Share :
2020-03-24

国家支援型ハッカー グループが攻撃メカニズムを拡張し、スパイ活動にコモディティ マルウェアを活用

skull

CYFIRMA リサーチ チーム

ここ数十年にわたり、国家支援型ハッカー グループの活動が盛んです。潤沢な資金を受けたこうしたハッカー グループは、政府のために、知的財産を盗み出したり、送電網、通信、金融システムなどの生活に不可欠なサービスに打撃を与えたり、日常生活に大きな混乱をもたらしたりします。また、国家支援型のハッカーは、経済を揺るがし、社会不安を生み出すために、民間企業も標的としています。国家主導のハッキングとしては、北朝鮮のハッカー グループ Guardian of the Peace による Sony Pictures に対するサイバー攻撃が非常に有名です。この攻撃は、北朝鮮の指導者キム・ジョンウンが否定的に描かれている映画 「The Interview」 の上映に対する報復として実行されました。顕著な国家主導型サイバー攻撃としては、他にも、中国系ハッカーの関与が疑われる三菱電機での最近のデータ漏洩、北朝鮮系ハッカーがインドの原子力発電所に対して仕掛けたデータ窃取キャンペーン、サウジアラビアの石油会社に対するイランのサイバースパイ活動などがあります。

上記の攻撃には、すべてに共通するテーマがあります。ハッカー グループが、高性能で悪質なモジュール式の多面的ソフトウェアを展開していたということです。サイバー攻撃者は、データを抽出したり、破壊したり、重要かつ機密性の高い運用テクノロジーや機械を制御することができました。マルウェアは、意図した被害をもたらすように慎重に設計およびカスタマイズされていたのです。

CYFIRMA リサーチ チームによる最近の観測で、国家支援型のハッカー グループの間で、攻撃メカニズムの速度とタイプに変化が見られました。2019年12月、ハッカー コミュニティの複数の会話の中で EMOTET キャンペーンの開始が話題に上っているのを弊社の研究者が傍受しました。こうしたハッカー グループはすべて国家によって運営され、資金提供を受けていることがわかっており、好んで用いられる攻撃メカニズムは単純にコモディティ マルウェアです。この種のマルウェアは、名前が示唆するとおり、すぐに利用できるツールから設計されていて、ハッカーは素早く再加工して攻撃を開始することができます。その後数か月の間に、コモディティ マルウェアを使用した国家主導の攻撃件数は増え続けています。確認されたキャンペーンの事例を以下に示します。

2020年3月

    • キャンペーン:동쪽의 일어나는 행동 (The Rising Action of The East)
      疑われるグループ:Lazarus Group または関連グループ
      ターゲット:小売業および消費財産業
      動機:データ窃取、恐喝
      確認されたコモディティ マルウェア:Agent Tesla および Mirai ボット
    • キャンペーン:现役军人11 (Active Army11)
      疑われるグループ:Sone Panda または関連グループ
      ターゲット:小売業、サプライチェーン取引、発注および請求書発行システム、製造、製品/IT 企業
      動機:機密性の高い個人情報や金融関連データの窃取
      確認されたコモディティ マルウェア:Phorpiex および Emotet
    • キャンペーン:不明
      疑われるグループ:Fancy Bear または関連グループ
      ターゲット:小売事業者および消費財企業
      動機:金銭的利益
      確認されたコモディティ マルウェア:Emotet

2020年2月

    • キャンペーン:모래 종이 (Sandpaper)
      疑われるグループ:Lazarus Group または関連グループ
      ターゲット:世界中の画像処理、印刷、共有テクノロジー関連の大企業とその製品
      動機:知的財産 (IP)、個人情報、顧客情報の窃取
      確認されたコモディティ マルウェア:Shlayer および Mirai ボット
    • キャンペーン:紅色撲克10 (Redpoker10)
      疑われるグループ:Sone Panda、Gothic Panda または関連グループ
      ターゲット:製造/化学薬品・ゴム、製品/IT、スポーツ、タイヤ、小売、化粧品、重要インフラ
      動機:機密データ、知的財産の窃取
      確認されたコモディティ マルウェア:トロイの木馬 Razy
    • キャンペーン:颜料 (Pigment)
      疑われるグループ:Stone Panda または関連グループ
      ターゲット:カメラ、画像処理、生産性デバイスの世界的大手メーカー、化学薬品会社、象徴的テクノロジー企業
      動機:標的企業のブランド価値低下による自国の画像処理/印刷会社の事業促進を狙った知的財産 (IP) の窃取
      確認されたコモディティ マルウェア:Phorpiex
    • キャンペーン:金色平静 (Golden Calm)
      疑われるグループ:中国の国家支援型ハッカー グループ
      ターゲット:世界的な電力会社および機器メーカー 8社
      動機:供給/在庫情報、顧客情報の窃取、日本のブランド価値/評判の低下
      確認されたコモディティ マルウェア:Necurs ボットおよび Bashlite
    • キャンペーン:人类分裂 (Mankind)
      ターゲット:日本、台湾、米国の大手エンジニアリング会社、海運およびコンテナ技術、電気機器メーカー
      動機:知的財産および企業秘密の窃取、風評被害
      疑われるグループ:Stone Panda または関連グループ
      確認されたコモディティ マルウェア:Phorpiex および Shade

