GAME OVER：APT41による攻撃の検出と阻止

2019年8月、FireEyeは最新の脅威グループ「APT41 - Double Dragon」に関するレポートを発表しました。APT41は諜報活動と金銭窃取の二重の目的を持つ中国関与の攻撃グループで、攻撃対象はゲーム、医療、ハイテク、高度教育、通信、旅行サービスなどの産業です。APT41は、インシデント対応担当者の作業時間内にマルウェアを頻繁に再コンパイルするなど、侵害した環境内の変更や検知状況に迅速に適応することが知られています。FireEyeでは、APT41が開示されたばかりの脆弱性を利用し、数日以内に武器化を図って攻撃をすることも、さまざまな状況で確認しています。

FireEyeは、APT41の標的や活動について、このような攻撃グループに定期的に遭遇するインシデントレスポンス・サービスおよびManaged Defenseサービスをベースに知識を得ています。FireEyeではこうしたグループに遭遇するたび、マルウェアをリバースエンジニアリングし、インテリジェンスを収集して、検知機能を改良します。攻撃キャンペーンの早い段階で攻撃グループを検出、阻止することで、この内容は最終的にManaged Defenseチームとインシデントレスポンス・チームにフィードバックされます。

このブログの記事では、FireEye Managed DefenseがAPT41と対峙した最近の事例を取り上げます。FireEyeの目標は、この攻撃グループがどの程度ダイナミックであるかを示すだけでなく、FireEyeのさまざまなチームがどのように作業しているか、すなわちFireEyeのクライアントのネットワークを保護し、攻撃グループが足場を固める能力を抑制してデータ侵害を防止しながら、検知から数時間以内に攻撃を阻止しているかなどについても示すことです。

このインシデントから導き出された重要な結論

• APT41は、多数のマルウェア・ファミリーを利用して、この環境へのアクセスを維持します。影響の大きな復旧対策には、インシデントの全対応範囲を必要とします。
• マネージド検知&対応サービスを効果的に実施するには、エンドポイントおよびネットワークの両方で、標的型攻撃を検出し対応することが重要です。
• 攻撃者は、脆弱性が公開されるとすぐに、とりわけ攻撃者が標的の環境内にすでに侵入している場合、その脆弱性を武器化する可能性があります。重大な脆弱性に対してできるだけ早くパッチを適用することは、このような対応のすばやい攻撃者を阻止するために重要です。
  

手法の検出

FireEyeは、certutilの利用、 HIGHNOON、China Chopperの検出を含み、FireEyeのプラットフォーム全体でこの活動を検出します。

インジケーター

詳しい内容は、APT41の活動の詳細を説明する、2019年9月18日のWebセミナーにぜひ参加して、ご確認ください。また、このリンクから、公開済みのAPT41レポートをダウンロードしてご確認いただくことができます。

本ブログは、米FireEyeが公開した「GAME OVER: Detecting and Stopping an APT41 Operation」の要約版です。技術詳細を含むブログ全文は英語記事をご参照ください。

日本語版：Reviewed by Ayako Matsuda