【要点】
◎中国の標的型攻撃組織。Exchange Server, Ivanti 製品の脆弱性を狙うことが特徴の一つ
【目次】
概要
【辞書】
◆国家主導型攻撃アクター Silk Typhoon (Microsoft)
https://www.microsoft.com/ja-jp/security/security-insider/silk-typhoon
◆Hafnium (group) (Wikipedia)
https://en.wikipedia.org/wiki/Hafnium_(group)
◆HAFNIUM (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/hafnium
◆APT group: UNC5221, UTA0178 (ETDA)
https://apt.etda.or.th/cgi-bin/showcard.cgi?g=UNC5221%2C%20UTA0178
【別名】
■組織名
| 攻撃組織名 |
命名組織 |
|---|---|
| ATK233 | Thales |
| G0125 | Mitre |
| Hafnium | Microsoft (旧) |
| Red Dev 13 | PwC |
| Silk Typhoon | Microsoft |
| UNC5221 | Mandiant |
| UTA0178 | Volexity |
■作戦名
| 作戦名 |
命名組織 |
|---|---|
| Operation Exchange Marauder | Microsoft |
【概要】
| 項目 | 内容 |
|---|---|
| ターゲットシステム | Exchange Server, Ivanti製品 |
| 被害組織 | 少なくとも3万組織, 6万組織という情報も |
| 日本での被害 | 確認されていない(Exchange Server) 確認されている(Ivanti) |
■使用脆弱性 (ProxyLogon)
■攻撃手法
- パスワード / ゼロデイ脆弱性を利用し、Exchange Serverへのアクセス権を持つ担当者になりすます
- バックドアを作成
- 仮想プライベートサーバー(米国)を介したリモートアクセスによって、標的のネットワークからデータを盗み出す
【最新情報】
◆北朝鮮のITワーカーが暗躍? Mandiantの調査から見る、最新の脅威動向 (マイナビニュース, 2025/06/24 06:00)
https://news.mynavi.jp/techplus/article/20250624-3361605/
⇒ https://malware-log.hatenablog.com/entry/2025/06/24/000000_2
◆Chinese Hacker Xu Zewei Arrested for Ties to Silk Typhoon Group and U.S. Cyber Attacks (The hacker News, 2025/07/09)
[中国人のハッカー、Xu Zewei が Silk Typhoon グループとの関連および米国に対するサイバー攻撃の容疑で逮捕]
https://thehackernews.com/2025/07/chinese-hacker-xu-zewei-arrested-for.html
⇒ https://malware-log.hatenablog.com/entry/2025/07/09/000000_2
記事
【ニュース】
■2021年
◇2021年3月
□2021年03月03日
◆Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告 (Gigazine, 2021/03/03 11:40)
https://gigazine.net/news/20210303-chinese-cyberspies-exchange-server-flaws/
⇒ https://malware-log.hatenablog.com/entry/2021/03/03/000000
□2021年03月04日
◆Microsoft Exchange Serverに複数の脆弱性、4件の悪用を確認 (マイナビニュース, 2021/03/04 08:57)
https://news.mynavi.jp/article/20210304-1767789/
⇒ https://malware-log.hatenablog.com/entry/2021/03/04/000000_5
◆中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告 (TechCrunch, 2021/03/04)
https://jp.techcrunch.com/2021/03/04/2021-03-02-microsoft-says-china-backed-hackers-are-exploiting-exchange-zero-days/
⇒ https://malware-log.hatenablog.com/entry/2021/03/04/000000_1
◆更新:Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等) (IPA, 2021/03/04)
https://www.ipa.go.jp/security/ciadr/vul/20210303-ms.html
⇒ https://malware-log.hatenablog.com/entry/2021/03/04/000000_2
□2021年03月06日
◆マイクロソフトのメール狙った攻撃で「被害多数」、米政府が懸念 (ロイター, 2021/03/06 07:15)
https://jp.reuters.com/article/usa-cyber-microsoft-idJPKCN2AX2J1
⇒ https://malware-log.hatenablog.com/entry/2021/03/06/000000_2
◆米3万組織に攻撃、中国系ハッカーか Microsoft標的 (日経新聞, 2021/03/06 19:40)
https://www.nikkei.com/article/DGXZQOGN062GA0W1A300C2000000/
⇒ https://malware-log.hatenablog.com/entry/2021/03/06/000000_1
□2021年03月08日
◆サイバー攻撃、国内被害なし 加藤官房長官 (時事通信, 2021/03/08 15:00)
https://www.jiji.com/jc/article?k=2021030800666
⇒ https://malware-log.hatenablog.com/entry/2021/03/08/000000_4
◆中国によるサイバー攻撃で政府が緊急指令を発令、すでに3万以上の組織がハッキングされているとの指摘も (Gigazine, 2021/03/08 11:31)
https://gigazine.net/news/20210308-microsoft-exchange-server-hafnium-proxylogon/
⇒ https://malware-log.hatenablog.com/entry/2021/03/08/000000_6
□2021年03月09日
