-2025-0282)が利用されるのも観測されたという。
ターゲット組織のオンプレミス環境に対する初期アクセスを獲得すると、Silk TyphoonはActive Directoryのダンプを試み、キーボルト内のパスワードを盗み出して、権限を昇格させる。また、オンプレミスのActive DirectoryとEntra ID(旧Azure AD)を同期させるためのツールであるMicrosoft AADConnect(現Entra Connect)を侵害して同期された認証情報を盗み出すことで、権限の昇格に加えてオンプレミスとクラウド、両環境へのアクセスを実現させ、ラテラルムーブメントを行うという。
さらに、同APTグループはもはやマルウェアやWebシェルに頼ることがなくなっており、クラウドアプリケーションを悪用することによってデータの窃取やログの消去を行っていることも報告されている。これにより痕跡を最小限に抑えられるほか、「CovertNetwork」として追跡される隠れネットワークの使用により、攻撃や悪意ある活動を覆い隠していることも観測された。なお、このCovertNetworkは侵害されたCyberoamアプリやZyxel製ルーター、QNAPデバイスで構成された出口IPの集合体で、2組以上の脅威アクターに利用されている可能性があるとされる。
マイクロソフトのブログ記事には、この新たな戦術のさらなる詳細やハンティングガイダンス、推奨される緩和策などが共有されている。
