概要

Recorded FutureのInsikt Groupは、TAG-100による、世界の政府および民間組織を標的としたサイバースパイ活動の疑いを特定しました。 TAG-100は、インターネットに接続されたデバイスを悪用し、GoバックドアPanteganaなどのオープンソースツールを使用しました。 この作戦は、アジア太平洋地域の2つの政府間組織を侵害し、複数の外交機関と貿易機関を標的にしました。

TAG-100は、世界的なスパイ活動の疑いのあるキャンペーンでオープンソースのツールを使用し、アジア太平洋地域の2つの政府間組織を危険にさらしました

TAG-100 は、オープンソースのリモート アクセス機能を採用し、インターネットに接続されたさまざまなデバイスを悪用して初期アクセスを取得します。 この活動は、オープンソースのツールを使用した サイバースパイ の増加傾向を浮き彫りにしており、能力の低い脅威アクターが簡単になり、カスタマイズされた機能の必要性が減少します。 アジア太平洋地域の2つの主要な政府間組織と、世界中の複数の外交、貿易、民間セクターの組織が、TAG-100によって侵害された可能性が高い。

主な調査結果

• TAG-100 は、アフリカ、アジア、北米、南米、オセアニアの少なくとも 10 か国の組織を侵害しています。
• このグループは、エクスプロイト後にオープンソースのGoバックドアPanteganaと SparkRAT を使用しました。
• TAG-100は、Citrix NetScaler、F5 BIG-IP、Zimbra、Microsoft Exchange、SonicWall、Cisco ASA、Palo Alto Networks GlobalProtect、Fortinet FortiGateなど、さまざまなインターネット向け製品を標的としていました。
• パロアルトネットワークスのGlobalProtectファイアウォールの脆弱性 CVE-2024-3400に対するPoCエクスプロイトの公開後、TAG-100は米国を拠点とする数十の組織に対して偵察を行い、エクスプロイトを試みました。

影響と影響

TAG-100による脆弱なインターネット向けデバイスの悪用は、これらのデバイスの可視性とロギング機能が限られているため、特に懸念されます。 これにより、エクスプロイト後の検出リスクが軽減され、組織は運用上のダウンタイム、評判の低下、規制上の罰金にさらされます。 また、オープンソースツールを使用することで、国家が支援する脅威アクターがサイバーオペレーションを能力の低いグループにアウトソーシングできるようになり、企業ネットワークに対する攻撃の強度と頻度が増加します。

軽減策

組織は次のことを行う必要があります。

• 侵入検知および防止システムを設定して、疑わしいIPアドレスとドメインにアラートを発し、ブロックします。
• すべての外部向けサービスとデバイスのセキュリティ監視を確保します。
• パッチ適用の脆弱性、特に実際に悪用された脆弱性を優先します。
• ネットワークセグメンテーションと多要素認証を実装します。
• Recorded Future® Threat Intelligenceモジュールを使用して、Pantegana、SparkRAT、Cobalt Strikeコマンド&コントロール(C2)サーバーなどの悪意のあるインフラストラクチャをリアルタイムで検出し、ブロックします。
• Recorded Future® Third-Party Intelligenceモジュールは、 リアルタイムの出力を監視して、主要なベンダーやパートナーが関与する侵入活動の疑いを特定するのに役立ちます。
• 悪意のあるトラフィック分析(MTA)の監視により、Recorded Futureクライアントは、既知のTAG-100 C2 IPアドレスとの通信に関与するインフラストラクチャにプロアクティブにアラートを発し、監視できます。

今後の展望

TAG-100の活動は、インターネットに接続されたデバイスに対する持続的な脅威を浮き彫りにしており、金銭的な動機を持つ攻撃者と国家が支援する脅威アクターの両方が、これらの脆弱性を悪用し続ける可能性があります。 米国と英国の政府はセキュリティの向上に取り組んでいますが、脆弱なネットワークエッジは依然として大きなリスクです。 金銭的な動機を持ち、国家が支援する脅威アクターは、これらの脆弱性を悪用し続ける可能性があります。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。