APT攻撃グループ

国家レベルのサイバー攻撃者の素性、標的、手口を解説

FireEyeは、世界中のサイバー攻撃者を追跡しています。中でも、特に注視しているのがAPT攻撃(Advanced Persistent Threat: 高度で持続的な脅威)を実行するグループです。

多くのAPT攻撃グループは、強固な基盤を持つ国家組織からの指示と支援を受けて攻撃活動を展開しています。情報窃取、妨害活動、インフラの破壊など、その目的はさまざまですが、多種多様なツールと技法を駆使して執拗に標的を狙うという共通点を備えています。

大半のサイバー攻撃者とは異なり、APT攻撃グループは、目的達成のために長期間(通常は数か月、ときには数年)にわたって活動を行います。組織が実施する対抗策にも容易に適応し、攻撃経路やマルウェア・ペイロードを頻繁に変更します。また、標的とするネットワークへの侵入をブロックされても、繰り返しアクセスを試みるという執拗さを備えています。

組織のシステムでAPTに関連するマルウェアが発見された場合でも、APT攻撃グループに狙われている証拠にはなりません。APTに関連するマルウェアは、他のタイプのサイバー攻撃者にも利用されています。

通常、マルウェアをシステムに感染させた攻撃者の特定には、多くのコンテキスト情報が必要になります。しかしながら、以前のAPT攻撃に関連したマルウェアが発見された場合は、やはり十分に警戒すべきです。

logo-apt35

APT攻撃グループ

APT37 | APT34 | APT33 | APT32 | APT30 | APT29 | APT28 | APT19
APT18 | APT17 | APT16 | APT12 | APT10 | APT5 | APT3 | APT1

APT37

関与が疑われる国家/組織:北朝鮮

標的の業種:主に韓国(加えて日本、ベトナム、中東諸国)の化学、エレクトロニクス、製造、航空宇宙、自動車、医療業界の企業

概要:FireEyeの分析によると、APT37はこのところ攻撃範囲の拡大と攻撃手法の高度化を図っており、ゼロデイ脆弱性やワイパー・マルウェアを利用し始めています。マルウェア開発の特徴、そしてその標的が北朝鮮政府の利害と一致しているという点から、APT37による活動の背後には北朝鮮政府の存在があるとFireEyeは強く確信しています。またFireEye iSIGHTインテリジェンスでは、ScarcruftおよびGroup123として報告されている活動にも、APT37が関係していると考えています。

関連するマルウェア:APT37は、最初の侵入時や外部へのデータ送信に多様なマルウェアを使用しています。スパイ活動を目的にしたカスタム・マルウェアのほか、破壊型のマルウェアも使用しています。

攻撃経路:特定の標的を狙った攻撃ではソーシャル・エンジニアリング手法、標的型のサイバー・スパイ活動では水飲み場攻撃、マルウェアを不特定多数に拡散させる攻撃ではTorrentファイル共有サイトを利用しています。Adobe Flashに加え、ハングル語ワープロ・ソフトウェアHangul Word Processor(HWP)の脆弱性を頻繁に悪用しています。ゼロデイ脆弱性(CVE-2018-0802)の情報を入手し、攻撃活動に利用する能力を備えています。

APT34

関与が疑われる国家/組織:イラン

標的の業種:金融、官公庁、エネルギー、化学、通信など、多様な業種の多様な組織を標的に、主に中東地域で活動を展開

概要:APT34は、長期的なサイバー・スパイ活動を展開していると見られるグループです。イランの国益につながる偵察行為を主な活動としており、遅くとも2014年から活動を続けていると考えられます。使用しているインフラストラクチャにイランとの関連を示す証拠があり、インフラストラクチャはイラン語がベースになっており、標的がイランの利害に関係する組織である点から、同グループの背後にはイラン政府が存在するものとFireEyeでは分析しています。

関連するマルウェア:POWBAT、POWRUNER、BONDUPDATER

攻撃経路:最新の攻撃キャンペーンでは、Microsoft Officeの新たな脆弱性CVE-2017-11882を利用して、POWRUNERとBONDUPDATERに感染させようとしています。

logo-apt34

APT33

関与が疑われる国家/組織:イラン

標的の業種:航空宇宙、エネルギー業界の企業

概要:APT33は、米国、サウジアラビア、韓国に拠点を置く複数の業種の組織を標的としています。同グループは、軍用および民間用の航空機産業と、石油化学製品製造と関係のあるエネルギー産業に特に強い関心を示しています。

