サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術
ESET の最新の 2024 年 4 月から 9 月までの APT 活動レポートでは、国家主導の APT (Advanced Persistent Threat) グループの戦術、ターゲット、地理的範囲の進化に関する新たな洞察が提供されています。
レポートでは、政府から教育までの分野を標的とした高度な攻撃の急増が記録されており、APTグループのサイバー攻撃や不正アクセスには VPN、クラウド サービス、標的型攻撃、フィッシングの活用がますます増加している事を指摘しています。
中国関連APTグループの活動と戦術
中国関連のAPTグループは、SoftEther VPNを駆使してネットワークへの持続的なアクセスを確保し、監視を回避しています。代表的なグループには、Flax TyphoonやWebwormがあり、EUやアフリカの通信業者などをターゲットにしています。
また、MirrorFaceは従来の日本のターゲットからヨーロッパの外交機関にも攻撃を拡大しており、2025年の大阪万博に関連したフィッシングメールを使用しています。さらに、CloudSorcererは2022年から活動を継続し、ロシアや南米の個人にも攻撃を仕掛けています。これらのグループは、VPNやフィッシングメールを駆使し、特定地域や組織に持続的な攻撃を展開し、政治的影響力の拡大を図っています。
SoftEther VPNの活用と目的
中国関連のAPTグループは、SoftEther VPNの使用を増やしています。SoftEther VPNはオープンソースでマルチプラットフォーム対応のVPNソフトウェアであり、HTTPSトンネルを使ってファイアウォールを回避しつつ、合法的なトラフィックに紛れることができます。
これにより、監視を回避し、被害者ネットワークへのアクセスを維持することが容易になります。
たとえば、Webwormは従来のバックドア(Trochilus RATなど)に代わり、EU諸国の政府機関のネットワークでSoftEther VPN Bridgeを使用しています。このBridgeを利用することで、攻撃者のインフラと被害者のローカルネットワーク間で直接的な通信が確立され、外部ルーターやファイアウォールのポートフィルタリングを回避してリソースにアクセスできるようになります。
他の中国関連APTグループもSoftEther VPNを積極的に使用しています。たとえば、GALLIUMはアフリカの通信オペレーターに対して、SoftEther VPNサーバーを配備してアクセス維持を試みています。また、Flax TyphoonはSoftEther Bridgeを活用し、ソフトウェアサーバーのインフラを維持する形でVPN接続を展開しています。
MirrorFaceの活動範囲拡大
中国の脅威アクターMirrorFace(別名Earth Kasha)は、従来から日本の政府機関や政治団体を標的にしてきましたが、2024年の夏には、ヨーロッパの外交組織を新たなターゲットとしました。
この攻撃において、MirrorFaceは2025年に大阪で開催される万博の話題を利用して、日本関連の国際的イベントに関心を引かせました。今回の攻撃は、MirrorFaceが地域を超えたターゲットに関心を持っていることを示すものであり、日本以外のターゲットへの拡張が示唆されています。攻撃手法としては、OneDrive上にホストされたZIPファイル(「The EXPO Exhibition in Japan in 2025.zip」)を含むフィッシングメールを送信し、ZIP内のLNKファイルを開かせることで、ANELバックドアのインストールを試みました。
このバックドアは2018年後半から2019年初頭までに使用が中止されたと考えられていましたが、最近になって復活し、MirrorFaceが再び採用しています。さらに、この攻撃から1日後にはHiddenFace(別名NOOPDOOR)という主要なバックドアも投入され、MirrorFaceの攻撃の主力ツールとして機能しています。
CloudSorcererの活動履歴
CloudSorcererは、中国関連のAPTグループで、少なくとも2022年初頭から活動しているとされています。このグループは、主にロシア政府機関をターゲットにした攻撃を行っており、最新の報告によれば、南米エクアドルの個人を標的にしたフィッシングキャンペーンも実施しています。
ESETの分析により、このグループが使用するデコイPDFドキュメントが確認されており、その手法は他のAPTグループと類似しています。
CloudSorcererは、特定の地域や団体に対しても継続的に攻撃を仕掛けていることが明らかになっており、世界中のターゲットに対する脅威として存在しています。
北朝鮮関連APTグループの活動と戦術
北朝鮮関連のAPTグループは、サイバー攻撃の持続性と巧妙さを増しています。代表的なグループにはLazarus、Kimsuky、ScarCruftがあり、金融や防衛、暗号通貨関連の企業や研究機関を標的にしています。
彼らは、Google DriveやDropbox、OneDriveなどのクラウドサービスをC&Cサーバーやデータの保存・転送に悪用し、通常のトラフィックに隠れて検知を回避しています。
また、Lazarusは「Operation DreamJob」で偽の求人を使ってターゲットと関係を築き、悪意のあるコードを送信する手法を用いています。さらに、KimsukyはMicrosoft Management Console(MSC)ファイルを活用し、信頼性を装ったサイバー攻撃を行っています。これらの活動は、金融資金や機密情報の収集、国の利益拡大を目的としており、北朝鮮の国家戦略の一環とされています。
