中国のサイバースパイグループ、新たなSSHバックドアでネットワーク機器をハッキング | Codebook|Security News
Codebook|Security News > Articles > Uncategorized > 中国のサイバースパイグループ、新たなSSHバックドアでネットワーク機器をハッキング

Uncategorized

Silobreaker-CyberAlert

ロシア

中国

中国のサイバースパイグループ、新たなSSHバックドアでネットワーク機器をハッキング

佐々山 Tacos

佐々山 Tacos

2025.02.05

2月5日:サイバーセキュリティ関連ニュース

中国のサイバースパイグループ、新たなSSHバックドアでネットワーク機器をハッキング

BleepingComputer – February 4, 2025

中国のハッキンググループがネットワークアプライアンス上のSSHデーモンにマルウェアを注入してハイジャックし、永続アクセスの確立やアクションの隠蔽に利用しているという。Fortinet Fortiguardの研究者らは2024年11月中旬から実施されているこの攻撃をEvasive Panda(別称DaggerFly)によるものだと指摘し、攻撃の詳細を伝えている。

Evasive Pandaが用いる「ELF/Sshdinjector.A!tr」と名付けられたこの攻撃スイートは、SSHデーモンにインジェクトされるマルウェア一式で構成されている。なお過去にもこの攻撃群は文書化されていたものの、その仕組みについて説明したレポートはこれまで存在しておらず、Fortiguardのものが初めての模様。Fortiguardはこれらのマルウェアのリバースエンジニアリングおよび分析を、AIアシスト付きのツールを用いて実施したという。

この攻撃の初期感染ベクターは明かされていないものの、まず何らかの方法でネットワークアプライアンスが侵害されると、ドロッパーコンポーネントによって当該デバイスがすでに感染済みかどうかや、root権限で実行されているかどうかがチェックされる。これにより攻撃条件に合うことが確認されると、次にSSHライブラリ(libssdh.so)を含む複数のバイナリがデバイスへ投下される。このSSHファイルがメインのバックドアコンポーネントとなり、C2通信やデータ抜き取りの役目を果たすという。

SSHデーモンへ注入されたこのSSHライブラリはC2からのコマンドを待ち、送られてきたコマンドに従ってシステム偵察や認証情報の窃取、プロセスモニタリング、RCE、ファイル改ざんなどを実行する。対応しているコマンドは計15件存在するという。

ロシアのサイバーセキュリティ企業数社がNovaスティーラーや産業界への脅威について警告

The Record – February 5th, 2025

ロシアのサイバーセキュリティ企業数社は最近、いくつかのサイバー脅威について警告するレポートをリリース。これには、マルウェア「Nova」を使って国内の組織を狙う「大規模な」情報窃取キャンペーンに関するものが含まれるという。

モスクワに拠点を置くサイバーセキュリティ企業BI.ZONEは先週後半に公開したレポートにおいてNovaに言及。これによると、Novaは「サービス」としてダークウェブ上で販売される商用スティーラーマルウェアだという。ひと月あたりのライセンス価格は50ドル〜で、永久ライセンスは630ドル。売り主は正体不明のサイバー犯罪者とされている。また、Novaが別の人気スティーラー「SnakeLogger」のフォーク版であることも伝えられた。

Novaは感染したユーザーの保存された認証データを収集できるほか、キーストロークの記録やスクリーンショットの撮影、クリップボードからのデータ抽出も実施可能。BI.ZONEは、これらの攻撃で盗まれたデータは標的型ランサムウェア攻撃を含むさまざまな悪意ある活動に使われる恐れがあると指摘している。

また別のロシア企業F.A.C.C.T.は週末にかけて、国内の化学、食品、製薬企業を狙う新たなサイバースパイキャンペーンについて警告。同社がこれらの攻撃の実行者だと評価する国家支援型ハッキンググループRezet(別称Rare Wolf)は、2018年以降ロシアやベラルーシ、およびウクライナの組織に対しておよそ500件ほどのサイバー攻撃を実施してきたとされる。

さらにSolar社は数日前、ロシアの産業施設に対するまた別の攻撃について報告。この攻撃では、新たに特定された国家支援型グループ「APT NGC4020」が米国企業SolarWinds製のリモートコントロール/デスクトップ共有ツールにおける脆弱性が悪用されていたという。

このように、ここ数か月間で複数のロシア組織がいくつかのハッキングキャンペーンの標的になったと報じられているが、これには電気通信プロバイダーのロステレコムやロシア最大の電子取引プラットフォームのelectronic trading、国家登録局(Rosreestr)が含まれる。これらの攻撃の多くは、政治的動機に基づくものか、国家支援型ハッカーによって実施されたものだと考えられている。

ただ、ロシア・ウクライナ戦争の影響で西側のサイバーセキュリティ企業の大半が同国から撤退しており、ロシア国内のサイバー脅威ランドスケープの可視性は著しく低下している。つまり、ロシア組織への攻撃に関するレポートは国内のテック企業からしか上がってこないため、国際的な研究者であれば提供できるはずの独立した検証や詳細な分析といった視点が欠けている場合があるとのこと。

【無料配布中!】ランサムウェアリークサイトの分析レポート

ランサムウェアレポート:『リークサイト統計に見るランサムウェアグループの傾向』

さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポートリークサイト統計に見るランサムウェアグループの傾向を、以下のバナーより無料でダウンロードいただけます。

<レポートの目次>

  • 要点
  • 掲載件数:全世界と日本の比較
  • グループ別内訳:全世界と日本の比較
    ✔️特筆すべきトレンド
    ⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
    ⚪︎LockBitと8Base
    ⚪︎Clopは減少も、2023年には急増を観測
  • 業界別内訳:全世界と日本の比較

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