関連するマルウェア:SHAPESHIFT、DROPSHOT、TURNEDUP、NANOCORE、NETWIRE、ALFA Shell

攻撃経路:APT33は、航空機産業に従事する人物にスピア・フィッシング・メールを送りつけていました。このメールには、人材採用に関するおとり文書と、不正なHTMLアプリケーション(.hta)ファイルへのリンクが含まれています。.htaファイルには、職務記述書と、著名な求人サイトに掲載された実際の求人票(標的の人物に関係する求人)へのリンクが含まれています。

APT32

別名:OceanLotus Group

関与が疑われる国家/組織:ベトナム

標的の業種:ベトナムの製造、消費者向け製品、コンサルティング、ホスピタリティ分野に投資する外国企業

概要:ベトナムの国益に沿う最近の活動より、同国内での事業、製造、または投資準備を行っている企業にとって、APT32が脅威となっている実態がうかがえます。この活動の具体的な動機は今なお明らかではありませんが、最終的には標的となる組織の競争力が損なわれる可能性があります。

関連するマルウェア:SOUNDBITE、WINDSHIELD、PHOREAL、BEACON、KOMPROGO

攻撃経路:APT32は、ActiveMimeファイルを使用します。ソーシャル・エンジニアリングを駆使して、マクロを有効にするよう標的に促します。実行されると、この初期化ファイルは通常、リモート・サーバーから不正なペイロードを複数ダウンロードします。APT32は、不正なファイルを添付したスピア・フィッシング・メールを送りつけます。Gmail経由で送信されたと思われるメールも確認されています。

APT30

関与が疑われる国家/組織:中国

標的の業種:東南アジア諸国連合(ASEAN)の加盟各国

概要:長期にわたり継続的に活動しているAPT30は、ソースコードを効果的に変更、適応させて、少なくとも2005年より同じツール、戦術、インフラストラクチャを使い続けていることでも知られています。標的への優先順位付けや、協業環境における交代制での作業の可能性、一貫した方針に沿ったマルウェアの作成を示す証拠も見つかっています。また2005年より、クローズド・ネットワークへ侵入する能力も備えています。

関連するマルウェア:SHIPSHAPE、SPACESHIP、FLASHFLOOD

攻撃経路:APT30は、ダウンローダ、バックドア、中央コントローラに加え、リムーバブル・ドライブに感染してクローズド・ネットワークからデータを窃取する複数のコンポーネントを使用しています。またC&Cサーバーと通信を行うために、独自のDNSドメインを頻繁に登録します。

APT29

関与が疑われる国家/組織:ロシア政府

標的の業種:西欧諸国の政府、外交政策担当グループ、およびその類似組織

概要:APT29は、適応性が高く、高度な訓練を受けている攻撃グループです。侵入先ネットワークでの活動を隠蔽し、頻繁ではないものの、正規のトラフィックに見せかけた通信を行います。ポピュラーな正規のWebサービスを利用し、接続もSSLで暗号化するため、検知が一層困難になっています。APT29は、最も進化を遂げ、高い能力を備えている攻撃グループの1つです。新しいバックドアを用いて自らバグの修正や機能の追加を行う以外にも、ネットワーク・セキュリティ担当者の行動を監視し、システムへのアクセスを維持します。C&Cサーバーとの通信には感染サーバーのみを使用します。攻撃からの復旧を妨害するほか、マルウェアの作成も短期間でこなし、検知を回避するためのツールも素早く変更します。

関連するマルウェア:HAMMERTOSS、TDISCOVER、UPLOADER

攻撃経路:APT29は、TwitterやGitHubなどのソーシャル・メディア・サイトやクラウド・ストレージ・サービスを利用して、コマンドを段階的に送信し、侵入先ネットワークからデータを抽出します。同グループは、暗号化されたデータが埋め込まれた画像を介してコマンドを送信します。侵入先ネットワークからのデータ窃取が完了すると、ファイルがクラウド・ストレージ・サービスにアップロードされます。

APT28

別名:Tsar Team

関与が疑われる国家/組織:ロシア政府

標的の業種:ジョージアを中心としたコーカサス地域、東欧諸国の政府および軍隊、北大西洋条約機構(NATO)をはじめとするヨーロッパの安全保障機関、防衛業界の企業

概要:APT28は、防衛・地政学的な問題に関する情報、すなわち政府機関のみが必要とする情報の収集に取り組む、高い技術力を持った開発者および攻撃実行者のグループです。このAPT攻撃グループは、ロシア語設定の開発環境でマルウェアをコンパイルしています。またそのコンパイル時間は、モスクワやサンクトペテルブルクなど、ロシアの主要都市におけるタイムゾーンの標準的な業務時間帯(午前8時から午後6時)に一致しています。この事実より、APT28が、強固な基盤を持つ組織(最も可能性が高いのはロシア政府)から、金銭を含むさまざまな支援を直接的、継続的に受けていると考えられます。

関連するマルウェア:CHOPSTICK、SOURFACE

攻撃経路:APT28が特に多用しているマルウェアには、ダウンローダのSOURFACE、第2段階のバックドアEVILTOSS、そしてFireEyeがCHOPSTICKと名付けたモジュール型のバックドア・ファミリーなどがあります。APT28は、侵入先ネットワークからC&Cサーバーに送信するファイルや情報を保護するために、RSA暗号を使用しています。また2007年以降、SOURFACEダウンローダおよびそのエコシステムに対して段階的に計画的な変更を加えており、この点からも、長期にわたって活動する専門の開発者グループが背後に存在すると推測されます。

APT19

別名:Codoso Team

関与が疑われる国家/組織:中国

標的の業種:法務、投資業界の企業

概要:個人の技術者で構成されると思われるグループで、中国政府からある程度の支援を受けていると考えられます。

関連するマルウェア:BEACON、COBALTSTRIKE

攻撃経路:2017年、APT19は、3種類の手口で標的組織の侵害を試みました。5月初旬、Microsoft Windowsの脆弱性CVE 2017-0199を悪用するRTF文書をフィッシング・メールで送りつけた後、5月末にかけては、Microsoft Excelのマクロ有効ブック(XLSM)をおとり文書に使い始めました。このXLSM文書の最新版では、アプリケーション・ホワイトリストをバイパスする機能が追加されています。また、Cobalt Strikeペイロードを送り込むおとり文書が1件確認されています。

World political

APT18

別名:Wekby

関与が疑われる国家/組織:中国

標的の業種:航空宇宙/防衛、建設/エンジニアリング、教育、医療/バイオテクノロジー、ハイテク、通信、運輸業界の企業

概要:このグループについての情報は、ほとんど公開されていません。

関連するマルウェア:Gh0st RAT

攻撃経路:ゼロデイ・エクスプロイトを高頻度で開発、改変して攻撃活動に利用します。エクスプロイトの開発は、計画的に行われていると推測されます。Hacking Teamから流出した情報を利用している事実から、同グループは、標的の選定、インフラストラクチャの準備、メッセージの作成、ツールの更新などのためのリソースを臨機応変に転用して、エクスプロイトの流出といった不意の機会をうまく利用していると考えられます。

APT17

別名:Tailgator Team、Deputy Dog

関与が疑われる国家/組織:中国

標的の業種:米国の官公庁、国際的な法律事務所、IT企業

概要:標的組織のネットワークに対して侵入活動を実施します。

関連するマルウェア:BLACKCOFFEE

攻撃経路:この攻撃グループは、プロフィールを作成してオンライン・フォーラムに投稿するという形で、C&Cサーバーの情報をフォーラムに書き込みます。この情報はエンコードされており、同グループのマルウェアはこの情報に基づいてC&Cサーバーと通信します。このため、セキュリティ技術者がC&Cサーバーの実際の場所を特定するのは難しく、結果としてC&Cサーバーは長期にわたって稼働可能となります。

