2026年6月16日、Google の脅威インテリジェンス部隊 GTIG が、中国に関連する APT「UNC6508」が北米の主要な医学研究機関に 2023 年 9 月から 2025 年 11 月まで 1 年以上潜伏して情報を抜き続けていたと公表した。標的には世界的な臨床医療機関、学術センター、北米の 軍事医療機関 まで含まれ、被害組織の研究予算は合計で数十億ドル規模に及ぶ。
help.php 設置「正規機能」だけで情報を抜く設計 #
最大のポイントは、UNC6508 が 新規のマルウェアを送り込まずに メールを抜いた点だ。「Patroit」というのは Google Workspace 標準のメールコンプライアンスルール機能を、奪った正規アカウントから設定しただけ。ログ上は 「管理者がルールを 1 件追加した」 にしか見えない。引っかけるキーワードは Indo-Pacific ・ Artificial Intelligence ・ unmanned vehicle ・ Chikungunya (2025 年に中国広東省で流行したウイルス) など、中国の戦略的関心と完全に一致する組み合わせ。マッチしたメールは攻撃者の Gmail (BebitaBarefoot774@gmail.com) へ静かに BCC 転送されていた。INFINITEred 自体も REDCap のアップグレード時に自分を再注入し、認証情報を REDCap 純正のセッション DB テーブル に混ぜて隠す、極めて地味な作りだった。
防御は派手なゼロデイ対策ではない #
Google は侵害インフラを停止し、G_Backdoor_INFINITERED_1 という YARA と IoC を公開した。だが教訓は IoC の方ではない。2 段階認証なしの管理者アカウントが 1 年以上有効であり、メール転送ルールやコンプライアンスルールが監査されていなかった こと──そこが踏み台になった。管理者全員への 2SV 強制、転送/遵守ルールの定期棚卸し、REDCap などレガシーバージョンの完全廃棄。本格的な APT 防御は、こうした地味な運用棚卸しの方に重心が移りつつある。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。