また国家ぐるみのサイバースパイ合戦か。今回は中国系ハッカーが、パキスタンからポーランドに至る政府機関、防衛産業、そしてセンシティブな話題を嗅ぎ回る記者や、北京を悩ませる活動家まで、実に憂慮すべき範囲を標的にしている。
トレンドマイクロはこのサイバー攻撃を「SHADOW-EARTH-053」と名付けた。昨年12月以降活動している模様で、他の既知の悪質攻撃者との遠い親戚関係を主張するものの、その手口は不穏なほどお馴染みだ。Microsoft ExchangeやIISサーバーの既知の脆弱性を悪用? 当然だ。永続的なアクセスを得るためのウェブシェル(Godzilla)を仕掛ける? それもだ。さらにDLLサイドローディングを駆使してShadowPadインプラントを配置する。いつもの手口が、アップデートされたのだ。
そして被害者リストときたら、まさに火種だらけの地政学的な顔ぶれだ:パキスタン、タイ、マレーシア、インド、ミャンマー、スリランカ、台湾。さらに、ヨーロッパからはポーランドが、この網にかかった唯一のNATO加盟国らしい。SHADOW-EARTH-053の標的のほぼ半数、特にマレーシア、スリランカ、ミャンマーの標的は、関連する別チーム、SHADOW-EARTH-054にも以前から侵害されていたという。直接的な連携は確認されていない、と彼らは言う。本当かよ。
最初の侵入は、デジタルであれ、概して力任せな「総当たり」だ。パッチが当たっていない脆弱性を悪用する。侵入したら、バックドアとしてリモート操作を可能にするウェブシェルを仕掛ける。そこから先は偵察を経て、ShadowPadバックドアの展開だ。すべてDLLサイドローディングという、悪意あるコードを信頼できるアプリケーションに見せかける巧妙な手口で実行される。
React2Shellの脆弱性を悪用し、Noodle RATのLinux版を配布することさえしている。そう、RATだ。Google Threat Intelligenceは、この一連の攻撃をUNC6595と関連付けている。IOX、GO Simple Tunnel、Wstunnelといったオープンソースツール? これらはトンネリングに使われている。RingQでバイナリをパッケージ化。Mimikatzで権限昇格。Sharp-SMBExecでラテラルムーブメント。まさに悪意のフルコースだ。
トレンドマイクロの推奨は、予想通り、システムのパッチ適用だ。画期的だな。しかし、彼らは侵入防止システム(IPS)やWebアプリケーションファイアウォール(WAF)を当面の対策として提案する。仮想パッチングと呼ぶそうだが、まるで全ての組織が、そのような即時的でカスタマイズされた防御レベルのリソースを持っているかのようだ。
GLITTER CARP と SEQUIN CARP: 噛みつく囁き
しかし、政府レベルの諜報活動は話の半分に過ぎない。Citizen Labは、中国系とみられる別の2つのグループ、GLITTER CARPとSEQUIN CARPに関する別件の爆弾発言をした。彼らのゲームとは? 記者や市民社会団体を標的にすることだ。ウイグル、チベット、台湾、香港のディアスポラ活動家——つまり、都合の悪い真実を報道したり抗議したりする可能性のある連中だ。これらのキャンペーンは4月と6月に浮上した。
GLITTER CARPは、特に国際調査報道ジャーナリスト連合(ICIJ)の記者を騙すため、個人やテック企業のセキュリティアラートになりすまして忙しく活動していた。SEQUIN CARPは、ICIJの記者Scilla Alecciや、北京にとってセンシティブなトピックを扱う他の記者を狙った。彼らは複数の標的に対して、同じインフラ、同じドメイン、同じなりすまし人物を使用している。これは、日常的なサイバーセキュリティを装った、産業規模の情報操作と監視活動だ。
GLITTER CARPは、台湾の半導体産業に対するフィッシング攻撃にも手を染めた。Proofpointが7月頃にその一部を観測し、UNK_SparkyCarpと呼んだ。一方、SEQUIN CARPはVolexityのUTA0388やトレンドマイクロのTAOTHと関連がある。すべてがつながっているのだ、影響力と侵入の絡み合ったウェブだ。