クラウドサービスの悪用
北朝鮮関連のAPTグループは、企業や団体のネットワーク内で目立たずに活動を続けるため、Google Drive、Microsoft OneDrive、Dropbox、Yandex Disk、pCloudなどの人気クラウドサービスを利用しています。この戦術により、ネットワークトラフィックが異常と見なされにくく、検知されずに長期間にわたり活動を継続できる可能性が高まります。
具体的には、北朝鮮のAPTグループKimsuky(キムスキー)はGoogle DriveやMicrosoft OneDriveを利用してデコイドキュメントをホストしたり、C&Cサーバーとして利用しています。
また、ScarCruftはYandex DiskとpCloudをバックドアのC&Cサーバーとして悪用しており、さらにZoho WorkDriveも利用することで新しい攻撃手法を確立しました。
このようなクラウドサービスの悪用は、各クラウドサービス提供者が迅速に対応してアカウントを停止するなどの措置を講じているものの、攻撃者は他のクラウドサービスを利用して攻撃を続けています。
ターゲットとの関係構築
LazarusやKimsukyなどの北朝鮮関連のAPTグループは、偽の求人広告やインタビュー依頼などを使ってターゲットと徐々に関係を築く方法を採用しています。この戦術により、攻撃者が信頼を得た後、悪意のあるパッケージを送信しやすくなります。
たとえば、Lazarusは「Operation DreamJob」というキャンペーンを通じて、ヨーロッパとアジアの防衛企業や暗号通貨関連企業をターゲットにしており、大手企業(AirbusやBAE Systemsなど)での就職の機会を装ってトロイの木馬化されたPDFビューワーやデコイPDFドキュメントを送り付けています。
また、Kimsukyは北朝鮮の専門家やNGOの研究者をターゲットにし、インタビューや発表依頼のメールを送信しています。これらの攻撃は、英語や韓国語で書かれたリクエストメールを使い、ターゲットの専門知識を称賛し、質問リストを事前に回答するよう求めるなどして、信頼を得た後に悪意のあるファイルを送信するという手法を採っています。
このような求人やインタビュー、採用広告を偽装したフィッシングで、KnowBe4もこの戦術の被害に遭いました。
Microsoft Management Console(MSC)の悪用
Kimsukyは、Microsoft Management Console(MSC)ファイルを利用した新しい技術的手法を使用しています。
MSCファイルは通常、システム管理者がWindowsユーザーやシステムポリシーを管理するために使用するツールですが、任意のWindowsコマンドを実行できる機能を持っています。また、MSCファイルのアイコンをPDFやWordドキュメントのように変更することで、被害者が気づかずにファイルを開く可能性が高まります。
この技術は、2024年5月にGeniansによって初めて報告され、Kimsukyが韓国と日本のターゲットに対してMSCファイルを装ったフィッシングメールを使用して攻撃を行ったことが確認されています。以降、Kimsukyは西側の学術機関やNGOを主なターゲットとし、The Wall Street Journalからのインタビュー依頼を装ったMSCファイルを使って攻撃を仕掛けるなど、より多くの標的に対してこの技術を使用しています。
Operation DreamJobによる暗号通貨窃盗
Lazarusの「Operation DreamJob」では、暗号通貨関連企業の従業員やフリーランスの開発者をターゲットに、偽の求人を通じて関係を築き、暗号通貨のウォレットやログイン情報の窃盗を狙った攻撃が行われています。
攻撃者はプロフェッショナルなネットワークや仕事のプラットフォームを利用し、偽のリクルーターになりすましてトロイの木馬化されたコードベースを送信しています。この攻撃の背後には、暗号通貨の流動性が高まり、取引額が増加していることが背景にあると考えられます。
Lazarusはまた、フリーランス開発者をターゲットにした「DeceptiveDevelopment」という新しいキャンペーンも展開しており、偽の暗号通貨取引アプリを通じて暗号通貨の窃盗を行っています。ソーシャルネットワークや個別の通信を通じてターゲットを誘導し、トロイの木馬化されたアプリをインストールさせる手法をとっています。
その他のAPTグループについての活動
ロシア関連APTグループ
ZimbraとRoundcubeのXSS攻撃
ロシア関連のサイバースパイグループは、ウェブメールサーバーであるZimbraやRoundcubeに対してXSS脆弱性を悪用した攻撃を行い、メールデータの盗難や転送ルールの設定を狙っています。
ウクライナを標的とするキャンペーン
ロシア・ウクライナ間の戦争が続く中、GamaredonやSandwormなどのロシア関連グループが、ウクライナの重要インフラに対するサイバー攻撃を強化しています。特にGamaredonは新しいPowerShellツールやTelegramチャネルを使ったプロパガンダ活動を展開しています。
イラン関連APTグループ
外交・軍事支援へのサイバー活動
イラン関連のAPTグループ(特にMuddyWater)は、ケニアやザンビアの金融サービス企業への侵入活動を行い、アフリカでの影響力を強化しようとしています。また、イスラエルの交通企業への攻撃も確認されており、イランの中東での影響力を示唆しています。
周辺諸国への関心
BladedFelineはイラクやアゼルバイジャンの政府機関に対するサイバースパイ活動を行っており、両国からの外交および財務情報の収集を強化しています。
参照