2024年9月20日
<<報道資料>
ソフォス株式会社
ソフォスが公開したレポートにより、中国が支援するスパイ活動「クリムゾンパレス作戦」が東南アジアで拡大していることが明らかに
~中国が支援するサイバー攻撃グループ、オープンソースツールの利用に軸足を置く~
~ソフォスは、新たなキーロガー「Tattletale」を発見~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は本日、「クリムゾンパレス作戦:新たなツール、戦術、および標的」(と題するレポートを公開しました。本レポートでは、東南アジアで2年近くにわたって実行されている中国のサイバースパイ活動の最新動向を詳述しています。Sophos X-Opsは、2024年6月に「クリムゾンパレス作戦」と命名した攻撃について報告しました。Sophos X-Opsは、中国が支援しており、重要な政府機関に狙った3つの個別の攻撃クラスタ Cluster Alpha (クラスタアルファ), Cluster Bravo (クラスタブラボー), Cluster Charlie (クラスタチャーリー) の詳細を明らかにしました。2023年8月に一時的に攻撃が休止されていましたが、Sophos X-Opsは最初に標的となった組織とその地域の他の多数の組織の両方で、クラスタブラボーとクラスタチャーリーの活動が再開されていることを発見しました。
Sophos X-Opsは、さらにこの新たな攻撃を調査している中、新種のキーロガーを発見しました。このキーロガーは脅威ハンターによって「Tattletale」と命名されました。Tattletaleは、システムにサインインしたユーザーになりすまし、パスワードポリシー、セキュリティ設定、キャッシュパスワード、ブラウザ情報、ストレージデータに関する情報を収集します。また、Sophos X-Opsは攻撃の第一波とは対照的に、クラスタチャーリーは最初の攻撃で開発したカスタムマルウェアを展開せず、オープンソースツールを使用するように順次切り替えていることが当レポートで指摘されています。
ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは次のように述べています。「ソフォスは、これらのサイバー攻撃グループとチェスのような戦いを続けてきました。活動の初期段階において、クラスタチャーリーはカスタマイズしたさまざまなツールやマルウェアを展開していましたが、ソフォスは攻撃者が使用していた多くのインフラを無力化し、コマンドアンドコントロール(C2)ツールを阻止してきました。そのため、これらの攻撃者は戦略を転換せざるを得なくなっています。しかし、攻撃の主軸をオープンソースツールに切り替えていることは、これらの攻撃者グループがいかにすばやく適応し、しぶとく生き残っていることを示しています。また、中国が支援するサイバー攻撃グループの新たな動向も明らかになりました。セキュリティコミュニティは、これらの攻撃者から最も機密性の高いシステムを保護する取り組みを進めており、この方針転換に関する知見を共有することは、今後に役立つはずです」
クラスタチャーリーは、2023年3月から8月にかけて東南アジアの重要な政府機関を標的に活動していた中国のサイバー攻撃グループであるEarth Longzhiと戦術、手法、および手順(TTP)を共有しています。このクラスタは数週間活動を停止していましたが、2023年9月に再開し、少なくとも2024年5月まで活動していました。この活動の第2段階では、クラスタチャーリーはネットワークのさらに深部に侵入し、EDR(Endpoint Detection and Response)ツールを回避し、さらに多くの情報を収集することに重点を置いていました。オープンソースツールに切り替えたことに加え、クラスタチャーリーは当初クラスタアルファとクラスタブラボーが展開した戦術を利用し始めました。これは、同じ組織が3つのクラスタすべてを統括し、指示していることを示唆しています。Sophos X-Opsは、東南アジアの他のいくつもの組織で進行しているクラスタチャーリーの活動を追跡しています。
クラスタブラボーは、中国のサイバー攻撃グループである「Unfading Sea Haze」とTTPを共有しており、当初は2023年3月の3週間のみ標的組織のネットワークで活動していました。しかし、このクラスタは2024年1月に再び出現し、今度は同じ地域の少なくとも11の他の組織や機関を標的にしています。
Paul Jaramilloは次のように述べています。「クリムゾンパレス作戦の3つのクラスタがその戦術を洗練させて連携しているだけでなく、東南アジアの他の標的組織にも潜入して、作戦の範囲を拡大しています。中国が支援するサイバー攻撃グループがインフラやツールを頻繁に共有しており、クラスタブラボーとクラスタチャーリーが当初の標的からその対象を拡大していることから、このキャンペーンは今後も進化し、新たな場所で被害が生まれる恐れがあります。ソフォスは今後もこれらの活動を緊密に監視しています」
詳しくは、「クリムゾンパレス作戦:新たなツール、戦術、および標的」(https://news.sophos.com/ja-jp/2024/09/10/crimson-palace-new-tools-tactics-targets-jp/)をご覧ください。サイバー攻撃を阻止するためのソフォスの脅威ハンティングやその他のサービスの詳細については、ソフォスのマネージドディテクション&レスポンス(MDR、https://www.sophos.com/ja-jp/products/managed-detection-and-response)) をご覧ください。
この約2年間にわたるサイバースパイ活動キャンペーンの背後にある脅威ハンティングの詳細については、ウェビナー「Surfacing a Hydra: Operation Crimson Palace (英語)」(https://events.sophos.com/operation-crimson-palace/ にて解説しますので、ぜひご登録ください。
