中国のサイバーセキュリティ企業のものと思われるテキスト等がネットに流出し、その内容が中国のサイバー攻撃に関わる内容であったことからサイバーセキュリティ各社が相次いで解析レポートを発表しています。
GitHubにマーケティング文書やWeChat記録
リークはソフトウェア開発のプラットフォームGitHubで今月16日に行われ、中国のサイバーセキュリティ企業、Anxun InformationTechnology(i-Soon 、上海安洵)のものとみられるマーケティング文書や画像、顧客との間の WeChat メッセージの内容などがネット上に公開されたということです。だれが、どのような目的でリークをしたのか不明です。
パロアルトネットワークスの脅威インテリジェンスチームUnit42のレポートによると、流出した文書は同社がインド、タイ、ベトナム、韓国の政府とNATO を標的にしていることを示しており、Unit42はその内容について検証をしているということです。また、流失した文書の中には2018 年 11 月から 2023 年 1 月までの間の会話のテキストもあり、会話には37 人の固有ユーザー名が含まれていたということです。会話の記録は、一般的な内容から職場の問題、ターゲット、ソフトウェアの脆弱性、顧客についての話まで多岐にわたっているようです。
2022年9月に起きたComm100というカナダのソフトウェア会社に対するサプライチェーン攻撃についてトレンドマイクロが発表した報告によると、この攻撃ではComm100 のチャットベースの顧客エンゲージメントアプリケーションのインストーラーがトロイの木馬化されたということですが、Unit42によると流出した文書にはi-Soon社がこの攻撃に関与していたことを示唆する内容があるということです。また、流出したテキストにはさまざまなソフトウェアツールのマニュアルやホワイトペーパーが含まれており、その中には、中国の APT グループが使用しているソフトウェアのマニュアルやホワイトペーパーが含まれているということです。
Winnti グループのツール開発に関与か?
i-Soon社 がこれらのツールの開発者だったのか、再販業者だったのか、あるいは単なるエンド ユーザーだったのかは現時点ではわからないとUnit42は言います。Sentinel Labsは2021年8月のブログで、Shadow Padというシェルコード形式のモジュール式バックドアに関する解析をレポートしています。Sentinel Labsの解析によると、Shadow Padは複数のサイバー攻撃で使用されているバックドアで、ShadowPad を使うことで、脅威アクターは開発とメンテナンスコストを大幅に削減することができ、一部の脅威グループがShadowPad にアクセスした後、独自のバックドアの開発を中止したことを観察したということです。つまりShadowPadは複数の脅威アクターが使用する共有バックドアということのようです。
Unit42のレポートによると、今回流出した文書の中には、Windows リモート コントロール管理システムに関するホワイトペーパーがあり、そのドキュメントではシステムとネットワークのアーキテクチャ、および製品の機能について説明しているということです。そしてツールの管理を説明するページの 1 つには、管理者パネルとみられるスクリーンショットが掲載されており、そのスクリーンショットには、パブリック IP アドレスとポートが示されているということなのですが、そのIPアドレスは2021年8月のSentinel LabsのブログでShadowPad C2 サーバーとして使用され、中国のハッカーグループとして知られるWinnti グループに帰属すると報告されているIPアドレスだということです。このことからUnit42のレポートは、i-Soon が Winnti グループが使用するツールの開発に関与していた証拠だと指摘しています。
■出典