中国との関連が指摘されている攻撃グループが、通信事業者を中心に侵入活動を行っていると報告されています。この活動は数年にわたり継続しており、侵入前の詳細な調査や、Linux環境を狙ったマルウェアの展開が特徴です。さらに、侵害した機器を他の攻撃に利用できる中継拠点として活用する動きも確認されています。
The Hacker News:China-Linked UAT-7290 Targets Telecoms with Linux Malware and ORB Nodes
この記事のポイント
影響のあるシステム
- 通信事業者が運用する公開系のエッジデバイス
- Linuxを搭載したネットワーク機器やサーバー
- SSHで外部公開されている管理インターフェース
推奨される対策
- 公開エッジ機器の設定とアクセス制御の再確認
- 既知の脆弱性に対する修正プログラムの適用状況確認
- 不審な通信や管理ログの継続的な監視
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- UAT-7290:中国との関係が指摘されている攻撃活動グループの識別名です。
- ORB(Operational Relay Box):侵害した機器を通信中継ノードとして利用する仕組みです。
- ChronosRAT:Linux環境で動作するモジュール型マルウェアの一種です。
侵入の流れと想定される影響
報告によると、この攻撃活動では、最初に標的組織のネットワーク構成や公開機器について時間をかけた調査が行われます。その後、外部に公開されたエッジデバイスに対し、既知の脆弱性やSSHの総当たり試行を組み合わせて侵入を試みます。侵害に成功すると、Linux向けのマルウェアが段階的に展開され、長期間にわたり内部ネットワークへのアクセスが維持されます。通信事業者が標的となることで、ネットワーク全体の信頼性や他組織への影響が懸念される点が指摘されています。
使用されているマルウェアと攻撃手法
このグループは、Linux環境を中心に複数のマルウェアを組み合わせて利用しているとされています。感染の起点となるドロッパーから、追加の機能を実行する補助的なモジュール、そして恒久的な遠隔操作を可能にするバックドアまで、役割が分かれています。また、侵害したエッジデバイスをORBとして構成し、他の攻撃活動に転用できる点が特徴です。これらの手法は、既存の公開情報や検証コードを活用しているとされ、特定組織向けに調整されている可能性があります。
日本の組織が確認しておくべきポイント
今回の報告は主に海外の通信事業者が対象ですが、日本国内の組織にとっても他人事ではありません。通信機器やネットワーク機器を外部公開している場合、同様の侵入手法が試される可能性があります。特にLinuxベースのエッジ機器について、設定の棚卸しや不要なサービスの停止、認証方式の見直しを行うことが重要です。あわせて、長期間潜伏する攻撃を想定し、通常とは異なる通信や管理操作を検知できる体制を整えておくことが求められます。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散