◆Exchange Server の脆弱性悪用、マイクロソフトが新たな国家支援型サイバー攻撃を解説 (NetSecurity, 2021/03/09 08:05)
https://scan.netsecurity.ne.jp/article/2021/03/09/45306.html
⇒ https://malware-log.hatenablog.com/entry/2021/03/09/000000_9
◆MicrosoftのExchange Server脆弱性が発覚してからの攻撃&対処のタイムラインはこんな感じ (Gigazine, 2021/03/09 12:35)
https://gigazine.net/news/20210309-attacks-on-exchange-servers/
⇒ https://malware-log.hatenablog.com/entry/2021/03/09/000000_7
◆マイクロソフト、「Exchange Server」の脆弱性に関連する侵入の痕跡を確認するスクリプト公開 (ZDNet, 2021/03/09 12:37)
https://japan.zdnet.com/article/35167526/
⇒ https://malware-log.hatenablog.com/entry/2021/03/09/000000_6
□2021年03月15日
◆Microsoft、サポート対象外Exchange Serverへ例外的にアップデート提供開始 (マイナビニュース, 2021/03/09 15:12)
https://news.mynavi.jp/article/20210309-1792223/
⇒ https://malware-log.hatenablog.com/entry/2021/03/09/000000_4
◇2021年7月
◆日本・アメリカ・EU・イギリスなど世界各国が中国をMicrosoft Exchange Serverへの大規模ハッキングの一件で公式非難 (Gigazine, 2021/07/20 11:30)
https://gigazine.net/news/20210720-us-allies-say-china-hacked-microsoft-exchange/
⇒ https://malware-log.hatenablog.com/entry/2021/07/20/000000_6
◆中国がマイクロソフトへのサイバー攻撃に関与か 日米欧など非難 (BBC, 2021/07/20)
https://www.bbc.com/japanese/57897450
https://malware-log.hatenablog.com/entry/2021/07/20/000000_18
◇2021年12月
◆「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認 (ITmedia, 2021/12/16 07:29)
https://www.itmedia.co.jp/news/articles/2112/16/news065.html
⇒ https://malware-log.hatenablog.com/entry/2021/12/16/000000
■2024年
◇2024年1月
◆IvantiのVPN製品に緊急の脆弱性、国内でも攻撃への悪用を確認か (マイナビニュース, 2024/01/16)
https://news.mynavi.jp/techplus/article/20240116-2863437/
⇒ https://malware-log.hatenablog.com/entry/2024/01/16/000000_3
◇2024年2月
◆Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities (The hacker News, 2024/02/01)
[警告:Ivanti VPNの脆弱性を悪用した新たなマルウェアによる攻撃が発生]
https://thehackernews.com/2024/02/warning-new-malware-emerges-in-attacks.html
◇2024年4月
◆MITRE says state hackers breached its network via Ivanti zero-days (BleepingComputer, 2024/04/19 15:02)
[MITRE、国家ハッカーがIvanti zero-d経由で同社のネットワークに侵入したと発表]
https://www.bleepingcomputer.com/news/security/mitre-says-state-hackers-breached-its-network-via-ivanti-zero-days/
⇒ https://malware-log.hatenablog.com/entry/2024/04/19/000000_2
■2025年
◇2025年1月
◆Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か (Security NEXT, 2025/01/09)
https://www.security-next.com/166004
⇒ https://malware-log.hatenablog.com/entry/2025/01/09/000000_1
◆中国ハッカー集団、米外国投資審査機関CFIUSに侵入 〜日本製鉄のUSスチール買収も審査の重要機関 (XenoSpectrum, 2025/01/11)
https://xenospectrum.com/chinese-hacker-group-breaks-into-cfius-u-s-foreign-investment-screening-agency/
⇒ https://malware-log.hatenablog.com/entry/2025/01/11/000000
◆CISA orders agencies to patch BeyondTrust bug exploited in attacks (BleepingComputer, 2025/01/13 15:58)
[CISA、BeyondTrustのバグを修正するよう機関に命令 攻撃で悪用]
https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-beyondtrust-bug-exploited-in-attacks/
⇒ https://malware-log.hatenablog.com/entry/2025/01/13/000000
◆FBI/CISA Share Details on Ivanti Exploits Chains: What Network Defenders Need to Know (SecurityWeek, 2025/01/22)
[FBI/CISA、Ivantiエクスプロイトチェーンの詳細を共有:ネットワーク防御担当者が知っておくべきこと]The US government shared exploit chains, IOCs and post-incident forensics data to help network defenders hunt for signs of Chinese hacking gangs.
