Attacks by Prolific APT41 Tied to Chinese Government
2021/10/06 SecurityBoulevard — BlackBerry Research and Intelligence Unit の新たな調査により、中国の国家機関である APT41 は、これまで知られていたよりも多くのサイバー攻撃キャンペーンの背後にいることが分かった。研究者たちは、FireEye が以前に記録した、カスタマイズ可能な command-and-contro (C2) プロファイルを使用した、Cobalt Strike の活動の詳細に触発され、関連するマルウェア・キャンペーンを追跡した。そして、これまで気づかなかった攻撃間のつながりを発見し、パンデミックに対する人々の不安を利用した、キャンペーンの実態が明らかになった。
BlackBerry の研究者たちは、「これらのユニークな側面を取り上げ、デジタルの痕跡をたどることで、APT41 の追加インフラと思われるものを発見できた。重複する Indicators of Compromise (IoCs) が、Positive Technologies と Prevailion が、個別に Higaisa と Winnti と名付けた、2つのキャンペーンの痕跡とリンクしていた。つまり、APT41 の新旧バックドアと The Gh0st Remains は同一だったのだ。
研究者たちは、この脅威がユーザーのマシンに侵入すると、独自にカスタマイズしたプロファイルを使用してネットワーク・トラフィックを隠すことで、デジタルの森の中に溶け込んでいくと述べている。
APT41 の潜在的な活動範囲は極めて広いため、このグループの活動を効果的に追跡するには、セキュリティ企業の協力が不可欠だ。BlackBerry の研究者たちは、「国家レベルの脅威グループのリソースを利用すれば、彼らのインフラに実に驚異的なレベルの多様性を持たせることが可能だ。そして、それぞれのセキュリティ・グループが同じレベルの予算を持っているわけではないが、総合的な頭脳を結集することで、関係するサイバー犯罪者が懸命に隠そうとした痕跡を、明らかにできる」と述べている。
Digital Shadows のシニアサイバー脅威情報アナリストであるSean Nikkel氏は、APT 41の活動について、「様々な犯罪者や国家の脅威主体が、攻撃方法として Cobalt Strike を採用し続けているという、最近の継続的な傾向を示している」と述べています。「このように広く利用されている場合、ツールのみに基づいて帰属を判断することは難しく、今回の調査では、侵害の指標が捜査においていかに重要であるかを示しています」と述べています。
Lookout の Senior Cyber Threat Intel Analyst である Kristina Balaam は、「このグループは、大規模なキャンペーンをクロス・プラットフォームで展開する、多作な脅威アクターである。BlackBerry のレポートで議論されているように、C2 インフラへのネットワーク・トラフィックを偽装しようとしていることも確認されている。Android マルウェア・キャンペーンで確認された APT41 のインフラの多くは、マルウェアの C2 機能を管理するだけでなく、悪意のEXE/PDF ファイルをホストしている」と述べている。
Lookout は、APT41 によるモバイル・ユーザーに対する攻撃において、BlackBerry が提供しているエクスプロイトが悪用されていることも確認している。Balaam は、「APT41が独自に開発したツールの多くは、既知のルート化ツールやエクスプロイトを利用して、特権を拡大し、端末上の機密情報にアクセスするためのものである」と指摘している。
このグループのターゲットの中には、インド政府を装った、税法に関するメッセージに誘われたインドの被害者も含まれている。
研究者たちは、「これらのルアーは、被害者のネットワーク上で Cobalt Strike Beacon をロード/実行することを目的とした実行チェーンの一部である。また、これらのフィッシング・ルアーや添付ファイルは、APT41 が以前に感染ベクターとして使用していた手法に合致している。これらの発見が示すのは、現在も APT41 グループが定期的に新しいキャンペーンを行っていることであり、また、今後も継続して行われる可能性が高いと考えられる」と述べている。
Nikkel は、「APT41 がソーシャル・エンジニアリングとマルウェア配信において、試行錯誤された戦術を依然として使用しているように見えること”に説得力を感じる。兵器化された文書や隠された Powershell スクリプトは新しいものではないが、このグループが、それらを使い続けているという事実は、その戦術が依然として有効であることを示している」と述べている。
かれは、「防御者は、ネットワーク・トラフィックの中に、Microsoft などのプロバイダーや、クラウドのドメインに成りすましたものなどの、信頼を悪用した奇妙/不審なドメインの有無を確認する必要がある」と述べている。
最近の中国系 APT に関する記事としては、「中国ハッキング・グループの Rootkit は Windows 10 をターゲットにスパイ活動を行う」と、「Microsoft 警告:中国ハッカーが関与する SolarWinds Serv-U SSH ゼロデイ攻撃」が印象に残っています。どちらの記事も、難読化や検出回避機能を高め、スティルス性を増していると指摘しています。いわゆる、ロシア系のランサムウェアと異なり、身代金要求などで存在を明らかにすることのない中国系マルウェアが不気味ですね。
IoT OT Security News 