北朝鮮国家の支援を受ける 新たな脅威グループ「APT38」の詳細を発表

ファイア・アイは本日、北朝鮮国家の支援を受けている新たな脅威グループ「APT38」についての詳細なレポートを発表しました。同グループは、これまで観察されている中でも最大規模のサイバー窃盗を行っており、世界中の金融機関から数百万ドルの金銭を不正に取得しつつ、破壊型マルウェアを使用することで、被害者のネットワークを運用できない状態に陥れています。

apt-38-missions

 

  • Novetta社が2016年に発表したレポートでは、2014年のSony Pictures Entertainment社への破壊的攻撃で使用されたツールとインフラストラクチャの正体を明かそうとする、セキュリティベンダー各社の取り組みを詳述しています。このレポートでは、同社が「Lazarus」と名付けた開発者およびオペレーター集団のマルウェアとTTP(戦術、技術、手順)についても記載されていました。このグループ名は後に、北朝鮮の積極的なサイバー・オペレーションの同義語として扱われています。
  • その後、信憑性の度合いに幅はあるものの、マルウェアの類似性などに基づき「Lazarus」グループが関わったとされる、さらなる活動が公に報告されています。また、時間の経過につれて同グループの標的、目的、TTP、およびマルウェアの類似性が枝分かれしています。このことを踏まえ、北朝鮮国家が支援する脅威グループが複数存在し、マルウェアの開発リソースを共有しているということに、ファイア・アイは確信を持っています。
  • 入念な活動を通じ、観察されたAPT38の金銭的動機、独自のツールセット、TTPなどは十分な独自性を持っており、北朝鮮の他のサイバー活動とは切り離して追跡できるものと、ファイア・アイは考えます。
  • APT38が北朝鮮国家の支援を受けているという判断に基づき、「FIN」ではなく「APT」グループとして分類することにしました。これは、APT38のオペレーションが、スパイ活動と酷似している点も反映しています。
apt-38-map

 

侵入被害を受けた多くの企業・団体の事例を調査したところ、金融機関に対する標的活動とその後の窃盗行為は、一般的に同一なパターンを踏襲していることが判明しました。APT38の全体的な攻撃のライフサイクルについては下記をご覧ください。

1)    情報収集:SWIFT取引のメカニズムを理解するため、SWIFTシステムにアクセスできると思われる企業・団体の担当者や第三者を標的に調査を実施します。

2)    初期侵入:水飲み場型攻撃や、パッチが十分に適用されていないApache Struts2の様に脆弱な状態にある標的を攻撃して侵入します。

3)    内部偵察:マルウェアの展開を通じて認証情報を収集し、被害者のネットワーク・トポロジのマッピングを行います。また被害者の環境内に現存するツールを悪用し、システムを精査します。

4)    SWIFTサーバーへのピボット: SWIFTの構成・使用状況についての理解を深めるため、偵察用マルウェアと内部ネットワーク監視ツールをSWIFTシステムにインストールします。被害者の企業・団体のセグメント化された内部システムにアクセスし、検知を回避できるよう、アクティブとパッシブ両方のバックドアをSWIFTシステムに展開します。

5)    資金転送:マルウェアを展開・実行し、不正なSWIFT取引を挿入し、合わせて取引履歴を改ざんします。マネーロンダリングを目的として、別々の国にある銀行に開設された口座へ複数の取引を通じて資金を転送するケースが多くあります。

6)    証拠隠滅:証拠を隠滅し、フォレンジック分析を妨害するため、ログをセキュアに消去しつつ、ディスクワイプ用マルウェアを展開・実行します。

APT38のオペレーションの特長として、証拠や被害者のネットワークを積極的に隠滅・破壊することを恐れていないことが挙げられます。こうした破壊性はおそらく、侵入の痕跡だけでなく、マネーロンダリング・オペレーションの証拠隠滅も図っているからだと思われます。

  • サイバー活動以外にも、APT38の窃盗行為の後処理(資金のロンダリングや窃盗した資金を受取した銀行とのやり取り)をサポートするための求人を国内で募集していたという報道もあります。このため、APT38のオペレーションは複雑化が進み、全容を明らかにするためには多数の要素における調整が必要となっています。

この数年間、標的への不正アクセスと資金窃盗に大規模なリソースとネットワークを費やしてきたことを踏まえると、APT38の活動は将来的にも継続すると考えられます。近年では金融メッセージング・システムを中心としたセキュリティに対する認識も高まっており、SWIFTに関連する窃盗が最終的に阻止されることが多くなっています。また北朝鮮による外貨獲得の状況が今後悪化することなどを考慮すると、APT38は資金獲得のために新たな戦術を導入することも考えられます。

APT38の歴史とオペレーション、マルウェア、他の北朝鮮支援活動との関連についての詳細は、ファイア・アイのレポートAPT38: Unusual Suspects(英語)」をご覧ください。