メインコンテンツにスキップする

APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開

2024年9月18日

同グループは2011年から主にアジア太平洋地域の政府機関や医療、ハイテクなどの業種を標的にしていましたが、2023年6月から1年以上にわたって中東のある政府機関を標的としてサイバースパイ活動を行っていたことが判明しました。

[本リリースは、2024年9月5日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT)のリサーチャーはこのたび、2011年から主にアジア太平洋地域で活動しているAPT(持続的標的型)攻撃グループ「Tropic Trooper(トロピックトルーパー)」が展開する、新たな攻撃活動を発見しました。この攻撃活動は、2023年6月から1年以上にわたって中東のある政府機関を標的に、サイバースパイ活動を行うことを目的としていることが分かりました。標的のネットワークに不正アクセスし、ネットワーク内にとどまるため、攻撃者はWeb対応言語で記述された悪意のあるスクリプトであるWebシェルの「China Chopper」を悪用していました。リサーチャーはこのことを、コンテンツ管理に使用される公開Webサーバー上で発見しました。当社のテレメトリおよび観測では日本の標的は確認されていませんが、このグループの戦術、技術、手順(TTP)を含む調査結果は、脅威インテリジェンスに関わる人々が、この脅威アクターの動機をより理解する上で役立つでしょう。

Tropic Trooper(別名:KeyBoy、Pirate Panda)は、少なくとも2011年から活動しているAPT攻撃グループです。もともとは台湾やフィリピン、香港などにおける政府機関や医療、運輸、ハイテクなどの業種を主な標的としていました。ところが、GReATの最近の調査により、Tropic Trooperが2024年に中東のある政府機関を標的とした継続的な攻撃活動を行っており、少なくとも2023年6月にはこの活動を開始していたことが判明しました。

2024年6月に、当社のテレメトリが悪名高いWebシェルChina Chopperの新たな亜種を検知しました。リサーチャーが詳細を調査したところ、このWebシェルコンポーネントは、オープンソースのコンテンツ管理システム(CMS)であるUmbraco CMSをホストする、公開ウェブサーバー上にモジュールとして埋め込まれていました。このモジュールは、難読化やコマンドの動的な実行など、悪意のある活動によくみられる特徴を備えています。攻撃者は、サイバースパイ活動の最終目的として、データ窃取、フルリモート管理、マルウェアの展開、高度な検知回避など、幅広い悪意のある機能を獲得すべく、このプラットフォームを悪用していました。

さらにリサーチャーは、新たにDLL検索順序ハイジャックのインプラントを特定しました。これは、Windowsが読み込むDLL(ダイナミックリンクライブラリ)の検索ディレクトリを操作し、悪意のあるDLLを読み込ませる手法です。必要なDLLへのフルパス指定がないために、正規ではあるが脆弱(ぜいじゃく)性のある実行ファイルから読み込まれていました。この攻撃チェーンは、Crowdoor(ESETが報告したバックドアSparrowDoorに関連するためにこの名前がつけられた)と呼ばれるローダーの展開を試みており、カスペルスキー製品が初期のCrowdoorローダーをブロックすると、攻撃者はすぐに同様の影響力を持つ未知の亜種に切り替えました。

GReATのリサーチャーは、この攻撃活動はTropic Trooperとして知られる中国語話者の脅威アクターによるものであるとみています。分析結果から、最近のTropic Trooperの攻撃活動で使われた手法と多くの共通点があることが判明しており、リサーチャーが分析したサンプルにも、過去にTropic Trooperに結びつけられたサンプルとの間に強い相関関係が見られます。

GReATのリサーチャーは、こうした標的を絞った侵入行為が中東のとある政府機関に対して行われたことを観測しました。同時に、これらのサンプルのサブセットをマレーシアのある政府機関を標的にした活動でも検知しました。このインシデントは、Tropic Trooperに関する最近のレポートで報告されている主な標的および対象地域と合致します。

KasperskyのGReATでシニアセキュリティリサーチャーを務めるシェリフ・マグディ(Sherif Magdy)は、次のように述べています。「注目すべき点は、攻撃のさまざまな段階で使用されるスキルセットのバリエーションと、失敗した場合の戦術です。攻撃者は、バックドアが検知されたと気付くと、新しいバージョンをアップロードして検知の回避を試みました。その結果、こうした新たなサンプルが今後検知される可能性を意図せず高めることになりました。Tropic Trooperは通常、政府機関や医療、運輸、ハイテク業界を標的としています。中東の重要政府機関、とりわけ人権問題調査に従事する機関に対する攻撃の中にこのグループのTTPが見られることは、彼らの活動戦略の方向性が変化したことを示しています。当社のテレメトリおよび観測では、日本での標的は確認されていませんが、TTPを含むこの調査結果は、脅威インテリジェンスに関わる人々が、この脅威アクターの動機をより理解する上で役立つでしょう」

■ 詳細は、Securelistブログ(英語)「Tropic Trooper spies on government entities in the Middle East」でご覧いただけます。

※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開

同グループは2011年から主にアジア太平洋地域の政府機関や医療、ハイテクなどの業種を標的にしていましたが、2023年6月から1年以上にわたって中東のある政府機関を標的としてサイバースパイ活動を行っていたことが判明しました。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース