サイバーリーズンは、北米、ヨーロッパ、アジアの企業を標的とした世界的な中国のサイバースパイ活動を明らかにします 「Operation CuckooBees」は、防衛、エネルギー、航空宇宙、バイオテクノロジー、および製薬会社に対して41年以来検出されずに活動しているとらえどころのないWinnti Group (APT 2019) を明らかにしました。
XDR の企業である Cybereason は、Operation CuckooBees に関する新しい研究を発表しました。 世界的なサイバー スパイ活動に対する 41 か月にわたる調査により、Winnti Group (APT XNUMX) が北米、ヨーロッパ、アジアの産業企業を標的にしていることがわかります。 ターゲット グループは、防衛、エネルギー、航空宇宙、バイオテクノロジー、製薬の分野の企業です。
12 か月の調査: CuckooBees 作戦
🔎 フローチャートは、この操作における攻撃のライフサイクルをまとめたものです (画像: Cybereason)
Cybereason の調査によると、Winnti は少なくとも 2019 年以降、気付かれることなく CuckooBees 作戦を実行しており、その過程で数十社の企業から数千ギガバイトの知的財産と機密の所有データを盗んでいる可能性があります。 Cybereason は XNUMX つのレポートを発行しています。 XNUMX つ目は、使用されたマルウェアとエクスプロイトの詳細な分析を提供します。.
「カッコウ蜂作戦の結果は、中国政府が支援する Winnti Group (APT 41) の複雑で広範な行動を明らかにする 2019 か月にわたる調査の集大成です。 このグループは、数十の世界的な防衛、エネルギー、バイオテクノロジー、航空宇宙、および製薬会社から機密情報を盗むことを目的としています。 特に憂慮すべきは、影響を受けた企業が攻撃を受けていることに気づいていなかったという事実です。場合によっては、少なくとも XNUMX 年までさかのぼることができます。 これにより、Winnti は、知的財産、設計図、機密図、その他の専有データへの無料かつフィルタリングされていないアクセスを得ることができました」と、Cybereason の CEO 兼共同創設者である Lior Div 氏は述べています。
Operation CuckooBees - 最も重要な結果
- Winnti APT グループへの割り当て: フォレンジック アーティファクトの分析に基づいて、Cybereason は、攻撃の加害者が悪名高い Winnti グループに関連しているという確度が中程度から高いと判断しました。 このグループは、少なくとも 2010 年から存在しています。中国に代わって活動していると考えられており、サイバースパイ活動と知的財産の窃盗を専門としています。
- サイバースパイ活動の年数: Cybereason の IR チームは、少なくとも 2019 年以来検出されていなかった、巧妙でとらえどころのないサイバースパイ活動を調査しました。 彼らの目的は、主に東アジア、西ヨーロッパ、北米のテクノロジー企業や製造企業から機密の機密情報を盗むことでした。
- 新たに発見されたマルウェアと多段階の感染チェーン: 調査により、デジタル署名されたカーネル レベルのルートキットと洗練された多段階の感染チェーンを含む、既知の Winnti マルウェアとこれまで文書化されていなかった Winnti マルウェアの両方が明らかになりました。 これにより、少なくとも 2019 年以降、攻撃が検出されなくなりました。
- Winnti プレイブック: Cybereason は、Winnti が侵入に使用したプレイブックを独自に紹介しています。 最も一般的に使用される戦術と、調査中に観察されたあまり知られていない回避手法について説明します。
- Winnti アーセナルでの新しいマルウェアの発見: レポートは、Winnti APT グループによって使用された DEPLOYLOG と呼ばれる、これまで文書化されていなかったマルウェア株を明らかにしています。 また、Spyder Loader、PRIVATELOG、WINNKIT など、よく知られた Winnti マルウェアの新しいバージョンも導入されています。
- Windows CLFS 機能の悪用はめったに見られません。 攻撃者は、Windows CLFS メカニズムと NTFS トランザクション操作を使用してペイロードを隠し、従来のセキュリティ製品による検出を回避しました。
- 複雑で相互に依存するペイロードの配信: レポートには、複数の相互依存コンポーネントで構成される WINNKIT ルートキットの増殖につながる複雑な感染チェーンの分析が含まれています。 攻撃者は、適切な実行のために各コンポーネントが他のコンポーネントに依存するという繊細な「トランプの家」アプローチを採用しました。 これにより、各コンポーネントを個別に分析することが非常に困難になります。
「Operation Cuckoo Bees のような攻撃で最も一般的なセキュリティの脆弱性は、パッチが適用されていないシステム、貧弱なネットワーク セグメンテーション、管理されていない資産、忘れられたアカウント、および多要素認証製品の展開の失敗です。 これらの脆弱性は些細で簡単に修正できるように思えますが、日常のセキュリティは複雑であり、大規模な対策を見つけるのは必ずしも容易ではありません。 防御側は、最も重要な資産を保護するための適切な脆弱性検出および修復機能を確保するために、MITRE および/または同様のフレームワークと連携する必要があります」と Div は付け加えます。
詳しくは、cybereason.com をご覧ください
サイバーリーズンについて Cybereason は、攻撃シナリオが変化しても、すべてのエンドポイントおよび企業全体で、統合されたセキュリティ アプローチにより、攻撃に対する将来を見据えた保護を提供します。 Cybereason Defense Platform は、業界最高の検出と対応 (EDR および XDR) メソッド、次世代アンチウイルス (NGAV) ソリューション、およびプロアクティブな脅威ハンティングを組み合わせて、Malop™ (悪意のある操作) 内の各要素のコンテキスト分析を行います。 Cybereason は、ボストンに本社を置く株式非公開の国際企業で、45 か国以上に顧客を持っています。