-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
中国関連ハッカー、通信バックボーンインフラの深部に潜伏
The Hacker News – March 26, 2026
中国との関連が疑われる脅威アクター「Red Menshen」によるものとされる進行中の世界的なサイバースパイキャンペーンについて、Rapid7 Labsが報告。政府ネットワークなどに対するスパイ行為を目的としてテレコムネットワークへ潜伏するこのキャンペーンでは、BPFdoorバックドアなどを使って非常にステルス性の高いアクセスメカニズムが維持されているという。
Red Menshenは、遅くとも2021年から中東やアジアの電気通信(テレコム)事業者を標的にしてきたとされるグループ。Earth Bluecrow、DecisiveArchitect、Red Dev 18などの呼称でも知られる。Rapid7が観測した同グループによるキャンペーンの特徴は、カーネルレベルのインプラント、パッシブバックドア、認証情報収集用ユーティリティ、およびクロスプラットフォームのコマンドフレームワークが使用される点。これらのツールを駆使することにより、Red Menshenは標的ネットワークに持続的に潜伏する能力を獲得している。
同社がテレコムネットワークで遭遇した中でも「最もステルス性の高いデジタル・スリーパーセル(潜伏細胞)の1つ」とも言えるほど秘匿性の高いアクセスメカニズムが使用されているという。
攻撃チェーンはまず、VPNアプライアンスやファイアウォール、またWebに面したプラットフォームなど、インターネットに露出したインフラやエッジサービスを狙って初期アクセスを獲得するところからスタート。この際狙われる製品のメーカーとしては、Ivanti、シスコ、Juniper Networks、Fortinet、VMware、Palo Alto Networks、Apache Strutsが挙げられる。
初期アクセスを経て足場を固めることに成功すると、Red Menshenはその後の活動を円滑化するため、CrossC2などLinux対応のビーコンフレームワークをデプロイ。加えて、認証情報の収集やラテラルムーブメントを行うためにSilver、TinyShell(Unixバックドア)、キーロガー、ブルートフォース用ユーティリティも投下するという。
数あるRed Menshenのツールの中でも、中心的な役割を果たすのがBPFdoor。このLinuxバックドアは従来型のマルウェアとは異なり、待ち受けポート(リスニングポート)を露出させたり、視認可能なC2チャネルを保持したりしていない。代わりにBerkeley Packet Filter(BPF)機能を悪用してカーネル内で直接ネットワークトラフィックを検証し、特別に細工されたトリガーパケットを受信した時にのみアクティベートされるという。同バックドアは、以下2つのコンポーネントを備える。
- パッシブバックドア:侵害されたLinuxシステムにデプロイされるバックドアで、BPFフィルターをインストールしてインバウンドトラフィックを監視し、あらかじめ定義された「マジック」パケットを受信するとリモートシェルを起動する。
- コントローラー:攻撃者が管理するコントローラーで、特別にフォーマットされたパケットを送信する役割を担う。被害者の環境内で動作するようにも設計されており、このモードでは正規のシステムプロセスに擬態し、アクティベーションパケットを送信したり、シェル接続を受け付けるためのローカルリスナーを開いたりすることで、内部ホスト全体に追加のインプラントをトリガーすることが可能。これにより、侵害されたシステム間で自在にラテラルムーブメントを行うことを事実上可能にする。
一部のBPFdoorアーティファクトからは、同バックドアがストリーム制御伝送プロトコル(SCTP)に対応していることが判明している。この性能により、攻撃者は通信事業者固有のプロトコルを監視する能力や、通信回線契約者の行動や位置情報を把握する能力、さらには特定の人物を追跡する能力までをも手に入れられる可能性があるとされる。
BPFdoorの詳細は2021年にすでに公になっているものの、Rapid7が観測した最新の亜種ではアーキテクチャに変更が加えられており、検出性能がさらに向上しているという。「このアップデート版亜種は、暗号化されたHTTPSトリガー、プロキシ対応のコマンド配信、アプリケーション層での偽装技術、ICMPベースの制御信号、およびカーネルレベルのパケットフィルタリングを組み合わせて、現代のネットワーク防御の複数の層を迂回する」とRapid7は指摘。こうした機能により、BPFdoorは一般的なステルス性バックドアよりも脅威度が高く、「通信バックボーンインフラへのアクセス層」へと化している点を強調した。
Rapid7はまた、Red Menshenのオペレーターは「個々のサーバーを標的とするのではなく、現代の通信ネットワークを支える基盤プラットフォームに焦点を当てているようだ」とコメント。基盤プラットフォームとは具体的には、「通信ワークロードを実行するベアメタルシステム、コンテナ化されたネットワーク機能(CNF)をホストするクラウドネイティブなKubernetes環境、そして加入者の識別、モビリティ、通信フローを調整するシグナリングプロトコル」であると説明した上で、攻撃者は個別にサーバーを侵害するのではなく、通信インフラ全体の観測が可能な状態を作り出そうとしているとの見解を伝えている。
Rapid7が調査中に発見したIoCやサンプルなどのデータは、同社のGitHubページから確認できる。
【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】
Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらから:
その他の無料配布中レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
