セキュリティベンダーのマカフィーは、5Gネットワークに関する情報を盗む目的で通信会社を狙ったと思われる攻撃を検出した。
マカフィーはこの攻撃を「オペレーション・ディアンシュン(Diànxùn)」と名付け、RedDeltaやMustang Pandaといったグループが過去に実行した攻撃に類似していると述べています。両グループは、他のセキュリティ研究者によって中国との関連が指摘されています。
マカフィーの研究者によると、この攻撃は偽のファーウェイの求人情報ページへのアクセスから始まるという。偽の求人情報と本物のマルウェアを掲載するこのサイトへのトラフィック誘導には、フィッシングが一因となっている可能性がある。
「Flashアプリケーションを装うマルウェアを発見しました。これらのマルウェアは、多くの場合、脅威アクターが管理するドメインhxxp://update.careerhuawei.netに接続していました」とマカフィーの研究者は述べています。「さらに、Flashアプリケーションを装うサンプルは、中国のFlashアプリケーションをダウンロードするための公式ウェブページflash.cnを装った悪意のあるドメイン名flach.cnを使用していました。」
「過去の攻撃との主な違いの一つは、PlugXバックドアが使用されていないことです。しかしながら、Cobalt Strikeバックドアの使用は確認されました」と研究者らは記している。
マカフィー、40億ドルでエンタープライズ事業を売却、消費者向けセキュリティに注力
続きを読む
攻撃が成功すると、被害者のマシンは、コマンドアンドコントロールサーバーと Cobalt Strike Beacon を介したリモート制御を可能にするバックドアのホストになります。
マカフィーのテレメトリによると、「ドイツ、ベトナム、インドの通信会社に強い関心がある」ことに加え、「東南アジア、ヨーロッパ、米国を拠点とする可能性のある標的が通信部門で発見された」という。
偽のファーウェイサイトの使用と合わせて、このキャンペーンは通信業界を標的としていたと高い確信度で考えています。また、このキャンペーンの背後にある動機は、世界的な5G展開における中国技術の禁止と関係しているという確信度は中程度だと考えています。
セキュリティ企業は、中程度の確信を持って「このスパイ活動は、5G技術に関する機密情報や秘密情報を盗むことを目的としている」と結論付けた。
マカフィーはまた、驚くべきことに、自社製品を使用することで、この攻撃を防御するのはそれほど難しくないはずだと示唆しています。読者の中には、Flashが非推奨になったこともあり、Flashを使わないことがこのような攻撃を防ぐ良い方法だと提案する人もいるかもしれません。しかし、Flashは中国では依然として広く利用されており、依然として広く利用されています。®