[米国政府は、エクスプロイトチェーン、IOC、インシデント後のフォレンジックデータを共有し、ネットワーク防御担当者が中国系ハッカー集団の兆候を追跡するのを支援した]FBI/CISA Share Details on Ivanti Exploits Chains: What Network Defenders Need to Know
⇒ https://malware-log.hatenablog.com/entry/2025/01/22/000000_7
◇2025年3月
◆Silk Typhoon hackers now target IT supply chains to breach networks (BleepingComputer, 2025/03/05 13:18)
[Silk Typhoonのハッカー集団が今、ITサプライチェーンを標的にし、ネットワーク侵害を狙う]
https://www.bleepingcomputer.com/news/security/silk-typhoon-hackers-now-target-it-supply-chains-to-breach-networks/
⇒ https://malware-log.hatenablog.com/entry/2025/03/05/000000
◇2025年4月
◆米当局、Ivanti製品の脆弱性に注意喚起 - 侵害痕跡なくとも初期化検討を (Security NEXT, 2025/04/07)
https://www.security-next.com/169005
⇒ https://malware-log.hatenablog.com/entry/2025/04/07/000000
◆Mustang Panda:中国系ハッカー集団が新型マルウェア「StarProxy」でミャンマーを標的に (InnovaTopia, 2025/04/19 10:38)
https://innovatopia.jp/cyber-security/cyber-security-news/51972/
⇒ https://malware-log.hatenablog.com/entry/2025/04/19/000000_1
◇2025年5月
◆Ivanti EPMM flaw exploited by Chinese hackers to breach govt agencies (BleepingComputer, 2025/05/22 10:23)
[Ivanti EPMM の脆弱性が中国のハッカーによって悪用され、政府機関への侵入に利用されました]
https://www.bleepingcomputer.com/news/security/ivanti-epmm-flaw-exploited-by-chinese-hackers-to-breach-govt-agencies/
⇒ https://malware-log.hatenablog.com/entry/2025/05/22/000000_1
◆日本組織も標的に:中国関連アクターがIvanti EPMMの脆弱性悪用に関与か(CVE-2025-4428) (Codebook, 2025/05/22)
https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/38917/
⇒ https://malware-log.hatenablog.com/entry/2025/05/22/000000_2
◇2025年6月
◆北朝鮮のITワーカーが暗躍? Mandiantの調査から見る、最新の脅威動向 (マイナビニュース, 2025/06/24 06:00)
https://news.mynavi.jp/techplus/article/20250624-3361605/
⇒ https://malware-log.hatenablog.com/entry/2025/06/24/000000_2
◇2025年7月
◆Chinese Hacker Xu Zewei Arrested for Ties to Silk Typhoon Group and U.S. Cyber Attacks (The hacker News, 2025/07/09)
[中国人のハッカー、Xu Zewei が Silk Typhoon グループとの関連および米国に対するサイバー攻撃の容疑で逮捕]
https://thehackernews.com/2025/07/chinese-hacker-xu-zewei-arrested-for.html
⇒ https://malware-log.hatenablog.com/entry/2025/07/09/000000_2
【ブログ】
■2021年
◇2021年3月
◆HAFNIUM targeting Exchange Servers with 0-day exploits (Microsoft, 2021/03/02)
microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
⇒ https://malware-log.hatenablog.com/entry/2021/03/02/000000_2
◆国家支援型サイバー攻撃 (Microsoft, 2021/03/05)
https://news.microsoft.com/ja-jp/2021/03/05/210305-new-nation-state-cyberattacks/
⇒ https://malware-log.hatenablog.com/entry/2021/03/05/000000_9
◆HAFNIUM(ハフニウム): 新たな国家支援型サイバー攻撃への対応について (Sophos, 2021/03/10)
https://news.sophos.com/ja-jp/2021/03/10/hafnium-advice-about-the-new-nation-state-attack-jp/
⇒ https://malware-log.hatenablog.com/entry/2021/03/10/000000_10
■2024年
◇2024年1月
◆最先端の脅威: APTと疑われるグループ、 新たなゼロデイ攻撃でIvanti Connect Secure VPNを標的に (Mandiant, 2024/01/24)
https://www.mandiant.jp/resources/blog/suspected-apt-targets-ivanti-zero-day
