ブログ(脅威調査)

APT41:スパイ活動とサイバー犯罪の両方を遂行する双頭龍の攻撃者

本日、FireEye Intelligenceでは、金銭目的の攻撃と同時に国家支援を受けたスパイ活動を実施する、中国の活発なサイバー攻撃グループ「APT41」を詳述した、総合的なレポートを公開しました。APT41は、追跡対象となっている中国ベースの攻撃グループの中でも独特な存在です。個人的な利得のための攻撃と思われるものの中で、一般にはエスピオナージ・キャンペーン用に確保される非公開マルウェアを活用しているからです。中国の国家支援を受けた脅威グループでは、明らかな金銭目的の標的型攻撃はほとんど見られません。しかし2014年以降、APT41がサイバー犯罪とサイバー・エスピオナージ攻撃を同時に実施したことを示す証拠があります。

本日公開のレポート(こちらからダウンロード可能)では、APT41に起因する過去および進行中の攻撃、TTP(戦術、技術、手順)の進化、個々の攻撃者の情報、マルウェア・ツールセットの概要、およびこれらの識別子が中国の他の既知のエスピオナージ攻撃者とどのような共通点があるかを解説しています。APT41は、BARIUM(Microsoft)およびWinnti(KasperskyESETClearsky)などのグループに関する公開済み情報と部分的に一致します。

APT41の標的

中国の他のエスピオナージ攻撃者と同様、APT41のエスピオナージ攻撃の標的は一般に、中国の5か年計画に沿っています。この攻撃グループは、ヘルスケア、ハイテク、通信分野の組織への戦略的アクセスを確立し、維持しています。高等教育、旅行サービス、ニュース/メディア企業に対するAPT41の攻撃は、攻撃グループが個人を追跡し、監視するといういくつかの兆候が見られます。例えば、攻撃グループは、通信会社での通話記録情報を繰り返し標的にしています。別の例では、APT41は、中国当局の職員が宿泊する前に、その宿泊予定のホテルの予約システムを標的にしました。攻撃グループはセキュリティ上の理由から、施設を偵察する作業があったことを示しています。

APT41の金銭目的の攻撃活動は、主にビデオゲーム産業に集中していました。APT41はゲーム内仮想通貨を操作し、ランサムウェアを展開しようと試みていました。この攻撃グループは、WindowsとLinuxシステム間のピボッティングなど、ゲームの本番環境にアクセスできるようになるまで、標的としたネットワーク内で水平展開することに精通しています。攻撃グループはそのネットワークからソースコードと、その後マルウェアに署名するために使用されるデジタル証明書を窃取します。さらに重要なことに、APT41は、後に標的にする組織に配布する予定の正規のファイルに悪質なコードを埋め込むため、本番環境へのアクセスを使用することが知られています。これらのサプライチェーン攻撃戦術は、APT41の最もよく知られた最近のエスピオナージ・キャンペーンの特徴でもあります。

興味深いことに、サプライチェーン攻撃を実行するにはかなりの労力が必要であり、影響を受ける組織が多数であるにもかかわらず、APT41は個々のシステムIDと一致した特定の標的のシステムに制限して、マルウェアを配布します。これらの多段階攻撃はマルウェア配布を対象の標的のみに制限し、対象の標的を非常に分りにくくします。対照的に、典型的なスピア・フィッシング・キャンペーンの標的は、受信者のEメール・アドレスに基づいて識別することができます。

APT41が時間をかけて直接の標的にした産業の内訳を図1に示します。

 


図1:APT41が直接の標的にした産業の年表

中国のエスピオナージ攻撃の推定委託先

APT41攻撃に関連付けられる「Zhang Xuguang」および「Wolfzhi」と呼ばれる2つのペルソナも、中国語フォーラムで特定されています。これらの個人は、自分のスキルおよびサービスを公開し、雇用可能性を示しました。Zhangは、自分のオンライン時間を午後4:00から午前6:00と示し、APT41がオンライン・ゲームを標的にする攻撃時間に近く、副業していることを示しています。2012年以降のグループの活動のマッピング(図2)から、APT41が日常の攻撃以外に、主に金銭目的の攻撃を実行しているいくつかの兆候を表しています。

