ファイア・アイ、北朝鮮のサイバー攻撃グループ 「APT37(Reaper)」に関するレポートを公開

ファイア・アイは今年2月2日、Adobe Flashのゼロデイ脆弱性(「CVE-2018-4878」)の悪用に関するブログ記事を公開しました。当時から北朝鮮の関与が疑われていましたが、現在ファイア・アイではこのサイバー・スパイ・グループを「APT37(Reaper)」として追跡しています。

弊社の最近の分析では、APT37が使用するツールセットにはゼロデイ脆弱性やワイパー型マルウェアへのアクセスが含まれていることが判明しており、活動の拡大、高度化が進んでいることがうかがえます。マルウェア開発のアーティファクト(痕跡)や、標的とする組織が北朝鮮の国益に合致することから、ファイア・アイでは背景に北朝鮮当局の存在があると強く確信しています。また、「Scarcruft」および「Group123」として報告されている攻撃にも、APT37が関与しているというのが、FireEye iSIGHTインテリジェンスの見解です。

APT37に関する詳細は、ファイア・アイの最新レポート「APT37 (Reaper): The Overlooked North Korean Actor」をご参照ください。本レポートには、同グループが北朝鮮当局のために活動を行っているという、ファイア・アイの見解についても詳述しています。

レポート要旨

  • 標的について:主に韓国ですが、日本、ベトナム、中東諸国も標的となっています。業界は、化学、電子、製造、航空宇宙、自動車、医療と多岐にわたります。
  • 初期の感染手法:特定の標的に対してカスタマイズしたソーシャル・エンジニアリング手法、(標的型サイバー・スパイ活動では典型的な)戦略的なWeb不正アクセス、マルウェアをより無差別に配布するためTorrentのファイル共有サイトを使用する点が特徴的です。
  • 悪用された脆弱性:ハングルワードプロセッサー(HWP)およびAdobe Flashの脆弱性が頻繁に悪用されています。同グループは、ゼロデイ脆弱性(CVE-2018-0802)を入手し、オペレーションに実装する能力を示しています。
  • コマンド&コントロール・インフラストラクチャ:検知を回避するため、侵害されたサーバー、メッセージング・プラットフォーム、クラウドサービスプロバイダーを活用します。また、同グループは経年的に活動の持続性を向上させたことに伴い、技術の高度化が進んでいます。
  • マルウェア:初期の侵入とその後の漏洩を目的に、多岐にわたるマルウェア・スイートを使用しています。諜報目的で使用されるカスタム・マルウェアに加えて、APT37は破壊型マルウェアも入手しています。

関連資料

レポート:APT37(REAPER) 知られざる北朝鮮の攻撃グループ