2019年8月8日

<Kaspersky APTレポート: 2019年第2四半期>乗っ取りや虚偽情報の拡散などのAPT攻撃が中東で発生

2019年4~6月の第2四半期は、中東や韓国を標的としたAPT攻撃を多数検知しました。このような攻撃の大半が目的とするのはサイバースパイや金銭詐取ですが、少なくとも1件の攻撃キャンペーンでは、虚偽情報の拡散が目的であったことが明らかになっています。

[本リリースは、2019年8月1日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT) は、四半期毎にAPT攻撃についてまとめています。2019年4~6月の第2四半期は、中東や韓国を標的としたAPT攻撃を多数検知しました。このような攻撃の大半が目的とするのはサイバースパイや金銭詐取ですが、少なくとも1件の攻撃キャンペーンでは、虚偽情報の拡散が目的であったことが明らかになっています。GReATは5月にオンライン上に漏洩した、イランの組織に属するサイバースパイと思われる情報を分析し、その攻撃者の背後には別組織「Hades」が存在する可能性があると結論付けました。Hadesは、「ExPetr」や2018年冬季オリンピックを標的とした攻撃「OlympicDestroyer」とも関わりがある組織です。

Kasperskyのリサーチャーが調査した同期間のAPT攻撃では、中東で発生した複数の興味深い攻撃を観測しています。たとえば、ペルシャ語話者のサイバー犯罪集団として知られる「OilRig」と「MuddyWater」に属するとされる情報(コード、インフラストラクチャ、グループ、および標的の詳細など)が、オンライン上で続々と流出した件があります。情報が漏洩したのは複数のソースからでしたが、いずれも数週間のうちに発生しました。3番目の漏洩は「RANA institute」と呼ばれる団体に関するものとみられる情報で、これはWebサイト「Hidden Reality」にペルシャ語で公開されていました。GReATは、漏洩した情報、インフラストラクチャ、および専用Webサイトを分析した結果、この漏洩にHadesというサイバー犯罪組織が関連している可能性があるという結論に至りました。Hadesは、ExPetr や2018年の冬季オリンピックを標的としたOlympicDestroyer、2017年のフランス大統領選挙戦での、エマニュエル・マクロン(Emmanuel Macron)氏に関連するメールの漏洩など、さまざまな虚偽情報の拡散にも関わっていると言われています。

■ Kaspersky のリサーチャーが確認した主な活動

  • ロシア語話者のサイバー犯罪組織が継続的にツールを改良して新しいツールを編み出し、攻撃を続けています。たとえば3月以降、「Zebrocy」はパキスタンおよびインドのイベント、政府組織関連、関係する外交官や軍隊を標的とするようになりました。同時に、中央アジア政府のローカルおよびリモートのネットワークへのアクセスを続けています。「Turla」の攻撃は引き続き、急速に高機能化させたツールセットを特徴としています。Turlaの注目すべき事例としては、OilRigのインフラ乗っ取りがあります。
  • 東南アジアでの攻撃は前四半期より減少する一方で、韓国での攻撃は数多く発生し続けています。「Lazarus」による韓国のモバイルゲーム企業を標的とした攻撃、またLazarusのサブグループである「BlueNoroff」による、バングラデシュの銀行と暗号資産(仮想通貨)を標的とした攻撃は注目に値します。
  • 「SixLittleMonkeys」という中国語話者のAPTグループによる、中央アジアの政府機関を標的とした活発な攻撃キャンペーンを確認しました。この攻撃では、トロイの木馬「Microcin」の新バージョンが使用され、最終段階では「HawkEye」と呼ばれるRATが使用されています。

Kaspersky GReATのプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)は次のように述べています。「2019年の第2四半期には、脅威を取り巻く環境が陰鬱で複雑なものに変化していること、そして多くが以前と同じ姿ではなくなっていることが明らかになりました。当社の調査では、小規模なサイバー犯罪組織のインフラを乗っ取る攻撃者や、インターネット上での情報リークを重ねて偽情報を拡散させ、評判を貶めることにより、利益を得ていると思われる組織を確認しています。巧妙なトリックを見破って真実を明らかにし、サイバーセキュリティに欠かせない脅威インテリジェンスを見極めることが、セキュリティ業界にとってこれまでにない大きな課題となっています。いつもと同じように大事なことを言い添えておきますが、私たちはすべてを見通しているわけでなく、未知または当社が十全には把握していない攻撃が発生する可能性があります。ですから、既知の脅威と未知の脅威の両方を保護することは、すべての人にとって重要です」

四半期ごとのAPT脅威調査サマリーは、Kaspersky独自の脅威インテリジェンス調査や、その他のソースを情報源とし、リサーチャーがあらゆる人々の注意を喚起したい脅威動向を主に取り上げています。フォレンジックおよびマルウェアハンティングに役立つIOCデータやYARAルールなど、詳細なレポートについてはお問い合わせください。

APT脅威調査サマリーについては、次のSecurelistブログ(英語)をご覧ください。

■ 既知および未知のサイバー犯罪組織による高度な標的型攻撃から企業や組織を守るために、次のことを推奨しています。

  • 社内のセキュリティチームが、最新のサイバー脅威インテリジェンスにアクセスできるようにし、サイバー犯罪組織やサイバー犯罪者が利用する最新のツール、手法、戦略を常に学べるようにする。
  • エンドポイントレベルでインシデントを検知および調査し、迅速に修復するために、EDRソリューションを導入する。
  • 基本的なエンドポイント保護に加えて、高度な脅威を、ネットワークレベルで早期に検知する全社規模のセキュリティソリューションを導入する。
  • 多くの標的型攻撃は、フィッシングやそのほかのソーシャルエンジニアリングがきっかけとなるため、セキュリティへの注意喚起のためのトレーニングを導入し、従業員にサイバーセキュリティの実用的なスキルを教える。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。