これらの個人へのアトリビューションは、特定されたペルソナ情報、プログラミング技能における以前の業務と明らかな専門知識、および中国の市場固有のオンライン・ゲームを標的にしていることによって裏付けられています。一方Wolfzhiは、APT41が標的をビデオゲーム業界に繰り返し戻していることから特に顕著で、攻撃グループのその後のエスピオナージ攻撃においてこれらの攻撃が形成されたと考えています。


図2:2012年以降に観測された攻撃に基づく、ゲーム業界とゲーム以外の業界に関連する標的への攻撃

攻撃に使用されるツール

APT41は、公開されているユーティリティ、他の中国のエスピオナージ攻撃と共有するマルウェア、およびグループに固有のツールを含む、46超の異なるマルウェア・ファミリーやツールを活用してミッションを達成します。この攻撃グループは頻繁に、コンパイル済みHTML(.chm)ファイルなどを添付したスピア・フィッシングEメールを活用して、最初に被害者を侵害します。被害者の組織に侵入すると、APT41は、より高度なTTPを活用して、他のマルウェアを展開します。たとえば、ほぼ1年間にわたるキャンペーン攻撃では、APT41はバックドア、認証情報窃取、キーロガー、およびルートキットなど150近くのマルウェアを使用し、数百のシステムを侵害しました。

APT41はまた、ルートキットおよびマスターブートレコード(MBR)ブートキットを限定した範囲で展開し、マルウェアを潜ませ、被害者のシステムでアクセスを維持します。特にブートキットは、OSの初期化前にコードが実行されるため、意図するレイヤーを密かに追加できます。APT41ではこれらのツールの使用を制限しているため、このグループは、高い価値のある標的のためだけにより高度なTTPおよびマルウェアを温存していると考えられます。

高速かつ執拗

APT41は、組織のネットワーク・セグメンテーションを中継するシステムを迅速に特定して、水平展開して侵害を拡大します。あるケースでは、APT41はわずか2週間で、複数のネットワーク・セグメントおよび複数の地理的領域にわたって、数百のシステムを侵害しました。

攻撃グループはまた非常に機敏かつ執拗で、被害者の環境の変化やインシデント対応担当者の行動に迅速に対応します。例えば、被害を受けた組織がAPT41を阻止するための変更を行った数時間後に、攻撃グループは新たに登録されたC&Cドメインを使用してバックドアの新しいバージョンをコンパイルし、複数の地理的領域にわたる多数のシステムを侵害しました。別の例では、侵入が復旧されてシステムがオンラインに戻ってから3日後に、APT41は多数の人事担当者にスピア・フィッシングEメールを送信しました。APT41から送られた不正な添付ファイルをユーザーが開く数時間の間に、グループは複数の地理的領域にわたって組織のサーバー内で足場を回復したのでした。

今後の展望

APT41は、独創的で熟練したリソースを豊富に抱える攻撃グループです。標的として選んだ個人に対するサプライチェーン攻撃を全く異なる用法で攻撃、マルウェアに対して危殆化したデジタル証明書を使用した一貫性のある署名、ブートキットの展開(中国のAPTグループではほとんど見られない)から、それがわかります。

他の中国のエスピオナージ攻撃者と同様、2015年以降、APT41は直接的な知的財産の窃取から、戦略的なインテリジェンス収集とアクセスの確立に移行したように見えます。しかしながら、この変化は金銭目的の理由でビデオゲーム産業を標的とする、グループの一貫した関心に影響を与えるものではありませんでした。APT41の能力と標的設定は時間の経過とともに拡大し、さらなる業界のさまざまな被害者に影響を及ぼすサプライチェーン攻撃の可能性があることを警告しています。

APT41が闇市場と国家支援を受けた攻撃の両方に関与していることは、APT41が独自の営利目的の攻撃を実施可能にする保護を甘んじて受けるか、当局がそのような攻撃を見過ごすつもりであることを示している可能性があります。また、APT41が中国当局からの監視を単純に回避することも可能です。とにかく、脅威のエコシステムの中心に位置するこれらの攻撃は、国家の力と犯罪との間の不鮮明さを強調し、APT41はその好例です。

本ブログは、米FireEyeが公開した「APT41: A Dual Espionage and Cyber Crime Operation」(英語)の日本語抄訳版です。

日本語版:Reviewed by Ayako Matsuda, Toru Tanimura