目的は? メール認証情報の盗難、フィッシングページを通じた情報収集、あるいはサードパーティのOAuthトークンを渡すよう標的をソーシャルエンジニアリングすることだ。GLITTER CARPは、メールが開かれたかどうかを確認するために1x1のトラッキングピクセルまで使用している。些細なことだが、その影響は大きい。
これは単なるデータ窃盗ではない。異議申し立ての沈黙、言説の統制、そして民主的プロセスの弱体化が目的だ。技術は洗練され、手口は執拗であり、標的は声を上げる勇気や真実を報道する者たちだ。デジタル戦場が単なる企業スパイ活動を超えて広がっていることを、冷厳に思い出させてくれる。
「このグループは、インターネットに接続されたMicrosoft ExchangeおよびInternet Information Services(IIS)サーバーのN日脆弱性(例:ProxyLogonチェーン)を悪用し、その後、永続的なアクセスを得るためにウェブシェル(Godzilla)を展開し、正規の署名付き実行可能ファイルのDLLサイドローディングを通じてShadowPadインプラントをステージングする。」
これは単に脆弱性のパッチを当てるだけの問題ではない。持続的で潤沢な資金を持つサイバーオペレーションの背後にある動機を理解することなのだ。企業や政府がエクスプロイトへの対応に追われる中、本当の戦いは情報統制と反対勢力の抑制を求める者たちによって繰り広げられている。そして、それは我々がようやく理解し始めたばかりの戦いなのだ。
なぜこれが記者にとって重要なのか?
政府に対して使われてきたツールが、今や「第四の権力」たる報道機関に向けられているからだ。なりすまし、高度なフィッシング、認証情報収集は、もはや国家が敵対国に対して行うスパイ活動に限定されるものではない。特に人権侵害や地政学的な緊張といったセンシティブなトピックを調査している記者は、最前線の標的となっているのだ。彼らの通信や情報源にアクセスする能力は、調査報道、ひいては公的説明責任への直接的な脅威である。このキャンペーンは単なるデータ侵害ではなく、報道の自由への攻撃なのだ。
SHADOW-EARTH-053はGodzillaをどう使うのか?
SHADOW-EARTH-053は、侵害されたシステムへの永続的なアクセス確立のために、Godzillaウェブシェルを重要なコンポーネントとして利用している。脆弱性を悪用して最初の侵入を果たした後、攻撃者はGodzillaを展開する。これはコマンド&コントロールインターフェースとして機能し、任意のコマンドをリモートで実行したり、被害者のネットワークを偵察したり、最終的にShadowPadのようなさらなる悪意あるインプラントをステージングしたりすることを可能にする。すべて、隠密な存在感を維持しながらだ。
DLLサイドローディングとは?
DLLサイドローディングとは、正規の署名付き実行可能ファイルが、悪意あるダイナミックリンクライブラリ(DLL)ファイルを読み込むように騙される技術だ。正規のプログラムが起動すると、それが配置されているディレクトリを含む特定の場所で、必要なDLLを探す。もし同じディレクトリに期待される名前の悪意あるDLLが存在すると、プログラムはそのDLLを読み込み実行する。これにより、攻撃者は信頼されたアプリケーションのふりをしながら、自らのコードを実行する手段を得るのだ。
🧬 関連インサイト
よくある質問
SHADOW-EARTH-053は何をするのか?
SHADOW-EARTH-053は、諜報活動を行う中国系攻撃グループだ。主に脆弱性の悪用、永続的なアクセスを得るためのウェブシェルの展開、そしてShadowPadのようなインプラントを使った情報窃盗によって、政府機関や防衛産業を標的にしている。
記者は本当に中国のハッカーに標的にされているのか?
はい。Citizen Labが特定したGLITTER CARPやSEQUIN CARPのようなグループは、特に記者や活動家を、高度なフィッシングやなりすましスキームで標的にし、認証情報を収集して機密情報へのアクセスを得ようとしている。
これらのエクスプロイトを心配すべきか?
政府機関、防衛産業関係者、あるいはセンシティブなトピックを調査している記者であれば、そうです、非常に懸念すべきだ。一般ユーザーも、ソフトウェアを最新の状態に保ち、疑わしいリンクやメールに注意するなど、良好なサイバー衛生を実践すべきである。
