長期的に活動する脅威グループ「APT10(MenuPass)」の最新状況が明らかに

~新たなツールを用いた世界的な攻撃キャンペーン~

APT10の背景
「APT10」(MenuPassグループ)は、ファイア・アイが2009年より追跡している中国のサイバースパイ集団です。このグループはこれまで、米国、欧州、日本の土木建設企業、航空宇宙企業、通信企業、官公庁を標的としてきました。こうした業界が標的となっているのは、重要な軍事諜報情報の入手や、中国企業の支援に向けた機密情報の窃取など、中国の国家安全保障に関わる目的を後押しするためと考えられます。なお、PwCとBAEは最近、共同のブログ記事を発行し、APT10の広範な活動について詳述しています。

APT10の復活
FireEye iSIGHTインテリジェンスが、APT10によるオペレーションの拡大を初めて報じたのは2016年6月のことでした。同グループは当初、日本の大学を標的としているのが検知されましたが、その後、日本国内でより広範囲な標的を対象としていることが判明しました。そして、FireEye as a Service(FaaS)、Mandiant、FireEye iSIGHTインテリジェンスが連携して解析を進めた結果、新たなツールや手法を用いた一連の攻撃は世界規模で多くの被害が出ていることが判明しました。

新たなツールを用いた、世界的な標的活動
グローバルでビジネスを展開するファイア・アイは、その世界的な基盤を活用することで、2016~2017年に6つの大陸でAPT10による攻撃を検知しています。APT10は、インド、日本、北欧の製造業、南米の鉱業、全世界の複数のITサービス・プロバイダーを標的とし、不正アクセスを行ってきました。こうした企業の中には、最終的な標的もありますが、それと同時に、最終的な標的への足がかりとされた団体も存在すると考えられます。

APT10は、2016~2017年の活動で新たなツールを利用しています。継続的に使用されるSOGUに加えて、最新の侵入活動では新たなツールが使用されており、ファイア・アイは、これらがAPT10に固有のものであると考えています。第一段階のバックドアとしては、HAYMAKERとSNUGRIDEが使用される一方、第二段階のバックドアとしては、BUGJUICEと、オープンソースのQUASARRATのカスタマイズ版が使用されています。こうした新種のマルウェアからは、APT10が新しい攻撃手法の開発にリソースを投じていることが分かります。

  • lHAYMAKERは、モジュール形式で追加のペイロードをダウンロード・実行可能なバックドアです。これは、被害者の基本的なプロファイリング・アクティビティも遂行し、コンピュータ名、実行プロセスのID、%TEMP%ディレクトリパス、Internet Explorerのバージョンを収集します。システムの初期設定のUser-Agent文字列を使用することで、単一のハードコードされたコマンド&コントロール(C2)サーバーに対し、エンコードされたシステム情報を伝達します。
  • lBUGJUICEは、無害なファイルを立ち上げて、次に検索順序をハイジャックすることで、悪意あるdllを仕込むバックドアです。この悪意あるdllは次に、ライブラリから暗号化されたシェルコードを読み出し、これを復号化して、最終的なBUGJUICEペイロードを実行します。BUGJUICEではTCPが初期設定で、カスタムのバイナリ・プロトコルを使用してC2との通信を行いますが、C2が指示した場合は、HTTPとHTTPsも使用可能です。ファイルの検索、ドライブの列挙、データの密かな抽出、スクリーンショットの撮影、リバースシェルの提供にも対応します。
  • lSNUGRIDEは、HTTPリクエストを通じてC2サーバーと通信するバックドアです。メッセージは、静的鍵によるAESで暗号化されます。このマルウェアは、システムの調査やファイルシステムへのアクセス、コマンドの実行、リバースシェルに対応します。持続性はRunレジストリキーによって維持されます。
  • QUASARRATは、インターネット上で入手可能なオープンソースRATです。APT10が使用する各バージョン(1.3.4.0、2.0.0.0、2.0.0.1)は、GitHubの公開ページでは入手できないことから、APT10は、オープンソース版のさらなるカスタマイズを行っていると示唆されます。AESで暗号化されたQUASARRATペイロードを解読し、立ち上げるため、2.0バージョンにはドロッパーが必要です。QUASARRATは、フル機能の.NETバックドアであり、過去には複数のサイバースパイ集団が使用してきました。

