ブログ(脅威調査)

GAME OVER:APT41による攻撃の検出と阻止

2019年8月、FireEyeは最新の脅威グループ「APT41 - Double Dragon」に関するレポートを発表しました。APT41は諜報活動と金銭窃取の二重の目的を持つ中国関与の攻撃グループで、攻撃対象はゲーム、医療、ハイテク、高度教育、通信、旅行サービスなどの産業です。APT41は、インシデント対応担当者の作業時間内にマルウェアを頻繁に再コンパイルするなど、侵害した環境内の変更や検知状況に迅速に適応することが知られています。FireEyeでは、APT41が開示されたばかりの脆弱性を利用し、数日以内に武器化を図って攻撃をすることも、さまざまな状況で確認しています。

FireEyeは、APT41の標的や活動について、このような攻撃グループに定期的に遭遇するインシデントレスポンス・サービスおよびManaged Defenseサービスをベースに知識を得ています。FireEyeではこうしたグループに遭遇するたび、マルウェアをリバースエンジニアリングし、インテリジェンスを収集して、検知機能を改良します。攻撃キャンペーンの早い段階で攻撃グループを検出、阻止することで、この内容は最終的にManaged Defenseチームとインシデントレスポンス・チームにフィードバックされます。

このブログの記事では、FireEye Managed DefenseがAPT41と対峙した最近の事例を取り上げます。FireEyeの目標は、この攻撃グループがどの程度ダイナミックであるかを示すだけでなく、FireEyeのさまざまなチームがどのように作業しているか、すなわちFireEyeのクライアントのネットワークを保護し、攻撃グループが足場を固める能力を抑制してデータ侵害を防止しながら、検知から数時間以内に攻撃を阻止しているかなどについても示すことです。

このインシデントから導き出された重要な結論

  • APT41は、多数のマルウェア・ファミリーを利用して、この環境へのアクセスを維持します。影響の大きな復旧対策には、インシデントの全対応範囲を必要とします。
  • マネージド検知&対応サービスを効果的に実施するには、エンドポイントおよびネットワークの両方で、標的型攻撃を検出し対応することが重要です。
  • 攻撃者は、脆弱性が公開されるとすぐに、とりわけ攻撃者が標的の環境内にすでに侵入している場合、その脆弱性を武器化する可能性があります。重大な脆弱性に対してできるだけ早くパッチを適用することは、このような対応のすばやい攻撃者を阻止するために重要です。

手法の検出

FireEyeは、certutilの利用、 HIGHNOON、China Chopperの検出を含み、FireEyeのプラットフォーム全体でこの活動を検出します。

Detection

Signature Name

China Chopper

FE_Webshell_JSP_CHOPPER_1

 

FE_Webshell_Java_CHOPPER_1

 

FE_Webshell_MSIL_CHOPPER_1

HIGHNOON.PASSIVE

FE_APT_Backdoor_Raw64_HIGHNOON_2

 

FE_APT_Backdoor_Win64_HIGHNOON_2

Certutil Downloader

CERTUTIL.EXE DOWNLOADER (UTILITY)

 

CERTUTIL.EXE DOWNLOADER A (UTILITY)

ACEHASH

FE_Trojan_AceHash

インジケーター

Type

Indicator

MD5 Hash (if applicable)

File

test.jsp

84d6e4ba1f4268e50810dacc7bbc3935

File

64.dat

51e06382a88eb09639e1bc3565b444a6

File

Ins64.exe

e42555b218248d1a2ba92c1532ef6786

File

c64.exe

846cdb921841ac671c86350d494abf9c

File

F64.data

a919b4454679ef60b39c82bd686ed141

IP Address

67.229.97[.]229

N/A

詳しい内容は、APT41の活動の詳細を説明する、2019年9月18日のWebセミナーにぜひ参加して、ご確認ください。また、このリンクから、公開済みのAPT41レポートをダウンロードしてご確認いただくことができます。

本ブログは、米FireEyeが公開した「GAME OVER: Detecting and Stopping an APT41 Operation」の要約版です。技術詳細を含むブログ全文は英語記事をご参照ください。

日本語版:Reviewed by Ayako Matsuda