APT16

関与が疑われる国家/組織:中国

標的の業種:日本および台湾のハイテク、行政サービス、メディア、金融業界の組織

概要:台湾の政治問題、報道問題を懸念する中国のグループです。

関連するマルウェア:IRONHALO、ELMER

攻撃経路:台湾のメディアやWebメールのアドレス宛にスピア・フィッシング・メールを送りつけています。おとり文書には、台湾のオークション・サイトに登録して商品を出品するように記載されています。

World political

APT12

別名:Calc Team

関与が疑われる国家/組織:中国

標的の業種:ジャーナリスト、官公庁、防衛関連組織

概要:APT12は、中国人民解放軍とつながりのあるサイバー・スパイ・グループであると考えられています。同グループの標的は中国の国家目標と整合しており、その侵入活動や攻撃キャンペーンは同国の国益および台湾における自己利益と合致しています。

関連するマルウェア:RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT

攻撃経路:APT12は、侵害した正規のメール・アカウントからフィッシング・メールを送信し、エクスプロイト文書を送りつけていたことが確認されています。過去の活動傾向から、同グループは今後も、マルウェアの送付手段としてフィッシング・メールを使用し続けるものとFireEyeでは考えています。

APT10

別名:Menupass Team

関与が疑われる国家/組織:中国

標的の業種:米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁

概要:APT10は、FireEyeが2009年から追跡している中国のサイバー・スパイ・グループです。これまでに、米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁を攻撃しています。これらの業種を標的にした同グループの活動は、中国の国家安全保障上の目的達成(重要な軍事情報や秘密情報の入手、中国企業にとって有益なビジネス上の機密情報の窃取など)を支援するために実施されていると、FireEyeでは考えています。

関連するマルウェア:HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT

攻撃経路:APT10の最近の活動では、典型的なスピア・フィッシングと、マネージド・サービス・プロバイダー経由での標的組織への侵入という2種類の手口が用いられています (サービス・プロバイダー経由の侵入の詳細については、M-Trends 2016レポートを参照)。同グループによるスピア・フィッシングは、あまり洗練されておらず、アーカイブ・ファイルに.lnkファイルを圧縮する、ファイルに二重拡張子を付ける(例: [Redacted]_Group_Meeting_Document_20170222_doc_.exe)、あるいは、1つのアーカイブ・ファイルに同じ名前のおとり文書と不正なランチャーを圧縮する、などの手法が用いられています。また、FireEye iSIGHT Intelligenceでは、APT10がグローバルなサービス・プロバイダー経由で標的組織に侵入していることも確認しています。

World political

APT5

関与が疑われる国家/組織:未公表

標的の業種:地域的な通信事業者、国際的な通信事業者のアジア勤務の社員、テクノロジー企業、ハイテク製造企業、軍事応用技術企業

概要:APT5は、遅くとも2007年から活動しています。同グループは、複数の業種の組織を標的に侵害活動を展開していますが、主な標的は、通信事業者やテクノロジー企業が持つ情報、特に衛星通信に関する情報であると推測されます。

関連するマルウェア:LEOUNCIA

攻撃経路:APT5は、複数の下位グループで構成される大規模な攻撃グループと見られ、多様な戦術やインフラストラクチャを利用しています。キーロガー機能を備えたマルウェアを使用して、主に通信事業者のネットワークや社員、経営幹部を狙います。

APT3

別名:UPS Team

関与が疑われる国家/組織:中国

標的の業種:航空宇宙/防衛、建設/エンジニアリング、ハイテク、通信、運輸業界の企業

概要:中国を拠点とする APT3は、FireEye Threat Intelligenceが追跡する中でも特に高度なグループで、ブラウザベースのゼロデイ・エクスプロイトを使用した攻撃活動を複数回実施しています(Internet Explorer、Firefox、Adobe Flash Playerを攻撃)。同グループは、標的ホストの侵害に成功した後、素早く認証情報をダンプしてネットワーク内の別のホストに移動し、独自のバックドアをインストールします。APT3は、攻撃キャンペーンごとにC&Cインフラストラクチャを大きく変更するため、インフラストラクチャの追跡は困難です。

