Microsoftは8月24日(米国時間)、「Flax Typhoon using legitimate software to quietly access Taiwanese organizations|Microsoft Security Blog」において、中国に拠点を置く脅威グループ「Flax Typhoon」

が台湾の数十の組織を標的にしていると報じた。

Flax Typhoon using legitimate software to quietly access Taiwanese organizations|Microsoft Security Blog

Microsoftによると、Flax Typhoonは2021年半ばから主に台湾の政府機関、教育、重要な製造、情報技術組織を標的として活動を開始しており、ほかにも台湾以外の東アジア、北米、アフリカでも同様の被害が観察されているとのこと。

Flax Typhoonはこのキャンペーンにおいて、VPN、Web、Java、SQLアプリケーションなどの公開されているサーバの既知の脆弱性を悪用し、チャイナチョッパーなどのWebシェルを設置することで初期のアクセスを実現するとされる。Flax Typhoonは一連の攻撃においてマルウェアの使用を最小限にとどめ、システム標準のバイナリ(LOLBin)や無害な既存のソフトウェアを悪用する特徴があり、対象ネットワークに長期間静かにとどまるという。

Microsoftによると、Flax Typhoonは侵入後に一部のデータを収集するものの、さらなるデータの収集などの活動が確認されないことから、長期間システムにとどまりスパイ活動をする意図があるものとみられている。また、Microsoftは現時点でこのキャンペーンの未知の最終目標に向けた行動を確認できていないともしており、この中国の脅威グループが将来的な活動のために足場固めをしている可能性を示唆している。

Microsoftはこのキャンペーンで行われる具体的な攻撃手法を解説している。通常は被害拡大のリスクから実際のコマンドやレジストリの改ざん内容などは公開されないが、Microsoftはこのキャンペーンによる被害拡大の可能性の懸念から情報公開を選択したとしている。

また、侵害された可能性のあるシステムの調査方法と対処方法も提示しており、システム管理者はこれら情報を活用して被害の検出、復旧、保護を行うことが望まれている。