2018年7月11日

<Kaspersky Lab APTレポート: 2018年第2四半期>アジアの地政学的な標的への攻撃が活発に

2018年4~6月のAPT攻撃を調査した結果、主にアジア地域を攻撃対象とし、既によく知られているサイバー犯罪グループと、あまり知られていないグループの両方が活発に活動していたことがわかりました。複数のグループが、地政学的にセンシティブな出来事に照準とタイミングを合わせて攻撃を行っていました。

[本リリースは、2018年7月10日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム(GReAT は、四半期毎にAPT攻撃についてまとめています。201846月の第2四半期は、主にアジア地域を攻撃対象とし、既によく知られているサイバー犯罪グループと、あまり知られていないグループの両方が活発に活動していました。複数のグループが、地政学的にセンシティブな出来事に照準とタイミングを合わせて攻撃を行っていました。

GReAT のリサーチャーが同期間のAPT攻撃について調査した結果、新しいツール、手法や攻撃を仕掛けているグループが明らかになりましたが、なかには数年間活動していなかったグループの攻撃もありました。アジアを攻撃対象の中心とする傾向は変わらず、韓国語話者が関与しているとみられるLazarusやScarCruftの動きが活発でした。また、ロシア語話者によるとみられるTurlaが中央アジアおよび中東を標的とする際に使用した、LightNeuronマルウェアを発見しました。

Kaspersky Labのリサーチャーが確認した主な活動
Olympic Destroyerの再来。2018年2月の平昌冬季オリンピックでの攻撃後、このサイバー犯罪グループによる新たな活動と思われる痕跡を発見しました。今回は、ロシアの金融機関および欧州とウクライナの生物化学脅威対策の研究所が標的となっていました。低~中程度の確率で、複数の兆候がOlympic Destroyerとロシア語話者が関与しているとみられるサイバー犯罪グループSofacyとの関連性を示しています。
Lazarus/BlueNoroffが、より大規模なサイバースパイ活動の一環として、トルコの金融機関や中南米のカジノを標的としていることを示す兆候が見られました。これらは、北朝鮮の和平交渉が進む中でも、金銭を動機とする活動を継続していたことを示唆しています。
ScarCruftによる非常に高度な攻撃を確認しました。同グループはAndroid用マルウェアを利用し、リサーチャーがPOORWEBと命名した新種のバックドアで攻撃を仕掛けていました。
LuckyMouse(別名APT 27)は中国語話者が関与しているとみられるサイバー犯罪グループで、以前にアジアのISPを悪用し注目度の高いWebサイトを通じて水飲み場型攻撃を行っていました。同グループがカザフスタンおよびモンゴルの政府機関を標的とし、両国が中国で会談をしている間、活発に攻撃していたことを確認しました。
VPNFilter攻撃は、Cisco Talosが発見し、FBIがSofacyまたはSandwormの関与を疑っているネットワーク機器を標的にするマルウェアを使います。この攻撃では、SOHOルーターやネットワーク接続タイプのNASデバイスの既知の脆弱性を狙っており、感染したネットワーク機器に接続しているコンピューターを感染させるためにトラフィックにマルウェアを注入することも可能です。リサーチャーの解析では、ほぼすべての国でこの活動の痕跡を確認しました。

Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)は次のように述べています。「2018年第2四半期のAPT活動は、非常に興味深いものでした。私たちはここ数年間、ネットワーク機器が標的型攻撃の最適な対象になり得ることを繰り返し警告し、高度な攻撃の存在とその拡散について強調してきましたが、予測してきた脅威の一部が実現してしまったことを認識することになりました」

■ APT脅威調査サマリーについては、次のSecurelistブログ(英語)をご覧ください。フォレンジックおよびマルウェアハンティングに役立つIOCデータやYARAルールなど、詳細なレポートについては、お問い合わせください。
APT Trends report Q2 2018
APT Trends report Q1 2018

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。