●詳細情報
* 東南アジアの政府機関を標的とするサイバースパイキャンペーンについて「クリムゾンパレス作戦:脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」をご覧ください。
https://news.sophos.com/ja-jp/2024/06/05/operation-crimson-palace-sophos-threat-hunting-unveils-multiple-clusters-of-chinese-state-sponsored-activity-targeting-southeast-asia-jp/
* クリムゾンパレス作戦の脅威活動の3つのクラスタ
https://news.sophos.com/ja-jp/2024/06/05/operation-crimson-palace-a-technical-deep-dive-jp/
* 2024年上半期のアクティブアドバーサリーレポートでは、サイバー攻撃者の最新のTTP(戦術、手法、手順)を紹介しています。
https://news.sophos.com/ja-jp/2024/04/03/active-adversary-report-1h-2024-jp/
* 「ソフォス脅威レポート2024年版」で中堅・中小企業に対する最大の脅威を参照してください。
https://news.sophos.com/ja-jp/2024/03/12/2024-sophos-threat-report-jp/
* 脅威活動クラスタ(英語)の使用による悪意のある活動のパターンの特定
https://news.sophos.com/en-us/2023/08/08/a-series-of-ransomware-attacks-made-by-different-groups-share-curiously-similar-characteristics/
* Sophos Managed Detection and Response (MDR)と修復機能
https://www.sophos.com/ja-jp/products/managed-detection-and-response
* Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)をサブスクライブし、Sophos X-Opsと画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をチェックしてください。
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で60万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>
ソフォス株式会社
ソフォスが公開したレポートにより、中国が支援するスパイ活動「クリムゾンパレス作戦」が東南アジアで拡大していることが明らかに
~中国が支援するサイバー攻撃グループ、オープンソースツールの利用に軸足を置く~
~ソフォスは、新たなキーロガー「Tattletale」を発見~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は本日、「クリムゾンパレス作戦:新たなツール、戦術、および標的」(と題するレポートを公開しました。本レポートでは、東南アジアで2年近くにわたって実行されている中国のサイバースパイ活動の最新動向を詳述しています。Sophos X-Opsは、2024年6月に「クリムゾンパレス作戦」と命名した攻撃について報告しました。Sophos X-Opsは、中国が支援しており、重要な政府機関に狙った3つの個別の攻撃クラスタ Cluster Alpha (クラスタアルファ), Cluster Bravo (クラスタブラボー), Cluster Charlie (クラスタチャーリー) の詳細を明らかにしました。2023年8月に一時的に攻撃が休止されていましたが、Sophos X-Opsは最初に標的となった組織とその地域の他の多数の組織の両方で、クラスタブラボーとクラスタチャーリーの活動が再開されていることを発見しました。
Sophos X-Opsは、さらにこの新たな攻撃を調査している中、新種のキーロガーを発見しました。このキーロガーは脅威ハンターによって「Tattletale」と命名されました。Tattletaleは、システムにサインインしたユーザーになりすまし、パスワードポリシー、セキュリティ設定、キャッシュパスワード、ブラウザ情報、ストレージデータに関する情報を収集します。また、Sophos X-Opsは攻撃の第一波とは対照的に、クラスタチャーリーは最初の攻撃で開発したカスタムマルウェアを展開せず、オープンソースツールを使用するように順次切り替えていることが当レポートで指摘されています。
ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは次のように述べています。「ソフォスは、これらのサイバー攻撃グループとチェスのような戦いを続けてきました。活動の初期段階において、クラスタチャーリーはカスタマイズしたさまざまなツールやマルウェアを展開していましたが、ソフォスは攻撃者が使用していた多くのインフラを無力化し、コマンドアンドコントロール(C2)ツールを阻止してきました。そのため、これらの攻撃者は戦略を転換せざるを得なくなっています。しかし、攻撃の主軸をオープンソースツールに切り替えていることは、これらの攻撃者グループがいかにすばやく適応し、しぶとく生き残っていることを示しています。また、中国が支援するサイバー攻撃グループの新たな動向も明らかになりました。セキュリティコミュニティは、これらの攻撃者から最も機密性の高いシステムを保護する取り組みを進めており、この方針転換に関する知見を共有することは、今後に役立つはずです」
