ニュースに戻る
速報

中国のAPTグループがSaaS APIを悪用、通信・政府機関を標的としたグローバルスパイ活動

1分で読めますソース: BleepingComputer

GoogleとMandiantが、中国の国家支援型APTグループによるSaaS API悪用のサイバースパイ活動を阻止。通信事業者や政府機関を標的とし、機密データの窃取を図る手口を解説。

中国国家支援型脅威アクターがSaaS APIを悪用したグローバルなサイバースパイ活動を展開

Googleの脅威インテリジェンスグループ(GTIG)とMandiantは、業界パートナーと協力し、中国の国家支援型と見られる高度持続的脅威(APT)アクターによる巧妙なサイバースパイ活動を阻止しました。この作戦は、世界中の通信事業者や政府機関を標的とし、SaaS APIの悪用を通じて、悪意のあるトラフィックを正規のネットワーク活動に紛れ込ませる手法を採用していました。

主な発見と技術的詳細

MandiantによってUNC5537として追跡されているこの脅威アクターは、**Software-as-a-Service(SaaS)アプリケーションプログラミングインターフェース(API)**を悪用し、悪意のある通信を通常のトラフィックに混在させることで、検知を回避しながら侵害されたネットワークから機密データを窃取していました。

  • 標的:複数の地域にわたる数十社の通信事業者および政府機関。
  • 戦術・技術・手順(TTPs)
    • SaaS APIの悪用:攻撃者は正規のSaaSプラットフォームのAPIを利用し、コマンド&コントロール(C2)通信を隠蔽。
    • 持続性の確保:侵害された認証情報やバックドアを通じて、被害者ネットワークへのアクセスを維持。
    • データ窃取:通話記録や内部通信などの機密情報がキャンペーン中に流出していた可能性が高い。

GoogleとMandiantは、この攻撃に関連する具体的なCVE IDを公表していませんが、この作戦はサイバースパイ活動におけるAPIベースの脅威の増加傾向を浮き彫りにしています。多くの組織から信頼されているSaaSプラットフォームは、従来のセキュリティ対策を回避しようとする脅威アクターにとって魅力的な攻撃経路となっています。

影響分析

このキャンペーンが通信事業者や政府機関を重点的に標的としていることは、情報収集と監視を戦略的な目的としていることを示唆しています。侵害された通信ネットワークは、攻撃者に以下のような能力を与える可能性があります:

  • 高価値標的の通信監視
  • 地政学的緊張の高まりにおける重要インフラの破壊
  • 競争上または戦略上の優位性を得るための機密情報や分類情報の窃取

SaaS APIの悪用は、APTの戦術の変化を示しており、従来の検知手法(例:シグネチャベースの監視)では、正規のAPIコールに偽装された悪意のあるトラフィックを識別できない可能性があります。

セキュリティチーム向け推奨対策

特に通信および政府セクターの組織は、同様の脅威に対処するために以下の対策を講じるべきです:

  1. APIセキュリティの強化

    • SaaS APIの使用に対して、レート制限、認証、異常検知を実装。
    • データ窃取の可能性を示す異常なAPIコールパターンを監視。

  2. 認証情報の衛生管理の徹底

    • すべての特権アカウントに**多要素認証(MFA)**を強制。
    • 侵害されたアカウントを検出するために、定期的な認証情報監査を実施。

  3. ネットワーク監視の改善

    • 暗号化されたSaaSチャネル内でも、異常なトラフィックフローを検知するための行動分析を導入。
    • 重要なネットワークを分離し、脅威アクターによる横方向の移動を制限。

  4. 脅威インテリジェンスの統合

    • MandiantおよびGoogleの脅威インテリジェンスフィードを活用し、新たなTTPsに関する最新情報を入手。
    • 業界パートナーと**侵害指標(IOCs)**を共有し、集団的防御を強化。

結論

このキャンペーンの阻止は、国家支援型サイバースパイ活動の進化を示しており、特に信頼されたSaaSプラットフォームの悪用が顕著です。脅威アクターが手法を洗練させる中、組織は積極的なAPIセキュリティ対策高度な脅威検知を採用し、これらの巧妙な攻撃に対抗する必要があります。

詳細については、BleepingComputerのオリジナルレポートを参照してください。

共有

TwitterLinkedIn