UNC5221
UNC5221は、インターネットに接続されたアプライアンスを悪用することに特化した、中国国家に支援されたスパイ集団であり、malware パーシステンス技術を使用して、世界中の政府、防衛、重要インフラ、および高価値企業に潜入している。
UNC5221の起源
UNC5221は、中国国家が支援する高度な持続的脅威(APT)グループの疑いがあり、Mandiantによって 2023年後半に初めて公に確認された。このグループは、インターネットに面したインフラ、特にVPNアプライアンスやエッジデバイスに焦点を当てた高度な標的型スパイ活動で知られています。UNC5221は、持続的アクセス、データ流出、ネットワーク監視の維持など、長期的な戦略目標に合致した高度なレベルで活動しています。
- 帰属 国家安全保障省(MSS)を支援している可能性が高い。
- 動機スパイ活動、機密システムやデータへの長期的なアクセス。
- オペレーション・フォーカス Zero-day 攻撃、ステルス型malware インプラント、エッジインフラにおける持続性。
UNC5221の標的国
UNC5221の被害者学はいくつかの地域にまたがっている:
- 北米:米国を含み、連邦政府機関やインフラを対象とする。
- ヨーロッパ:特にイギリスと関連政府機関。
- 中東・アジア太平洋地域:サウジアラビア、その他地域のエネルギーおよび政府部門を含む。
UNC5221の対象業界
UNC5221は主に、地政学的情報の優先順位に沿ったセクターを対象としている:
- 重要インフラ:エネルギー、水、天然ガスの供給業者。
- 政府と防衛:省庁、規制当局、軍関連組織。
- テクノロジーと製造:医療技術、航空宇宙、先端製造業。
- 金融機関銀行および規制機関
既知の犠牲者
ほとんどの被害者の身元は公表されていませんが、Mandiant社によると、UNC5221は2024年初頭に世界全体で10未満の組織に侵入しました。これらの侵入は高度に標的化されており、攻撃者は被害者の環境ごとにインプラントをカスタマイズすることがよくありました。
攻撃ステージ
VPNアプライアンス(Ivanti、Citrixなど)のzero-day およびnデイ脆弱性を悪用。
システムレベルにアクセスできるmalware インストールします。
インメモリペイロード、ログ改ざん、トロイの木馬化バイナリを使用して、EDRとSIEMの検出を回避します。
デバイスのログインページに埋め込まれたキーロガーやクレデンシャル・スティーラーを展開する。
列挙ツールとカスタムスクリプトを実行し、内部ネットワークトポロジーをマッピングする。
盗まれた認証情報とSSHバックドアを利用してネットワークセグメントを移動する。
トラフィックを監視し、機密文書や認証情報を抽出する。
ペイロードの実行には、Bashスクリプト、Pythonユーティリティ、BusyBoxコマンドを使用します。
暗号化されたSSHチャネルまたは組み込みツールを介してデータをトンネリングする。
破壊ではなく、ステルスと持続に主眼を置いている。目標は長期的なスパイ活動。
VPNアプライアンス(Ivanti、Citrixなど)のzero-day およびnデイ脆弱性を悪用。
システムレベルにアクセスできるmalware インストールします。
インメモリペイロード、ログ改ざん、トロイの木馬化バイナリを使用して、EDRとSIEMの検出を回避します。
デバイスのログインページに埋め込まれたキーロガーやクレデンシャル・スティーラーを展開する。
列挙ツールとカスタムスクリプトを実行し、内部ネットワークトポロジーをマッピングする。
盗まれた認証情報とSSHバックドアを利用してネットワークセグメントを移動する。
トラフィックを監視し、機密文書や認証情報を抽出する。
ペイロードの実行には、Bashスクリプト、Pythonユーティリティ、BusyBoxコマンドを使用します。
暗号化されたSSHチャネルまたは組み込みツールを介してデータをトンネリングする。
破壊ではなく、ステルスと持続に主眼を置いている。目標は長期的なスパイ活動。
UNC5221が使用したTTP
Vectra AIでUNC5221を検知 方法
よくあるご質問(FAQ)
UNC5221は他のAPTと何が違うのか?
UNC5221は、従来のエンドポイントを避け、VPNやファイアウォールのようなエッジ・デバイスにほぼ独占的に焦点を当てている。彼らの攻撃には、デバイス固有のカスタムインプラントとステルス性の高いインメモリペイロードが含まれます。
UNC5221は通常どのように検出されるのか?
従来のEDRでは検知 困難である。検知は、ネットワークベースの異常検知、アプライアンス上のファイル整合性モニタリング、および振る舞い インジケータに依存します。Vectra AI Platformは、エンドポイントエージェントが検知できない場合でも、コマンド&コントロールトラフィック、トンネリング動作、SSHの不正使用を検知 することができます。
UNC5221はどのような脆弱性を突いてきたのか?
注目すべきCVEは以下の通り:
- CVE-2023-46805、CVE-2024-21887 (Ivanti VPN)
- CVE-2023-4966 (Citrix NetScaler "Bleed")
- CVE-2025-0282およびCVE-2025-22457(Ivanti RCEエクスプロイト)
最もリスクの高い産業は?
情報価値の高いセクター:政府、防衛、エネルギー、テクノロジー製造、金融。IvantiやCitrixのエッジ・デバイスに依存している組織は、特に危険にさらされている。
UNC5221はどのようにして持続性を維持しているのか?
アプライアンス自体に悪意のあるインプラントを行い、多くの場合、再起動やアップデートを生き延びさせる。インプラントはシステム・スクリプトやファームウェアに埋め込まれます。
標準的なパッチで十分なのか?
必ずしもそうではありません。UNC5221は多くの場合、パッチを適用しても生き残る malware侵入後に埋め込む。デバイスは、単にパッチを当てるだけでなく、再イメージするか、交換すべきである。
妥協の指標(IOC)にはどのようなものがあるのか?
マンディアントとCISAの勧告は以下の通り:
- 悪意のあるCGIスクリプト
- 組み込み機器ユーザーからの異常なSSH接続
- アプライアンスのディレクトリに予期しないPythonプロセスや異常なログがある
UNC5221はどのようにしてデータを流出させるのか?
多くの場合、SSHトンネル、暗号化されたチャネル、またはSPAWNSNAREのような組み込みツールを経由する。彼らはノイズの多いプロトコルを避け、しばしば境界ファイアウォールのレーダーの下にとどまる。
守備側はどうすれば効果的に対応できるのか?
- 暗号化されたトラフィックや横方向のトラフィックを監視するために、Vectra AIのようなネットワーク検知・応答(NDR)ツールを導入する。
- VPNおよびファイアウォールアプライアンスの完全性を監査する。
- 不正なプロセスや不正なSSHセッションを監視する。
- 危険な電化製品は直ちに隔離する。
UNC5221の長期的な目標は?
彼らのキャンペーンは、発見されたり中断されたりすることなく、世界中の戦略的部門にわたって静かに情報を収集することを目的とした、永続的なスパイ活動を示唆している。