⇒ https://malware-log.hatenablog.com/entry/2024/01/12/000000_2
◆最先端の脅威 - Part 2:Ivanti Connect Secure VPN ゼロデイ・エクスプロイトの調査 (Mandiant, 2024/01/31)
https://www.mandiant.jp/resources/blog/investigating-ivanti-zero-day-exploitation
⇒ https://malware-log.hatenablog.com/entry/2024/01/31/000000_6
■2025年
◇2025年1月
◆Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation (Mandiant(Google), 2025/01/09)
[Ivanti Connect Secure VPN が新たなゼロデイ攻撃の標的となる]
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day
⇒ https://malware-log.hatenablog.com/entry/2025/01/09/000000_9
◇2025年4月
◆NVISO analyzes BRICKSTORM espionage backdoor (Nviso, 2025/04/15)
[NVISOは、BRICKSTORMの諜報活動用バックドアを分析しています。]
https://www.nviso.eu/blog/nviso-analyzes-brickstorm-espionage-backdoor
⇒ https://malware-log.hatenablog.com/entry/2025/04/15/000000_1
◇2025年10月
◆混乱の設計図:F5 Networks社の侵害事象と脅威アクターUNC5221に関する詳細分析 (城咲子|情報システム部セキュリティ担当のつぶやき, 2025/10/21)
https://infomation-sytem-security.hatenablog.com/entry/f5-breach-blueprint-theft-unc5221
【公開情報】
■2021年
◇2021年3月
□2021年03月03日
◆CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO PATCH CRITICAL VULNERABILITY (CISA, 2021/03/03)
[CISA、連邦政府機関に重大な脆弱性をパッチすることを要求する緊急指令を発行]
https://www.cisa.gov/news/2021/03/02/cisa-issues-ed-requiring-federal-agencies-patch-critical-vulnerability
⇒ https://malware-log.hatenablog.com/entry/2021/03/03/000000_4
【資料】
■2025年
◇2025年4月
◆BRICKSTORM Backdoor Analysis (Nviso, 2025/04)
https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf
⇒ https://malware-log.hatenablog.com/entry/2025/04/15/000000_2
【関連情報】
◆Exchange Server (まとめ)
https://vul.hatenadiary.com/entry/Exchange_Server
◆ProxyLogon (まとめ)
https://vul.hatenadiary.com/entry/ProxyLogon
◆UNC5337 (まとめ)
https://malware-log.hatenablog.com/entry/UNC5337
【検索】
google: Silk Typhoon
google: Hafnium
google: ハフニウム
google: UNC5221
google:news: Silk Typhoon
google:news: Hafnium
google:news: ハフニウム
google:news: UNC5221
google: site:virustotal.com Silk Typhoon
google: site:virustotal.com Hafnium
google: site:virustotal.com ハフニウム
google: site:virustotal.com UNC5221
google: site:github.com Silk Typhoon
google: site:github.com Hafnium
google: site:github.com ハフニウム
google: site:github.com UNC5221
■Bing
https://www.bing.com/search?q=Silk%20Typhoon
https://www.bing.com/search?q=Hafnium
https://www.bing.com/search?q=ハフニウム
https://www.bing.com/search?q=UNC5221
https://www.bing.com/news/search?q=Silk%20Typhoon
https://www.bing.com/news/search?q=Hafnium
https://www.bing.com/news/search?q=ハフニウム
https://www.bing.com/news/search?q=UNC5221
https://twitter.com/search?q=%23Silk%20Typhoon
https://twitter.com/search?q=%23Hafnium
https://twitter.com/search?q=%23ハフニウム
https://twitter.com/search?q=%23UNC5221
https://twitter.com/hashtag/Silk%20Typhoon
https://twitter.com/hashtag/Hafnium
https://twitter.com/hashtag/ハフニウム
https://twitter.com/hashtag/UNC5221
関連情報
【関連まとめ記事】
◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT
