Packet Pilot X (Twitter)
2026-05-05

UAT-8302とそのマルウェアの箱

UAT-8302は、中国に関連する高度な持続的脅威(APT)グループであり、2024年末から南アメリカの政府機関を、2025年には東南ヨーロッパの政府機関を標的にしています。このグループは、NetDraftやCloudSorcererなどのカスタムマルウェアを展開し、情報収集や資格情報の抽出を行っています。UAT-8302の活動は、他の中国関連の脅威グループとの密接な関係を示しており、さまざまな攻撃手法を駆使して長期的なアクセスを維持することを目的としています。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

7.5 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.5 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • UAT-8302は、南アメリカと東南ヨーロッパの政府機関を標的にした中国関連のAPTグループです。
  • このグループは、NetDraftやCloudSorcererなどの複数のカスタムマルウェアを使用しており、情報収集や資格情報の抽出を行っています。

社会的影響

  • ! UAT-8302の活動は、政府機関のセキュリティに対する脅威を高めており、国家の安全保障に影響を与える可能性があります。
  • ! このようなAPTグループの存在は、国際的なサイバーセキュリティの重要性を再認識させる要因となっています。

編集長の意見

UAT-8302の活動は、サイバーセキュリティの分野において非常に重要な問題を提起しています。このグループは、特に政府機関を狙った攻撃を行っており、その手法は非常に洗練されています。彼らが使用するマルウェアは、他の中国関連のAPTグループと共通しており、これにより彼らの活動がより危険なものとなっています。特に、NetDraftやCloudSorcererなどのカスタムマルウェアは、情報収集や資格情報の抽出に特化しており、長期的なアクセスを維持するための手段として利用されています。これにより、国家機関の機密情報が危険にさらされる可能性が高まります。今後、UAT-8302のようなAPTグループに対抗するためには、より強力な防御策が求められます。特に、政府機関は、サイバーセキュリティの強化に向けた取り組みを強化し、最新の脅威に対する認識を高める必要があります。また、国際的な協力も重要であり、各国が情報を共有し、共同で対策を講じることが求められます。これにより、UAT-8302のような脅威に対して効果的に対処できる体制を整えることができるでしょう。

解説

UAT-8302:南米と東南欧の政府を狙う中国系クラスター、NetDraft/CloudSorcererで長期侵害を設計します

今日の深掘りポイント

  • Cisco Talosが、中国に関連づけられる新しい活動クラスター「UAT‑8302」を公開。2024年末の南米、2025年の東南欧の政府機関が主標的です。
  • ツールはカスタムのNetDraft(FinalDraft/SquidDoor系のC#バリアント)やCloudSorcererを中核に、情報収集と資格情報窃取、長期的な横展開に最適化されています。
  • 複数の中国系クラスターとコード・インフラの重複が示唆され、ツール共有を前提にしたオペレーション体系が見えます。帰属と検知の両面で難易度が上がります。
  • 観測レンジは地政学的に離れた2地域。目的が「政策・外交・治安情報」の収集と仮定すると、同盟・多国間ネットワークや調達サプライチェーンに及ぶ二次被害を想定すべきです。
  • 守る側はIOCs適用だけでは不十分です。.NETアセンブリのロード可視化、クラウド宛外向き通信の精査、ID基盤(特に特権アカウントとサービスアカウント)のふるまい監視を優先順に伸ばします。

はじめに

「また1つ名前が増えた」だけで片付けないほうがいい案件です。UAT‑8302は、既知ファミリーを自家薬籠中にしつつ、長期侵害を丁寧に積み上げる作法が印象的です。南米と東南欧という離れた区域を、連続したキャンペーン軸で押さえにいく執拗さは、“侵入してからが本番”というAPTの王道を思い出させます。観測の確度と即応性が高く、読み解いた先に現場の行動へ落とし込めるニュースです。

