APT攻撃グループ

国家レベルのサイバー攻撃者の素性、標的、手口を解説

FireEyeは、世界中のサイバー攻撃者を追跡しています。中でも、特に注視しているのがAPT攻撃(Advanced Persistent Threat: 高度で持続的な脅威)を実行するグループです。

多くのAPT攻撃グループは、強固な基盤を持つ国家組織からの指示と支援を受けて攻撃活動を展開しています。情報窃取、妨害活動、インフラの破壊など、その目的はさまざまですが、多種多様なツールと技法を駆使して執拗に標的を狙うという共通点を備えています。

大半のサイバー攻撃者とは異なり、APT攻撃グループは、目的達成のために長期間(通常は数か月、ときには数年)にわたって活動を行います。組織が実施する対抗策にも容易に適応し、攻撃経路やマルウェア・ペイロードを頻繁に変更します。また、標的とするネットワークへの侵入をブロックされても、繰り返しアクセスを試みるという執拗さを備えています。

組織のシステムでAPTに関連するマルウェアが発見された場合でも、APT攻撃グループに狙われている証拠にはなりません。APTに関連するマルウェアは、他のタイプのサイバー攻撃者にも利用されています。

通常、マルウェアをシステムに感染させた攻撃者の特定には、多くのコンテキスト情報が必要になります。しかしながら、以前のAPT攻撃に関連したマルウェアが発見された場合は、やはり十分に警戒すべきです。

このページでは、特にアクティブな10のAPT攻撃グループを取り上げます。いずれも、今日のセキュリティ脅威トレンドにおいて活発な活動を続けています。

Blog

APT32: New Cyber Espionage Group

APT攻撃グループ

APT32 | APT30 | APT29 | APT28 | APT18 | APT17 | APT12 | APT5 | APT3 | APT1

APT32

別名:  OceanLotus Group

最初に確認された年:2014年

攻撃グループ:ベトナム政府(疑い)

標的:ベトナムの製造、消費者向け製品、コンサルティング、ホスピタリティ分野に投資する外国企業

目的:  ベトナムで事業を展開するグローバル企業に対する優位性の確保

概要:  ベトナムの国益に沿う最近の活動より、同国内での事業、製造、または投資準備を行っている企業にとって、APT32が脅威となっている実態が伺えます。この活動の具体的な動機は今なお明らかではありませんが、最終的には標的となる組織の競争力が損なわれる可能性があります。

このような活動は、民間セクターのみならず、世界中の市民社会や公共セクターにとっても脅威となっています。各国の政府やジャーナリスト、ベトナム出身の難民も狙われる可能性があります。 軍事・防衛産業での被害はまだ確認されていませんが、これらの分野にもいずれはAPT32の手が伸びると予測されます。 

関連するマルウェア:  SOUNDBITE、WINDSHIELD、PHOREAL、BEACON、KOMPROGO 

典型的な攻撃手法:  APT32攻撃グループは、ActiveMimeファイルを使用します。ソーシャル・エンジニアリングを駆使して、マクロを有効にするよう標的に促します。実行されると、この初期化ファイルは通常、リモート・サーバーから不正なペイロードを複数ダウンロードします。攻撃グループは、不正なファイルを添付したスピア・フィッシング・メールを送りつけます。Gmail経由で送信されたと思われるメールも確認されています。 

APT32攻撃グループは、不正なマクロを含み、特定の標的に合わせてカスタマイズされた多言語のおとりファイルを用意します。ファイルは、Word文書を単一ファイルのWebページにエクスポートして作成されます。 拡張子は「.doc」ですが、実際はテキストや画像、マクロを含むActiveMimeの「.mht」形式のWebページのアーカイブです。 

 

APT30

最初に確認された年:2004年

攻撃グループ:中国共産党、中国人民解放軍

標的:東南アジア諸国連合(ASEAN)の加盟各国

目的:政府によるスパイ活動の対象地域の政治、経済、軍事に関する機密情報の窃取

概要:長期にわたり継続的に活動しているAPT30は、ソースコードを効果的に変更、適応させて、少なくとも2005年より同じツール、戦術、インフラストラクチャを使い続けていることでも知られています。標的への優先順位付けや、協業環境における交代制での作業の可能性、一貫した方針に沿ったマルウェアの作成を示す証拠も見つかっています。また2005年より、クローズド・ネットワークへ侵入する能力も備えています。以上の特徴から、APT30は中国政府より金銭を含むさまざまな支援を受けている攻撃グループである可能性がきわめて高いと考えられます。

