中国政府によるサイバー作戦と関係があると考えられる脅威グループ, として識別 UNC5174, ステルス性が高く技術的に高度なサイバー攻撃を開始した。 Linux と マックOS 環境.
新しい研究によると Sysdig発行, このグループは、SNOWLIGHTマルウェアの改良版とオープンソースのリモートアクセスツールを組み合わせて使用しています。 Vシェル.
現代の諜報活動におけるオープンソース兵器
Sysdigのセキュリティアナリストは、UNC5174がオープンソースユーティリティを戦略的に導入して、その活動を隠蔽し、運用上のオーバーヘッドを削減していると指摘した。. 独立したハッカーや下級サイバー犯罪者の行動を模倣することで, グループは直接的な帰属の割り当てを困難にする.
このアプローチにより、より広い範囲で事業を展開することが可能になります。, より騒々しい生態系, 識別や追跡が困難になる. 報告書はまた、UNC5174がこのキャンペーンが再浮上する1年以上前から公に活動していなかったことを指摘している。.
攻撃フローとマルウェアの展開
キャンペーンは、 download_backd.sh. このスクリプトは2つの主要コンポーネントをインストールします: 1つは修正されたSNOWLIGHTバリアントと関連している (dnsloger), もう1つはSliverのエクスプロイト後ツールキットに関連している。 (システムワーカー). これらの要素は、リモート制御サーバーへの永続的なアクセスと通信の基盤となります。.
SNOWLIGHTはVShellの配信を開始する, メモリ常駐型トロイの木馬, 攻撃者のインフラからリクエストすることで. ペイロードはディスクに書き込まれない, 多くの従来の検出メカニズムを回避することができる. アクティブになったら, VShellは攻撃者にシステムコマンドを実行する能力を与える, ファイルを転送する, WebSocketなどの秘密の通信チャネルを通じて長期的なアクセスを維持する.
クロスプラットフォームの脅威: macOSも標的
この作戦は主にLinux環境を対象としているが、, 証拠によれば、マルウェアスイートも macOSシステムを侵害する可能性がある. 言い換えると, これは クロスプラットフォームマルウェア 手術.
一例として、Cloudflareブランドの認証アプリケーションを装ったVShellのバージョンがあります。. この悪意のあるビルドは、中国からVirusTotalに2010年後半にアップロードされました。 2024, キャンペーンのより広範なターゲティング戦略とソーシャルエンジニアリングの要素を示している.
UNC5174, 一部の報告書ではUteusまたはUetusとも呼ばれる, 歴史がある 広く使用されているソフトウェアの脆弱性を悪用する. マンディアントが記録した過去のキャンペーン, Googleが所有するサイバーセキュリティ企業, Connectwise ScreenConnectとF5 BIG-IPの脆弱性を狙ったもの. これらの作戦では、GOHEAVYなどの追加のマルウェアを取得するためにSNOWLIGHTも利用しました。, Golangベースのトンネリングツール, そしてGOREVERSE, SSHベースのリバースシェルユーティリティ.
フランスの国家サイバーセキュリティ機関ANSSIは、Ivantiのクラウドサービスアプライアンスの脆弱性を悪用した無関係な攻撃で同様のパターンが見られたと指摘した。. 脆弱性としては、 CVE-2024-8963, CVE-2024-9380, と CVE-2024-8190 UNC5174作戦で見られた侵入戦術に匹敵する戦術と組み合わせて使用されたと報告されている。. ANSSIはまた、公開されているハッキングツールの頻繁な使用にも言及した。, ルートキットを含む, これらのキャンペーンの重要な特徴として.
中国ハッカーのさらなる活動が実環境で検知される
チームT5, 台湾に拠点を置くサイバーセキュリティ研究会社, UNC5174の手法に類似した、独立して開示された活動. 彼らの調査結果によると, 攻撃者 Ivantiの脆弱性を悪用 と呼ばれる新しい種類のマルウェアを配布する スポーンキメラ. これらの事件は、ほぼ全域のターゲットに影響を与えました 20 国, 米国を含む, 英国, 日本, シンガポール, とオランダ, これらのサイバー作戦の広範な国際的影響を強調する.
このキャンペーンは中国と米国の間の緊張が続く中で行われている。. 2月中 2025, 中国当局は米国を非難した. 国家安全保障局 (NSA) アジア冬季競技大会中に大規模なサイバー侵入を実行した. 中国国家コンピュータウイルス緊急対応センターによると (CVERC), 以上 170,000 攻撃は米国によるものとされた. 20日間の期間中, ドイツを含む他の国々にも侵入があったことが判明, 韓国, とシンガポール.
中国当局は強い非難を表明した, 攻撃により金融などの主要インフラ部門が危険にさらされたと主張している, 防衛, および公共コミュニケーション. 外務省は、この侵入により中国国民の個人情報や国家システムの完全性が危険にさらされるリスクもあると警告した。.
決定的な考え
Sysdigの研究者は、この事例は、高度な脅威アクターがオープンソースツールを悪用して自分たちの関係を隠蔽するケースが増えていることを強調している。. VShellやSNOWLIGHTのようなツールは無料で利用でき、広く使われている。, 攻撃者が通常のサイバー犯罪行為を装って高度なキャンペーンを実行できるようにする. その結果、ステルス性と回避能力を融合した非常に高い脅威が生まれた。, 柔軟性, そしてもっともらしい否認.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: