ブログ(トレンド&インサイト)

中国の異なる複数のサイバー攻撃グループが連携し、 日本、台湾などアジアを標的にサイバー攻撃活動を展開

本コンテンツは、2014年9月10日(米国時間)にFireEye, Inc.のブログにて公開された内容の翻訳です。 本内容は予告なく更新されている可能性があることをご了承ください。

 米国カリフォルニア州ミルピタス発

ファイア・アイはこのたび、中国国内の離れた地域を拠点とする2つのサイバー攻撃グループが類似した手法を使って活動している実態をまとめた調査レポートを発表しました。これらのグループは、サイバー攻撃の効果と効率性を高めるために、連携体制を築いていると見られます。

まず、「Moafee(モーフィー)」と名づけられている攻撃グループは、中国の広東省を拠点に作戦を実施していると見られます。その標的は、南シナ海における国益に関係する各国の政府と軍事組織であり、この中には米国の防衛産業基盤内の組織も含まれています。Wikipediaによれば、南シナ海は世界で2番目に通行量の多い海上交通路があり、レアアースメタル、原油、天然ガスなどの資源が豊富であることから、攻撃対象とされていると思われます。

 

もう一つの攻撃グループ「DragonOK(ドラゴンオーケー)」は、日本および台湾のハイテクや製造企業を攻撃対象としています。これは同地域での経済競争において、有益な企業機密を入手することを狙いとしていると思われます。なお、DragonOKは、中国の江蘇省を拠点に活動を展開していると考えられます。

 

これら2つの攻撃グループは、地理的に離れた異なる地域を拠点としながらも、以下に基づいて活動していると考えられます。

1)   連携体制を確立している

2)   同等のトレーニングを受けている

3)   共通のツールキットを供給するサプライチェーンを築いている

4)   攻撃計画が併用されている

つまり、防御を突破するサイバー攻撃を起こすために、工場の“生産ライン”のようなアプローチを採用しているといえます。

Mirroring Each Other

酷似した攻撃グループの活動

これら2つのグループによる攻撃活動は、類似したツール、手法、手順(TTP:Tools, Techniques and Procedures)を用いています。これには標的とするネットワークに侵入するために、独自開発のバックドアやリモート管理ツール(RAT)の利用も含まれています。

 

The Advanced Threat Supply Chain

 

MoafeeとDragonOKはともに、自分たちの活動拠点を偽装するために、HTran(HUC Packet Transmit Tool)という一般的なプロキシツールを使用していることもわかりました。両グループとも、大きいファイルサイズやパスワードで保護された文書を使用することで攻撃を偽装しています。以下に説明する通り、こうした手法はツール、手法、手順(TTP)が類似していたことと同様に、攻撃グループが何らかの方法で連携している、少なくとも攻撃活動の展開にいくつかの共通点があることを表わしています。

さらに、別の第3の攻撃グループも同様に、独自開発のバックドア、RATを含む同じツール、手法、および手順(TTP)を使用している可能性が見られます。しかしながら、現段階のファイア・アイの調査では、このもう1つのグループがMoafeeとDragonOKと確実につながっていることを報告できる情報は、まだ十分に得られていません。

Hidden from Sight

隠蔽のためにつくされる手段

MoafeeおよびDragonOKはともに、スピアフィッシングメールを攻撃手法として好んで利用する傾向があり、被害組織を騙すためのおとり文書を頻繁に用いています。電子メールは標的とする相手に合わせて、適切な母国語を使用するなど、巧妙に作成されています。

フィッシングメールに添付されているファイルは、多くがZIPアーカイブに入った実行可能ファイル、あるいはパスワードで保護されたMicrosoft Office文書です。ファイア・アイの調査では、両方の攻撃グループで、マルウェアがバックグラウンドで実行されている間、被害者が開くようなおとり文書が使われていました。例としてDragonOKは、日本語で書かれたおとり文書として、京都大学英語学科に在籍していた人物の履歴書のようなメールを標的対象に送信したことが過去にあります(図2参照)。

China is busy in Americas Backyard 図2 - DragonOKのフィッシング攻撃時に被害組織に送付されたおとり文書

両グループは、攻撃活動を隠蔽するために複数の共通する手法を使用しています。サンドボックス環境、アンチウイルスソフトウェア、ゲートウェイファイアウォールからの検出を回避しようと、あらゆる手段を講じています。その手段として、次のようなものが見られます。

  • コアプロセッサ数を確認して、1つのコアだけが検出された場合、攻撃を終了する。これにより、単一コアで構成されることが多いサンドボックスなどの仮想実行環境の検出を試みる
  • パスワードを電子メールの本文に記載して、検出される可能性の低い、パスワードで保護された文書を添付する
  • ネットワークベースやホストベースの多くのアンチウイルスエンジンではサイズの大きいファイルをスキャンできないため、不要なNULLバイトを埋め込んだサイズの大きいファイルを送る

Tools of the Trade

共有されているツール

2つの攻撃グループは共通のバックドアやRATを使用しており、それには独自開発されたものだけでなく、一般的に利用されているものも含まれています。双方で見られたツールには、下記のようなものがありました。

  • CT/NewCT/NewCT2
  • Mongall
  • Nflog
  • PoisonIvy

われわれの調査では、Moafee もDragonOKも、HTranプロキシを複数のコマンド&コントロール(C2)サーバー上で稼働させ、CHINANETによって操作されていました。しかし、これらのサーバーがホストされていたのは、Moafeeは広東省、DragonOKは江蘇省であったことがわかっています。

 Summary

まとめ

南シナ海に国益を持つ各国の政府と軍を狙ったMoafeeグループは、その地域の豊富な天然資源に関係する相手を標的としています。またDragonOKは、日本や台湾のハイテクおよび製造企業を狙うことで、経済競争において有益な企業機密を入手することを狙っていると考えられます。

それぞれの標的やミッションは異なるように見えますが、ファイア・アイの調査では、MoafeeとDragonOKが互いに連携している証拠を発見しており、さらに第3の攻撃グループの存在の可能性もあると見られています。連携することで進化を遂げ脅威をもたらす実行者は、ツール、手法、手順(TTP)を共有し、サイバー攻撃を共同で計画し、世界でスパイ活動を行っています。