関連するマルウェア:Backspace、Neteagle、Shipshape、Spaceship、Flashflood、その他ドロッパー、ダウンローダ、バックドアなど多数

典型的な攻撃手法:APT30は、ダウンローダ、バックドア、中央コントローラに加え、リムーバブル・ドライブに感染してクローズド・ネットワークからデータを窃取する複数のコンポーネントを使用しています。また指令(C&C)サーバーと通信を行うために、独自のDNSドメインを頻繁に登録します。

APT30が利用するほとんどのマルウェアは、バージョンコントロールやMUTEXとイベントを使用するという共通の方法で実行を管理し、同じマルウェアの複数のインスタンスが同時に実行されないようにしています。これはおそらく、できる限り検知を回避することが目的と考えられます。APT30が使用するバックドアの多くは2段階構成のC&Cプロセスを採用しており、感染ホストはまず第1段階用のC&Cサーバーに接続してから、メインのコントローラに接続するかどうかを判断します。攻撃のオペレータはコントローラのGUIを使用して、ホストに優先度を設定する、ホストにメモを付ける、特定のホストがオンラインに接続した時点で通知するよう設定する、などの操作を行うことが可能です。またこのGUIには、現在の「担当者」を判別するためのログイン・ダイアログ・ボックスも用意されています(ただし、このダイアログ・ボックスは実際には使用されていません)。

APT29

最初に確認された年:2014年

攻撃グループ:ロシア政府(疑い)

標的:西欧諸国の政府、外交政策担当グループ、およびロシアにとって有益な情報を保有しているその他の組織(報告あり)

目的:未公表

概要:APT29は、適応性が高く、高度な訓練を受けている攻撃グループです。侵入先ネットワークでの活動を隠蔽し、頻繁ではないものの、正規のトラフィックに見せかけた通信を行います。ポピュラーな正規のWebサービスを利用し、接続もSSLで暗号化するため、検知が一層困難になっています。APT29は、最も進化を遂げ、高い能力を備えている攻撃グループの1つです。新しいバックドアを用いて自らバグの修正や機能の追加を行う以外にも、ネットワーク・セキュリティ担当者の行動を監視し、システムへのアクセスを維持します。C&Cサーバーとの通信には感染サーバーのみを使用します。攻撃からの復旧を妨害するほか、マルウェアの作成も短期間でこなし、検知を回避するためのツールも素早く変更します。

関連するマルウェア:Hammertoss、Uploader、tDiscoverer

典型的な攻撃手法:APT29は、TwitterやGitHubなどのソーシャル・メディア・サイトやクラウド・ストレージ・サービスを利用して、コマンドを送信し、侵入先ネットワークからデータを抽出します。同グループは、暗号化されたデータが埋め込まれた画像を介してコマンドを送信します。侵入先ネットワークからのデータ窃取が完了すると、ファイルがクラウド・ストレージ・サービスにアップロードされます。

APT28

別名:Sofacy Group

最初に確認された年:2007年

攻撃グループ:ロシア政府

標的:ジョージアを中心としたコーカサス地域、東欧諸国の政府および軍隊、北大西洋条約機構(NATO)をはじめとするヨーロッパの安全保障機関、防衛業界の企業

目的:政府や軍隊、安全保障機関に関する内部情報の窃取

概要:APT28は、防衛・地政学的な問題に関する情報、すなわち政府機関のみが必要とする情報の収集に取り組む、高い技術力を持った開発者および攻撃実行者のグループです。このAPT攻撃グループは、ロシア語設定の開発環境でマルウェアをコンパイルしています。またそのコンパイル時間は、モスクワやサンクトペテルブルクなど、ロシアの主要都市におけるタイムゾーンの標準的な業務時間帯(午前8時から午後6時)に一致しています。この事実より、APT28が、強固な基盤を持つ組織(最も可能性が高いのはロシア政府)から、金銭を含むさまざまな支援を直接的、継続的に受けていると考えられます。

関連するマルウェア:Chopstick、Sourface

典型的な攻撃手法:APT28が特に多用しているマルウェアには、ダウンローダの「Sourface」、第2段階のバックドア「Eviltoss」、そしてFireEyeが「Chopstick」と名付けたモジュール型のバックドア・ファミリーなどがあります。APT28は、侵入先ネットワークからC&Cサーバーに送信するファイルや情報を保護するために、RSA暗号を使用しています。また2007年以降、Sourfaceダウンローダおよびそのエコシステムに対して段階的に計画的な変更を加えており、この点からも、長期にわたって活動する専門の開発者グループが背後に存在すると推測されます。