深掘り詳細

ファクトチェック:Talosの一次情報から見えること

  • Cisco Talosは「UAT‑8302」を中国に関連するAPTクラスターとして位置づけ、2024年末は南米、2025年は東南欧の政府機関への攻撃を確認したと報告しています。主目的は情報収集と資格情報の抽出です。
  • 使用マルウェアはカスタムのNetDraftとCloudSorcerer。NetDraftはFinalDraft/SquidDoor系統のC#バリアントと整理され、長期アクセス維持とコマンド実行、データ窃取に使われます。CloudSorcererは2024年のロシア政府機関攻撃で観測された系統の更新版が使われ、C2や窃取に関わると分析されています。
  • コード類似性やインフラの重複から、他の中国関連クラスターとの関係性が示唆されます。攻撃手法は複線的で、継続アクセスの確保を中心目的に据えています。
  • 以上はCisco Talosの公開分析に基づく事実関係です。Talosのレポートを参照ください

出典: Cisco Talos「UAT‑8302」公開記事より。

編集部インサイト:帰属の“線”ではなく、運用の“面”で考えるべき理由

  • ツール共有は機能別の“部品化”が進んだ証左です。特にFinalDraft/SquidDoor系の再実装(C#化)は、検知回避だけでなく、運用チーム間の保守・転用を容易にします。Defenderはサンプル名ベースから、機能と運用手口ベースの検知へ舵を切るべき局面です。
  • 南米→東南欧という時系列は、(推測)地域政治イベントや調達サイクル、国際機関経由の情報動線に連動している可能性があります。個別省庁の境界だけでなく、同盟・地域枠組みのネットワーク相互接続が“足場”になりえると読むべきです。
  • 本件は「即応性が高く、行動に落としやすい」タイプの脅威です。新規ゼロデイのショックではなく、確度の高い観測と成熟した手口の組み合わせ。つまり、検知・狩り・制御の三点で成果が出しやすい案件です。優先順位の置き方次第で被害半径を縮められます。

脅威シナリオと影響

以下は、Talosの事実関係を踏まえつつ、MITRE ATT&CKに沿って組み立てた仮説シナリオです(仮説であり、環境により異なります)。

  • シナリオ1:標的型メールからの初期侵入とID奪取

    • 初期侵入(仮説):スピアフィッシング添付やリンクを介したユーザ実行(ATT&CK: T1566)、または外部リモートサービス悪用(T1133)。
    • 実行・持続化(仮説):PowerShell/Windows Script/LOLBinsによるペイロード実行(T1059, T1218)、スケジュールタスク/レジストリRunキーでの持続化(T1053, T1547)。
    • 権限昇格・認証情報アクセス(仮説):LSASSダンプやブラウザ資格情報抽出(T1003.001, T1555)。
    • C2・流出(事実/仮説):CloudSorcererのクラウド連携C2やHTTPS経由の外向き通信(T1071.001, T1567)。
    • 影響:省庁アカウント、特に共有/サービスアカウントの乗っ取りによる長期ドメイン内横移動。

  • シナリオ2:クラウド/ハイブリッド境界の抜け道を使った静かな長期滞在

    • 横移動(仮説):RDP/SMB/WinRM/AD CS機能悪用を用いた権限移譲(T1021, T1550, T1552)。
    • 防御回避(仮説):署名付きバイナリのプロキシ実行、タイムスタンプ改ざん、難読化(T1218, T1070.006, T1027)。
    • 影響:オンプレとクラウドの監査ギャップを縫う長期滞在。政策文書、外交ケーブル、資格情報金庫の段階的収集。

  • シナリオ3:政策サイクル連動の情報収集キャンペーン

    • 偵察・収集(事実/仮説):システム/アカウント/共有の列挙(T1087, T1083)、定期的なファイルバンドル生成(T1056/T1119系の派生)。
    • 外交・治安関連の機密に関する継続的エクスフィル。国際機関・地域連合への二次感染・情報汚染リスク。

組織への影響は、短期では機密流出と運用停止コスト、長期では政策決定の透明性毀損、同盟ネットワークでの信頼低下につながりえます。国内の単独防御では限界があり、セクタ横断・国際連携での検知信号共有が効果的です。

セキュリティ担当者のアクション

“シグネチャを当てる”で終わらせない、実効性ベースの優先度です。

  • 直近72時間(緊急)

