Kasperskyは、APT10による東南アジア地域を拠点とする企業や組織に対する新たな感染の試みを検知しました。これらの攻撃は、2018年の10月から12月にマレーシアで、2019年の2月から5月にベトナムで確認しています。APT10は、その活動を隠蔽するため、セキュリティ製品やマルウェア解析に対抗する様々な技術を使用して、試行錯誤を繰り返していることも明らかになっています。
[本リリースは、2019年9月5日にKaspersky Asia Pacificが発表したプレスリリースに基づき作成したものです]
Kasperskyは、悪名高いサイバー犯罪組織「APT10」による、東南アジア地域を拠点とする企業や組織に対する新たな感染の試みを検知しました。これらの攻撃は、2018年の10月から12月にマレーシアで、2019年の2月から5月にベトナムで確認しており、このグループが医療関連施設を標的としている可能性があると見ています。マレーシアおよびベトナムで観測されたAPT10の活動は、これまで公表された攻撃手口(TTPs:Tactics, Techniques and Procedures)とはいくつか異なっていることが明らかになりました。
APT10(別名:MenuPass、StonePanda、ChessMaster、Cloud Hopper、Red Apollo)は、2009年以来、IT、政府および防衛、通信、教育、医療、製薬などの異なる業界に対して複数の大々的な攻撃を仕掛けてきたグループで、中国語話者のサイバー犯罪組織として知られており、機密情報、防衛機密情報、企業秘密をはじめとする重要な情報を窃取することを目的としています。同グループが標的とする地域は、その攻撃が知られるようになった当初からは変化しています。
■攻撃隠蔽のために試行錯誤を繰り返すAPT10
APT10は、Poison Ivy、PlugX、ChChes、Redleavesなど、複数の種類のリモートアクセスツール(RAT)を過去に使用してきたことで知られています。当社では2017年に、ベトナムの製薬企業で貴重な薬品構造式やビジネス情報の窃取を狙うマルウェア、PlugX(プラグエックス)を検知しました。PlugXは通常、スピアフィッシング攻撃によって拡散されます。また、以前は中国語を使う別のサイバー犯罪組織が、軍事機関や政府機関、政治団体への標的型攻撃でこのマルウェアを使用していました。
APT10による日本を標的とした攻撃では、メモリ上で実行されるファイルレスマルウェアのRedleavesとその亜種であるHimawariやLavenderなどが、2016年10月から2018年4月まで使用されていました。当社ではこれらの悪意あるモジュールを120個以上収集しています。また、調査の過程で、医療やヘルスケア、製薬関連の組織に関するおとり文書を確認しています。これらの文書にはパスワードがかけられており、リサーチャーによる詳細な分析を困難にしています。
2018年4月にKasperskyの調査チームは、Redleavesの別の亜種であるZark20rkを発見しました。攻撃者は、一部の暗号化アルゴリズム、データ構造、マルウェア機能のアップデートに加えて、ロシアに関連するいくつかの文字列を加えていました。APT10の行動パターンを考慮すると、このロシア関連の文字列は、APT10の行動を監視する調査グループを混乱させるために、あえて組み込まれた偽旗であると考えられます。
また、当社の調査で観測した、マレーシアとベトナムを拠点にする企業や組織への攻撃では、APT10がメインのRATをRedleavesからANELと呼ばれるバックドアに変更していました。ANELでの攻撃は通常、悪意あるWord文書(ANELモジュールを感染させるVBAマクロが格納されているもの)を使用して開始されます。
APT10はその活動を隠蔽するため、セキュリティ製品やマルウェア解析に対抗する技術を、ANELとそのモジュールに組み込んでいます。その例として、リバースエンジニアリングを妨げる強力な難読化、既存の回避技術であるDLLサイドローディング、マルウェアのデータ構造の暗号化、指令サーバーと通信する際に使用する複数の暗号化技術、ファイルレスマルウェアなどが挙げられます。
株式会社カスペルスキー グローバル調査分析チーム(GReAT)※のセキュリティリサーチャー、石丸傑(いしまる すぐる)は次のように述べています。
「APT10は、秘密裏に大規模なサイバースパイ活動を実行することで知られており、当社でも複数の攻撃を観測しています。このグループは現在、攻撃対象の地域を東南アジアにまで拡大しており、マレーシアとベトナムを拠点にする企業や組織を標的にしていることを確認しています。また、パスワードで保護された添付ファイル、複雑な難読化、検知回避技術、複数の暗号アルゴリズムなどを使用することから、彼らが攻撃遂行のために細心の注意を払っていることは明らかです。彼らは試行錯誤を繰り返しながら、標的を攻撃する最適な方法を模索し続けています。当社の過去の調査結果とAPT10の攻撃行動パターンにより、彼らが現在も医療・ヘルスケア業界を標的にしていることが推察できます」
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。