C
月内に
中国系脅威アクターUNC6508が、北米の学術、医療、軍事研究機関を標的とした高度なサイバー攻撃キャンペーンを展開していました
📌 一言でいうと
中国系脅威アクターUNC6508が、北米の学術、医療、軍事研究機関を標的とした高度なサイバー攻撃キャンペーンを展開していました。攻撃者は外部公開ウェブアプリケーションの脆弱性を突き、独自マルウェアの展開や管理ツールの悪用を通じて、AI、サイバー攻撃、医療、国防などの機密情報を窃取していました。Google Threat Intelligence Group (GTIG) は、この攻撃に関連するインフラを遮断し、被害を食い止めました。
🔍該当判定
- AI(人工知能)やサイバーセキュリティ、軍事・防衛に関する研究開発を行っている
- 医療研究や製薬などの医学的な研究開発に従事している
- 外部からアクセス可能なWebアプリケーション(問い合わせフォームや会員サイト等)を自社で運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
外部公開ウェブアプリケーションの脆弱性管理の徹底、特権管理ツールの監視強化、不審なデータ転送の検知ルールの整備。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系アクターUNC6508による研究機関標的攻撃について
お疲れさまです。UNC6508による標的型攻撃に関する情報共有です。
■ 概要
中国系APTアクターUNC6508が、北米の医療・学術・軍事研究機関を標的に、AIや国防関連の機密情報を窃取するキャンペーンを展開していました。外部公開アプリの侵害から内部ネットワークへ横展開し、管理ツールを悪用してデータを持ち出す手法が確認されています。
■ 影響範囲
- 外部公開ウェブアプリケーションを運用している組織
- AI、医療、国防関連の研究開発に従事する組織
■ 対応手順
1. 外部公開サーバーのログを確認し、不審なウェブシェルの設置や特権アカウントの不正利用がないか点検してください。
2. 管理ツール(Enterprise Admin Tools)の利用ログを監視し、通常とは異なるデータ転送が発生していないか確認してください。
3. 外部公開アプリケーションに未適用のパッチがないか再確認してください。
■ 参考情報
- Mandiant / Google Threat Intelligence Group Report
対応優先度: 中
対応期限: 随時
お疲れさまです。UNC6508による標的型攻撃に関する情報共有です。
■ 概要
中国系APTアクターUNC6508が、北米の医療・学術・軍事研究機関を標的に、AIや国防関連の機密情報を窃取するキャンペーンを展開していました。外部公開アプリの侵害から内部ネットワークへ横展開し、管理ツールを悪用してデータを持ち出す手法が確認されています。
■ 影響範囲
- 外部公開ウェブアプリケーションを運用している組織
- AI、医療、国防関連の研究開発に従事する組織
■ 対応手順
1. 外部公開サーバーのログを確認し、不審なウェブシェルの設置や特権アカウントの不正利用がないか点検してください。
2. 管理ツール(Enterprise Admin Tools)の利用ログを監視し、通常とは異なるデータ転送が発生していないか確認してください。
3. 外部公開アプリケーションに未適用のパッチがないか再確認してください。
■ 参考情報
- Mandiant / Google Threat Intelligence Group Report
対応優先度: 中
対応期限: 随時
Subject: [Intel] Targeted Campaign by PRC-nexus Actor UNC6508
Dear Team,
We are sharing intelligence regarding a sophisticated campaign by the PRC-nexus threat actor UNC6508.
■ Overview
UNC6508 has been targeting academic, medical, and military research institutions in North America. The actor gains initial access via externally facing web applications, deploys bespoke malware, and leverages enterprise administrative tools for covert data exfiltration of sensitive AI and defense research.
■ Scope
- Organizations operating externally facing web applications.
- Institutions involved in AI, medical, and national defense research.
■ Recommended Actions
1. Audit logs of external-facing servers for signs of web shells or unauthorized privilege escalation.
2. Monitor enterprise administrative tool logs for anomalous data movement or unauthorized access.
3. Ensure all external applications are fully patched against known vulnerabilities.
■ Reference
- Mandiant / Google Threat Intelligence Group Report
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing intelligence regarding a sophisticated campaign by the PRC-nexus threat actor UNC6508.
■ Overview
UNC6508 has been targeting academic, medical, and military research institutions in North America. The actor gains initial access via externally facing web applications, deploys bespoke malware, and leverages enterprise administrative tools for covert data exfiltration of sensitive AI and defense research.
■ Scope
- Organizations operating externally facing web applications.
- Institutions involved in AI, medical, and national defense research.
■ Recommended Actions
1. Audit logs of external-facing servers for signs of web shells or unauthorized privilege escalation.
2. Monitor enterprise administrative tool logs for anomalous data movement or unauthorized access.
3. Ensure all external applications are fully patched against known vulnerabilities.
■ Reference
- Mandiant / Google Threat Intelligence Group Report
Priority: Medium
Deadline: Ongoing