クラスタチャーリーは、2023年3月から8月にかけて東南アジアの重要な政府機関を標的に活動していた中国のサイバー攻撃グループであるEarth Longzhiと戦術、手法、および手順(TTP)を共有しています。このクラスタは数週間活動を停止していましたが、2023年9月に再開し、少なくとも2024年5月まで活動していました。この活動の第2段階では、クラスタチャーリーはネットワークのさらに深部に侵入し、EDR(Endpoint Detection and Response)ツールを回避し、さらに多くの情報を収集することに重点を置いていました。オープンソースツールに切り替えたことに加え、クラスタチャーリーは当初クラスタアルファとクラスタブラボーが展開した戦術を利用し始めました。これは、同じ組織が3つのクラスタすべてを統括し、指示していることを示唆しています。Sophos X-Opsは、東南アジアの他のいくつもの組織で進行しているクラスタチャーリーの活動を追跡しています。
クラスタブラボーは、中国のサイバー攻撃グループである「Unfading Sea Haze」とTTPを共有しており、当初は2023年3月の3週間のみ標的組織のネットワークで活動していました。しかし、このクラスタは2024年1月に再び出現し、今度は同じ地域の少なくとも11の他の組織や機関を標的にしています。
Paul Jaramilloは次のように述べています。「クリムゾンパレス作戦の3つのクラスタがその戦術を洗練させて連携しているだけでなく、東南アジアの他の標的組織にも潜入して、作戦の範囲を拡大しています。中国が支援するサイバー攻撃グループがインフラやツールを頻繁に共有しており、クラスタブラボーとクラスタチャーリーが当初の標的からその対象を拡大していることから、このキャンペーンは今後も進化し、新たな場所で被害が生まれる恐れがあります。ソフォスは今後もこれらの活動を緊密に監視しています」
詳しくは、「クリムゾンパレス作戦:新たなツール、戦術、および標的」(https://news.sophos.com/ja-jp/2024/09/10/crimson-palace-new-tools-tactics-targets-jp/)をご覧ください。サイバー攻撃を阻止するためのソフォスの脅威ハンティングやその他のサービスの詳細については、ソフォスのマネージドディテクション&レスポンス(MDR、https://www.sophos.com/ja-jp/products/managed-detection-and-response)) をご覧ください。
この約2年間にわたるサイバースパイ活動キャンペーンの背後にある脅威ハンティングの詳細については、ウェビナー「Surfacing a Hydra: Operation Crimson Palace (英語)」(https://events.sophos.com/operation-crimson-palace/ にて解説しますので、ぜひご登録ください。
●詳細情報
* 東南アジアの政府機関を標的とするサイバースパイキャンペーンについて「クリムゾンパレス作戦:脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」をご覧ください。
https://news.sophos.com/ja-jp/2024/06/05/operation-crimson-palace-sophos-threat-hunting-unveils-multiple-clusters-of-chinese-state-sponsored-activity-targeting-southeast-asia-jp/
* クリムゾンパレス作戦の脅威活動の3つのクラスタ
https://news.sophos.com/ja-jp/2024/06/05/operation-crimson-palace-a-technical-deep-dive-jp/
* 2024年上半期のアクティブアドバーサリーレポートでは、サイバー攻撃者の最新のTTP(戦術、手法、手順)を紹介しています。
https://news.sophos.com/ja-jp/2024/04/03/active-adversary-report-1h-2024-jp/
* 「ソフォス脅威レポート2024年版」で中堅・中小企業に対する最大の脅威を参照してください。
https://news.sophos.com/ja-jp/2024/03/12/2024-sophos-threat-report-jp/
* 脅威活動クラスタ(英語)の使用による悪意のある活動のパターンの特定
https://news.sophos.com/en-us/2023/08/08/a-series-of-ransomware-attacks-made-by-different-groups-share-curiously-similar-characteristics/
* Sophos Managed Detection and Response (MDR)と修復機能
https://www.sophos.com/ja-jp/products/managed-detection-and-response
* Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/category/threat-research/)をサブスクライブし、Sophos X-Opsと画期的な脅威リサーチ(https://www.sophos.com/ja-jp/x-ops)の詳細をチェックしてください。
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で60万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