APT18

別名:Dynamite Panda、Wekby、TG-0416

最初に確認された年:2010年

攻撃グループ:中華人民共和国(疑い)

標的:航空宇宙、防衛、エンジニアリング業界、さらに最近ではヘルスケア、製薬、医療機器業界の企業

目的:テクノロジーやプロセス、専門知識に関する知的財産(IP)の窃取

概要:APT18は、米国第2位の病院チェーン「Community Health Systems(CHS)」が患者450万人分のデータを窃取された大規模なデータ侵害の実行グループでした。しかし、APT18に関する情報はほとんど公開されていません。

関連するマルウェア:Gh0st(リモート・アクセス型トロイの木馬(RAT))

典型的な攻撃手法:APT18攻撃グループは、CHSネットワーク内の仮想プライベート・ネットワーク(VPN)サーバーに存在する脆弱性「Heartbleed」を悪用し、大量のメッセージをサーバーに送って目的のデータを窃取しました。   

APT17

別名:DeputyDog

最初に確認された年:2013年

攻撃グループ:中国共産党、中国人民解放軍

標的:米国の政府機関、防衛業界、法律事務所、IT企業、鉱業会社、非政府機関

目的:軍事情報の窃取

概要:そのリソースとスキルに対する自信の表れか、APT17では、攻撃を目立たないように隠す目的で公共のWebサイトの利用が増えています。不正なソフトウェアはコンピュータのメモリに直接読み込まれ、ハードディスクへの書き込みが行われません。そのため、従来型のフォレンジック技術やスキャン技術を採用している企業にとっては、感染したコンピュータの特定がさらに難しくなります。

APT17は、攻撃の第1段階で「Blackcoffee」というマルウェアを使用します。Blackcoffeeは、ファイルのアップロード/ダウンロード、リバースシェルの作成、ファイル/プロセスの列挙、ファイルの名前変更/移動/削除、プロセスの終了、新しいバックドア・コマンドの追加による機能性拡大などの機能を備えています。

関連するマルウェア:Blackcoffee

典型的な攻撃手法:APT17は、Microsoft TechNetの正規のプロフィール・ページとフォーラムのスレッドに、Blackcoffee用のエンコードされたC&CサーバーのIPアドレスを埋め込みます。IPアドレスをエンコードするため、C&Cサーバーの本当の所在地を突き止めるのは一層困難になります。Blackcoffeeの亜種を使用して、C&Cサーバーとの通信をWeb検索エンジンへの照会に偽装し、不正な通信を通常のWebトラフィックに見せかけたこともあります。

APT12

別名:Ixeshe、DynCalc、DNSCalc、「Darwin’s favorite APT group」

最初に確認された年:2012年

攻撃グループ:中華人民共和国、中国人民解放軍

標的:欧米のジャーナリスト、米国の軍事関連企業、台湾および日本政府、日本のテクノロジー企業(主に衛星/暗号技術分野)

目的:中国の指導者層の世評に影響を及ぼす可能性のあるメディア報道の常時監視、および米国、日本、台湾の軍事技術関連企業を対象とした情報収集

概要:中国国外で活動する他の多くのグループをしのぐ秘匿性と際だって高い技術力を誇るAPT12は、米国や環太平洋地域のジャーナリストや軍事関連企業を主な標的としています。中国政府や軍隊にとって有益な情報の収集に特化したグループで、自身に関する報道を注視し、その内容に応じてツールや手口を変更します。

関連するマルウェア:Riptide、Hightide、Threebyte、Waterspout

典型的な攻撃手法:多くの場合、APT12はスピア・フィッシング攻撃を仕掛けて拡散を試みます。不正なリンクや添付ファイルを含むEメールを標的組織の社員に送りつけ、社員がリンクやファイルを開くと、RIPTIDEなどの複数のバックドアを設置します。

RIPTIDEは、ハードコードされた特定のC&CサーバーとHTTP経由で通信するプロキシ対応のバックドアです。C&Cサーバーとの最初の通信でRC4暗号鍵を取得し、以降の通信をすべて暗号化します。その後は、カスタムのソフトウェアやリモート・アクセス・ツールをインストールして、目的のデータを見つけ、窃取するのが典型的な手口です。