    • Talos公開のIOC/IOAを導入し、プロキシ/DNS/EDRで即時ブロック・検知強化します。
    • ネットワーク外向き通信で、未知ドメイン・クラウド汎用エンドポイントへの少量・高頻度HTTPSを抽出し、端末・ユーザの相関を確認します(CloudSorcerer対策の一環です)。
    • ドメイン管理者・特権アカウント・サービスアカウントのサインイン異常(時間外、海外、前例のないデバイス)を洗い出します。条件付きアクセスで緊急の制限を適用します。
    • .NET系バックドア対策として、PowerShellの完全監査(Script Block/Module Logging)、AMSI有効化、ETW抑止検知を確認します。

  • 7日以内(高優先)

    • サービスアカウント棚卸し:権限最小化、キーローテーション、SPN紐づけのレビュー、インタラクティブログオン禁止を徹底します。
    • Egress制御の見直し:クラウド汎用ドメインのフル許可をやめ、業務許可リスト化+TLS/SNI/JA3指紋での異常検知を追加します。
    • 横移動の抑止:RDP/SMB/WinRMの管理境界分離、管理用ジャンプホスト強制、LAPS/Privileged Access Workstationの導入計画を前倒しします。
    • ハンティング仮説を運用に乗せます(例)
      • w3wp.exeやsvchost.exe等の非典型プロセスからのPowerShell/内部スクリプト実行。
      • LSASSプロセスへの非特権プロセスのハンドルオープン。
      • 短時間に連続する小さなHTTPS POST(固定間隔)と、同一端末での権限上昇イベントの相関。
      • 新規・不審なScheduled Taskの作成と、.NETアセンブリのオンザフライ読み込み(メモリ上のみの痕跡)です。

  • 30日以内(構造対応)

    • アイデンティティ中心のモニタリングへ転換:AAD/IdP監査ログとオンプレADのイベント(特にDirectory Service Changes, 4738/4740/4769/4672)を相関できるデータモデルをSOCに実装します。
    • DLP/データ境界の整備:政府・公共系で散在しがちな“共有フォルダ→クラウド”の自動同期経路を再点検し、帯域と宛先で警報・遮断を設計します。
    • レジリエンス強化:脅威インテリジェンス共有の同盟チャネル(政府CIRT、ISAC)に定期的なYARA/Sigma/狩りクエリを投稿・受領するワークフローを定着化します。

  • 検知設計のコツ(ツール名に依存しない抽象化)

    • 機能でとらえる:.NETアセンブリの不審ロード、資格情報アクセスの前兆(セキュリティパッケージ読み込みや認証失敗の偏在)、少量分割エクスフィルのテンポ。
    • 手続でとらえる:初期侵入→資格情報→権限昇格→横移動→持続化→収集→流出の「遷移」に閾値を置き、2段以上の連鎖で高優先チケットを自動起票します。

最後に、今回のメトリクス全体感(数字は本文に出しませんが)からは、確度・即応性・行動可能性が高いタイプの警報だと読みます。つまり「今なら間に合う」案件です。IOC適用に留まらず、IDとエグレスという“要の2点”を締めるだけで、攻撃者のコストは一段と上がります。現場の皆さんの次の一手に、この記事が少しでも役立てば嬉しいです。

参考情報

  • Cisco Talos: UAT‑8302 and its box of malware(UAT‑8302の分析とIOC、マルウェア詳細): https://blog.talosintelligence.com/uat-8302/

背景情報

  • i UAT-8302は、特に政府機関を狙った攻撃を行う中国関連のAPTグループです。彼らは、NetDraftという.NETベースのバックドアを使用しており、これはFinalDraft/SquidDoorマルウェアファミリーのC#バリアントです。このマルウェアは、他の中国関連の脅威アクターによっても使用されています。
  • i UAT-8302は、CloudSorcererというマルウェアファミリーの更新版も使用しており、これは2024年にロシアの政府機関に対する攻撃で使用されました。彼らの活動は、他のAPTグループとの密接な関係を示しており、さまざまな攻撃手法を駆使しています。
Packet News 一覧へ戻る