関連するマルウェア:SHOTPUT、COOKIECUTTER、SOGU

攻撃経路:APT3が使用するフィッシング・メールの多くは汎用的な内容であり、ほとんどスパム・メールと変わりありません。攻撃では、Adobe Flash PlayerによるFlash動画(FLV)ファイルの解析方法に存在するパッチ未公開の脆弱性を悪用しています。この脆弱性を悪用するエクスプロイトでは、一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)を回避し、リターン指向プログラミング(ROP)を用いてデータ実行防止(DEP)を回避します。APT3は、ROP手法に巧妙な細工を施すことで脆弱性の悪用を容易にし、ROPの検知手法を回避しやすくしています。シェルコードは、パックされたAdobe Flash Playerのエクスプロイト・ファイルに復号鍵とともに含まれており、ペイロードは、XORエンコードされた上で画像内に埋め込まれています。

APT1

別名:Unit 61398、Comment Crew

関与が疑われる国家/組織:中国人民解放軍(PLA)の総参謀部(GSD)第三部第二局。一般的には61398部隊という部隊番号(MUCD)で知られる

標的の業種:情報技術、航空宇宙、行政、衛星/通信、科学研究/科学顧問、エネルギー、運輸、建設/製造、エンジニアリング関連サービス、ハイテク/エレクトロニクス、国際組織、法務、メディア、広告/エンターテインメント、航海、化学、金融、食品/農業、医療、金属/鉱業、教育業界の組織

概要:APT1は、少なくとも141の組織から数百テラバイトのデータを計画的に窃取しており、数十の組織を同時に攻撃する能力と意思があることを示しています。同グループは、英語圏のさまざまな業種の組織を主な標的にしています。インフラストラクチャの規模から判断して、少なくとも数十人、場合によっては数百人の人員を擁する大規模組織である可能性があります。

関連するマルウェア:TROJAN.ECLTYS、BACKDOOR.BARKIOFORK、BACKDOOR.WAKEMINAP、TROJAN.DOWNBOT、BACKDOOR.DALBOT、BACKDOOR.REVIRD、TROJAN.BADNAME、BACKDOOR.WUALESS

攻撃経路:APT1がネットワーク内部への侵入に最も多用する手口は、スピア・フィッシングです。スピア・フィッシング・メールには、不正なファイルが添付されているか、不正なファイルへのリンクが記載されています。多くの場合、件名と本文は、受信者と関係のある内容に工夫されています。また、APT1が使用するWebメールのアカウントには、実在の人物の名前が使われています。APT1は、Poison IvyやGh0st RATなど、一般に入手可能なバックドアを使用することもありますが、大半のケースでは、グループの独自開発と思われるバックドアを使用しています。同グループは、場合によっては数年にも及ぶネットワーク滞在期間中、ネットワーク内の複数のシステムに侵入しながら新しいバックドアをインストールしていきます。つまり、1つのバックドアが検知、削除されても、別のバックドアを使って活動を継続できるようにしているのです。APT1が数週間以上滞在しているネットワークでは、通常、同グループのバックドアがネットワーク中で複数種類発見されます。

結論

いずれも有益な情報であるとはいえ、このページを読んだだけでは、情報収集活動や疑わしいサイバー攻撃について詳細に理解したことにはなりません。

FireEyeはこの10年にわたり、年間10万時間以上を世界最大規模で深刻なセキュリティ侵害への対応に費やしてきました。このような豊富なインシデント対応活動から得られた知見や、世界6か所に設けられたセキュリティ・オペレーション・センター(SOC)で収集されたデータは整理され、セキュリティ・エコシステムに取り込まれます。この自己学習・共生型のエコシステムには1,100万台を超えるセンサーが組み込まれており、情報は60分おきに更新されます。

FireEyeの専門家は、このエコシステムのサポートを受けながら、成長を続ける30以上の高度な攻撃グループと300以上の高度なマルウェア・ファミリーを追跡しています。また、10を超える国家レベルの攻撃グループの支援者や40種以上の標的となる業種のプロファイル情報も確保しており、世界中のセキュリティ脅威の財政・政治的側面を追跡、解析しています。検証済みの脅威に関連するリスクに加え、その脅威がどのように環境に侵入して拡散したか、どのように対処できるか、あるいは対処すべきか判断することができます。このような洞察に基づいて、お客様組織が重要で高度な脅威の優先度を素早く判断し、効果的に対応する上で役立つコンテキスト情報が生成されます。

さらに詳しく: 脅威情報レポート