Kaspersky Lab、サイバースパイ組織「Sofacy」が攻撃の矛先を変え、アジアの防衛や外交組織を標的としていることを確認
ロシア語話者のサイバー犯罪組織「Sofacy(ソファシー)」(別名:APT28、Fancy Bear)が攻撃の対象をシフトし、これまでのNATO関連機関に加え、中央アジアと東アジアの組織、特に軍事、防衛、外交機関への関心を示していることを確認しました。
[本リリースは、2018年3月9日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labのグローバル調査分析チーム(GReAT)は、ロシア語話者のサイバー犯罪組織「Sofacy(ソファシー)」(別名:APT28、Fancy Bear)が攻撃の対象をシフトし、これまでのNATO関連機関に加え、中央アジアと東アジアの組織、特に軍事、防衛、外交機関への関心を示していることを確認しました。また、Sofacyの標的が、ロシア語話者のサイバー犯罪組織「Turla」や中国語話者の「Danti」など、ほかの犯罪組織との重複が度々あることも発見しました。興味深いのは、英語話者のサイバー犯罪組織「Lamberts」が以前侵入した、中国にある軍事および航空宇宙関連の複合企業が所有しているサーバーに、Sofacyもバックドアを作っていたことです。
Sofacyは極めて活発な攻撃を繰り広げている大規模なサイバースパイ組織で、GReATのリサーチャーは長年にわたってこの組織を追跡してきました。この2月には、Sofacyの2017年の活動の概要を発表し、標的をこれまでのNATO関連機関から、中東、中央アジアを越えて東アジアへと徐々に移していることを明らかにしました。Sofacyはスピアフィッシング攻撃や水飲み場型攻撃により、アカウントの認証情報、機密通信や極秘文書などの情報を窃取します。また、さまざまな標的に破壊的なペイロードを配信している可能性があります。
■ Sofacyのバックドアとペイロードの感染先
GReATのリサーチャーは、Sofacyが現在、メインのツールである「SPLM」バックドア(別名CHOPSTICK、Xagent)、「GAMEFISH」と「Zebrocy」ペイロードをそれぞれ、コーディング、開発、標的設定のクラスターに細分化していることを確認しました。SPLMは、Sofacyの最も重要で洗練された第2段階で使われるとみられ、Zebrocyは大量攻撃に使用されます。2018年初め、Sofacyは中国にある防空関連の大手企業をSPLMを使用して攻撃しており、Zebrocyはアルメニア、トルコ、カザフスタン、タジキスタン、アフガニスタン、モンゴル、中国、日本など、より広い範囲で展開されたことを観測しました。
■ Sofacyの標的とほかのサイバー犯罪組織の標的が重複
今回新たに、前述の地域を狙う攻撃組織はSofacyだけではないこと、また、異なるサイバー犯罪組織の間で標的が時おり重複していることもわかりました。たとえば、SofacyのペイロードZebrocyが、ロシア語話者のサイバー犯罪集団「Mosquito Turla」と標的へのアクセスで競合していることや、SofacyのバックドアSPLMと従来の「Turla」および「Danti」の3つが競い合っていることも発見しました。共通の標的となっていたのは、中央アジアとその周辺にある行政機関、テクノロジーや科学、軍事に関係する機関などです。
一部のケースでは、同じSofacyのZebrocyとSPLMの両方から別々の攻撃を同時に受けていた標的もありました。しかし、何よりも興味深いのは、SofacyとLambertsの間で標的が重複していたケースです。このつながりは、リサーチャーが「Grey Lambert」マルウェアへの感染を特定したサーバーにSofacyが存在することを見つけたことから判明しました。このサーバーは、航空宇宙および防空テクノロジーの設計と製造を行う中国の複合企業が所有しているものです。
このケースでは、元のSofacyのSPLMの配信経路は不明のままですが、未知のエクスプロイト、未知のバックドアやGrey Lambertのコミュニケーションチャネルを利用することで、自身のマルウェアをダウンロードしたと推測されます。一方で、Sofacyの痕跡は、その前のLambertにより仕掛けられた偽旗(にせはた)の可能性もあります。リサーチャーは、未知の新しいPowerShellスクリプトまたは正規品だが脆弱なWebアプリを侵害し、インスタンスにSPLMコードをロードし、実行したと見ていますが、調査は現在も進行中です。
カスペルスキー製品は、既知のSofacy攻撃を検出し、ブロックします。
■ Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、カート・バウムガートナー(Kurt Baumgartner)のコメント
「Sofacyは、荒っぽく、見境がないと言われることがありますが、私たちの調査からは、現実的で慎重、そして機敏なサイバー犯罪集団です。Sofacyのアジアでの活動は過少に報告されていますが、この地域、または同じ標的に興味を示しているサイバー犯罪組織がほかにも存在することは明らかです。脅威の情勢が激化し、複雑になるに従って、標的が重複する機会もさらに増えていくでしょう。多くのサイバー犯罪組織が攻撃を開始する前に、標的とするシステムに他の侵入者がいないかどうかを確認する理由はここにあると考えます」
■ Sofacyの活動、ツールの技術情報については、Securelistブログ(英語)をご覧ください。
・2017年のSofacyの動向:「A Slice of 2017 Sofacy Activity」
・2018年3月時点の調査、分析の詳細:「Masha and these Bears -2018 Sofacy Activity」
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
Kaspersky Lab、サイバースパイ組織「Sofacy」が攻撃の矛先を変え、アジアの防衛や外交組織を標的としていることを確認
Kaspersky
関連記事 ウイルスニュース
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >Kasperskyの独自調査により、企業・団体の社内開発のWebアプリケーションにはアクセス制御と機密データ保護に関する欠陥が多いことが浮き彫りに
当社が手掛けた数十件のセキュリティアセスメントのプロジェクト(2021年~2023年に実施)を対象に、社内開発のWebアプリケーションの脆弱性について調査を行った結果、大半でアクセス制御とデータ保護に関連する欠陥が見つかりました。リスクレベルの高い脆弱性で最も多かったのは、SQLインジェクションに関するものでした。詳しくはこちら >