中国との関連疑われるスパイグループが多数の企業をBRICKSTORMバックドアで侵害、Googleが警告 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 中国との関連疑われるスパイグループが多数の企業をBRICKSTORMバックドアで侵害、Googleが警告

デイリーサイバーアラート

Silobreaker-CyberAlert

中国

米国

中国との関連疑われるスパイグループが多数の企業をBRICKSTORMバックドアで侵害、Googleが警告

佐々山 Tacos

佐々山 Tacos

2025.09.25

中国との関連疑われるスパイグループが多数の企業をBRICKSTORMバックドアで侵害、Googleが警告

The Register – Wed 24 Sep 2025

中国との関連が疑われる「UNC5221」などのグループによって「多数」の企業ネットワークが侵害されているとして、Googleの脅威インテリジェンスグループ(GTIG)とMandiantが注意喚起。これらの侵入事案では、従来型のEDRツールに対応していないアプライアンスにBRICKSTORMなどのバックドアマルウェアが展開されており、長期間にわたってステルス性を維持しようとする意図が伺えるという。

Google GTIG/Mandiantは2025年3月以降、法律サービス、SaaSプロバイダー、BPO(ビジネス・プロセス・アウトソーシング)、テクノロジーなどを中心にさまざまな業界の組織における侵入インシデントに対応してきた。こうした侵入においては、スパイ行為だけでなく、ゼロデイの開発に役立つデータの収集や、下流組織へのより広範なアクセスに繋げるための踏み台確保なども攻撃の目的になっている可能性があるとされる。これらの侵害は、平均393日間にわたって未検出のままだったという。

これほど長い期間検出されずに潜伏することが可能な理由の1つが、BRICKSTORMなどのバックドアを、EDRツールで保護されていないアプライアンス上で使用するため。Goで書かれ、SOCKSプロキシ機能を備える同マルウェアはLinuxやBSDベースのアプライアンス上で発見されている。同マルウェアが見つかったアプライアンスの種類は多様だったものの、UNC5221は一貫してVMware vCenterおよびESXiホストを狙っているという。

どの侵入においても、同グループは開発者や管理者、その他中国政府が経済/スパイ活動上関心を抱きそうな人物など、重要な個人のEメール受信箱を標的にしており、Microsoft Entra IDを「mail.read」または「full_access_as_app」のスコープで用いてターゲットアカウントのメールボックスにアクセスしていた。こうしたファイルの抽出時には、BRICKSTORMのSOCKSプロキシ機能が使われていたという。

BRICKSTORMは2024年4月にGoogleにより文書化されているが、UNC5221はこのマルウェアに改良を加えてさらに検出を困難にしているものとみられる。BRICKSTORMがGarbleで難読化されていたケースやカスタムのwssoftライブラリの新バージョンが使われていたケースが何件か観測されているほか、「ディレイ」タイマーが内臓されていたケースも少なくとも1件観測されたという。さらにGoogleは、被害者企業がインシデントレスポンス調査を開始した後に、内部のvCenterサーバーにBRICKSTORMが展開されたこともあったと報告。この事例は、同脅威アクターがリアルタイムでモニタリングを実施していたこと、そして永続性を維持するために戦術をすばやく変更する能力を有していることを示していると指摘した。

Googleはさらに、Apache Tomcatサーバー向けの悪意あるJava Servletフィルター「BRICKSTEAL」が インストールされたケースにも言及。このフィルターがHTTP Basic認証ヘッダーに含まれるユーザー名やパスワードを収集できる可能性も指摘した。

UNC5221によるこれらの攻撃ではC2ドメインやマルウェアサンプルが使い回されることがないため、IoCは最適なハンティング手段ではないとして、GoogleはTTPベースのアプローチを推奨。9つのステップから成るハンティングガイダンスを提供したほか、nixベースのアプライアンス上で使用可能なBRICKSTORMのアクティビティをハントするためのスキャナーツールもGitHub上でリリースしている。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

中国

日本

日本組織も標的に:中国関連アクターがIvanti EPMMの脆弱性悪用に関与か(CVE-2025-4428)

佐々山 Tacos

佐々山 Tacos

2025.05.22

Silobreaker-CyberAlert

中国

日本

【無料配布中!】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次
  • 序論
  • ハクティビズム
    • ハクティビズムの変遷
    • 戦争におけるハクティビズム
    • 「選挙イヤー」におけるハクティビズム
    • 絡み合う動機
    • 国家の支援を受けたハッカー集団
  • 偽情報
    • 国家間対立
    • 偽情報とロシア・ウクライナ戦争
    • 偽情報とイスラエル・ハマス戦争
    • 偽情報と選挙が世界にあふれた2024年
  • 国家型APTの活動
    • 中国
    • ロシア
    • 北朝鮮
    • イラン
  • マルチチャネルインテリジェンスの運用化における課題と関連リスク

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