APT5

最初に確認された年:2005年

攻撃グループ:未公表

標的:通信/テクノロジー企業(主に東南アジア)、ハイテク製造企業、軍事応用技術

目的:Eメール、調達に関する入札情報/提案書、無人航空機(UAV)に関する文書、商標や特許で保護された製品の仕様書の窃取

概要:APT5は、複数の小集団が構成する大規模な攻撃グループとみなされています。主に東南アジアに拠点を置く(衛星)通信/テクノロジー業界の企業を標的とする傾向があります。価格データや契約交渉、目録、製品展開に関するデータなどを窃取します。

関連するマルウェア:Leouncia

典型的な攻撃手法:APT5は多くの場合、キーロガー機能を備えたマルウェアを使用して、通信企業のネットワークや社員、経営幹部を主に狙います。

APT3

別名:UPS

最初に確認された年:2014年

攻撃グループ:未公表(中国が拠点)

標的:エネルギー、航空宇宙/防衛、建設/エンジニアリング、ハイテク、通信、運輸業界の企業

目的:未公表

概要:APT3は、ゼロデイ脆弱性を悪用したフィッシング攻撃キャンペーンを、不定期ながら幅広く展開しています。最近では既知の脆弱性やソーシャル・エンジニアリングが利用され、攻撃の頻度も高まっている傾向から、戦略変更の可能性が示唆されています。これはおそらく、さらなるゼロデイ脆弱性の利用が困難であるためと考えられます。それでもAPT3は、「Operation Clandestine Fox」と呼ばれる大規模な攻撃キャンペーンの背後に潜む主要な攻撃グループとして認知されています。

関連するマルウェア:Shotput、CookieCutter、PlugX/Sogu

典型的な攻撃手法:APT3は、圧縮された実行可能ファイルが添付されたスピア・フィッシング・メールを送信する手口が定番です。脆弱性CVE-2014-6332 と CVE-2014-4113を悪用します。

APT1

別名:Comment Crew、Comment Group

最初に確認された年:2006年

攻撃グループ:中国共産党、中国人民解放軍61398部隊

標的:英語圏のさまざまな業種の企業

目的:技術設計図、独自の製造工程、テスト結果、ビジネス・プラン、価格に関する文書、パートナーシップ契約、Eメール、連絡先リストなど、多様なIPの窃取

概要:APT1は、主要20業種にわたる141以上の組織から数百テラバイト分のデータを計画的に窃取していました。その主な標的は、中国が同国の5か年計画において戦略上重要と特定している業種です。ひとたびネットワーク・アクセスの手段を確保すると、数か月、場合によっては数年にわたって、そのネットワークに繰り返しアクセスします。

関連するマルウェア:Trojan Ecltys、Backdoor.Barkiofork、Backdoor. Wakeminap、Trojan.Downbot、Backdoor.Dalbot、Backdoor.Revird、Trojan.Badname、Backdoor.Wualess

典型的な攻撃手法:APT1は、スピア・フィッシング攻撃やバックドアを仕掛けて足がかりを築き、ネット上で公開されている利用可能なツールを使用して権限変更を試みます。組み込みのオペレーティング・システム・コマンドを使用し、侵入先システムとそのネットワーク環境を捜索します。目的に沿うファイルを探し当てた後にアーカイブを作成し、FTP(File Transfer Protocol)経由で中国に送り返します。

結論

いずれも有益な情報であるとはいえ、このページを読んだだけでは、情報収集活動や疑わしいサイバー攻撃について詳細に理解したことにはなりません。

FireEyeはこの10年にわたり、年間10万時間以上を世界最大規模で深刻なセキュリティ侵害への対応に費やしてきました。このような豊富なインシデント対応活動から得られた知見や、世界6か所に設けられたセキュリティ・オペレーション・センター(SOC)で収集されたデータは整理され、セキュリティ・エコシステムに取り込まれます。この自己学習・共生型のエコシステムには1,100万台を超えるセンサーが組み込まれており、情報は60分おきに更新されます。

FireEyeの専門家は、このエコシステムのサポートを受けながら、成長を続ける30以上の高度な攻撃グループと300以上の高度なマルウェア・ファミリーを追跡しています。また、10を超える国家レベルの攻撃グループの支援者や40種以上の標的となる業種のプロファイル情報も確保しており、世界中のセキュリティ脅威の財政・政治的側面を追跡、解析しています。検証済みの脅威に関連するリスクに加え、その脅威がどのように環境に侵入して拡散したか、どのように対処できるか、あるいは対処すべきか判断することができます。このような洞察に基づいて、お客様組織が重要で高度な脅威の優先度を素早く判断し、効果的に対応する上で役立つコンテキスト情報が生成されます。

関連リソース: 脅威情報レポート