従来型と新規の攻撃手法

このようなAPT10の最近の活動には、従来型のスピア・フィッシング攻撃と、サービス・プロバイダーを経由した、被害者のネットワークへのアクセスの両方が含まれます(サービス・プロバイダー経由での感染に関する詳細は、「M-Trends 2016」(日本語版)をご参照ください)。APT10のスピア・フィッシング攻撃は、あまり高度なものではなく、アーカイブ内の.lnkファイル、二重拡張子のファイル(例:[編集済み]_Group_Meeting_Document_ 20170222_doc_.exe)、そして場合によっては、名前が似ているだけのおとりの文書や、同一アーカイブ内の悪意あるランチャーが悪用されます。

スピア・フィッシング攻撃に加えて、FireEye ISIGHTインテリジェンスでは、APT10がグローバルなサービス・プロバイダー経由で被害者にアクセスするのを観察しています。サービス・プロバイダーは、顧客のネットワークへの重大なアクセス権を持っており、攻撃者はサービス・プロバイダーに不正アクセスすることで、サービス・プロバイダーの顧客のネットワークへの水平展開が可能です。さらに、サービス・プロバイダーの顧客と、サービス・プロバイダーとのWebトラフィックは、顧客側のネットワーク防衛者から無害とみなされる可能性が高く、攻撃者にとっては、データを密かに抽出できる標的です。ファイア・アイが今回観察した注目すべき事例としては、被害者のサービス・プロバイダーに帰属するサーバーを経由し、C2と通信するよう設定された、SOGUバックドアがありました。

APT10のアクターが、被害者側のSOGUインプラントに発行したコマンドは以下の通りです。

  • sc create CorWrTool binPath= "\"C:\Windows\vss\vixDiskMountServer.exe\"" start= auto displayname= "Corel Writing Tools Utility" type= own
  • sc description CorWrTool "Corel Graphics Corporation Applications."
  • ping -a [編集済み]
  • psexec.exe <orghost> d.exe
  • net view /domain:[編集済み]
  • proxyconnect - "port": 3389, "server": "[IPアドレス編集済み]"

こうしたコマンドの中には、被害者のシステム上で一貫性を確立するものもありました。攻撃者は被害者のサービス・プロバイダーが管理するIPへの接続性をテストします。サービス・プロバイダーのIPへの接続が確認されると、攻撃者は、被害者のSOGUバックドアへのプロキシとして、サービス・プロバイダーのIPを確立します。この結果、サービス・プロバイダーのネットワーク上の足がかりを示している可能性の高い、被害者のサービス・プロバイダーを経由してSOGUマルウェアのトラフィックを効果的にルーティングできます。こうした戦術は、悪意あるC2をマスク化し、トラフィックを密かに抽出しつつ、これを無害であるように装うことにも役立ちます。

APT10の影響について
APT10の脅威は、全世界の企業・団体に及びます。APT10がサービス・プロバイダーのネットワークへのアクセスを悪用していることから、悪意ある攻撃者は、対象の企業・団体をあらゆる角度から攻撃しようと試みているが分かります。PwC/BAEのブログ記事で周知されて以降、APT10の活動は鈍化しているように思われます。しかし、彼らは今後、大規模なオペレーションを復活させて、新たな戦術、手法、手順を導入する可能性があるとファイア・アイは考えます。

FireEye ® (ファイア・アイ)について
FireEyeはインテリジェンス主導型のセキュリティ企業です。顧客企業は、FireEyeの革新的セキュリティ技術、国家レベルの脅威インテリジェンス、世界的に著名なMandiant®コンサルティングの知見が統合された単一プラットフォームを、自社のセキュリティ対策の一部としてシームレスに組み込むことができます。このアプローチにより、FireEyeは準備、防御、インシデントレスポンスといった、組織がサイバー攻撃対策をするうえでの課題となっていた複雑性や負担を解消します。FireEyeは「Forbes Global 2000」企業の4割以上を含む、世界67か国以上の5,600を超える組織で利用されています。

FireEyeウェブサイト: https://www.fireeye.jp/ 

                          

【報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局
(ホフマンジャパン株式会社内)
担当: 小倉 / 上田 / 田中
Tel: 03-5159-5750
Email: FireEye_PR@hoffman.com

# # #

FireEyeはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。