発展途上国や新興国もこうした国家間の競争に参入し、その多くは、限られたノウハウとスキルでサイバー攻撃能力を構築しようとしています。すぐに入手できるマルウェアを利用すれば、サイバースパイ活動の世界に簡単に参入できます。こうした新興国は、まずはコモディティ マルウェアを利用しますが、時間の経過とともに専門知識を習得すれば、その攻撃メカニズムは先進国に劣らない高度なものへと進化する可能性があります。

世界が新たな参入者に対処しようとする中、成熟度の高い国家支援型の攻撃者は、詐欺的手段を使って混乱を引き起こすレベルに達しています。彼らは、コモディティ マルウェアを利用することにより匿名の下で作戦を遂行し、国家支援型のハッカー グループであることが判明するのを回避しようとしています。コモディティ マルウェアは、セキュリティ アナリストの間で、組織にとってそれほど大きな脅威ではないと考えられているため、レーダーから外れることがありますが、直ちに修正措置を講じないと、ハッカーは、さらなる侵入に向けて別のマルウェアをインストールすることができます。簡素なコモディティ マルウェアが 「攻撃起点」 となり、侵害された組織に壊滅的な結果をもたらす可能性があります。

CYFIRMA リサーチ チームが中国の Stone Panda と北朝鮮の Lazarus の間で観察しているとおり、国家支援型ハッカー グループも協力、情報交換、攻撃メカニズムの共有を開始しています。彼らは、共通の敵を倒すためにチームを組むことで、効率を高め、目標の早期達成を図ります。

人工知能や機械学習の分野におけるテクノロジーの進歩の加速と、コンピュータ サーバの処理能力の高速化により、マルウェアの複製速度が加速しています。

政府と企業の両方がサイバーセキュリティの重要性を認識しているにもかかわらず、データ漏洩の件数が徐々に減少している兆候は見られません。実際、攻撃件数とデータ漏洩による被害額は飛躍的に増加しています。国家間のサイバー紛争がエスカレートするのに伴って、営利企業が付随的な損害を被る可能性が高くなっています。

コモディティ マルウェアに対する推奨策

マルウェア攻撃を効果的に防止、検出および対処するために、以下の推奨策を講じてください。

・ 侵害から修復までの期間を最短化する:
インターネットに接続されたサーバでは、即時修復が難しいことが多いため、最初のセキュリティ侵害から解決までの解決時間を測定し、組織のセキュリティ態勢のパフォーマンス要因として評価する必要があります。

・ 侵害されたシステムを分離する:
直ちに完全修復することが不可能な場合には、すべての調査と修復が完了するまで、侵害されたシステムをインターネットやイントラネットから分離する必要があります。複数の侵害されたシステムと調査システムへのネットワーク アクセスが必要な場合は、調査期間中、分離されたネットワーク (他のどのネットワークにもつながっていないエアギャップ ネットワークと同等) を実装する必要があります。

・ コモディティ マルウェアを使用した標的型攻撃を優先する:
インターネットに接続されたサーバで検出されたマルウェアが商品化されたマルウェアであり、被害をもたらしていない場合でも、関連するイベントをすべて調査し、できるだけ早く修復してください。同様に、特定のユーザまたは部署を狙ったスピアフィッシング eメールにコモディティ マルウェアが添付されている場合も、直ちに関連するすべてのイベントを調査し、修復してください。

検出されたマルウェアによる追加のアクティビティがないことを確認する
コモディティ マルウェアのインシデントに対して、直ちに、または自動的に修復対応が取られた場合でも、対応から漏れた追加のアクティビティが発生していないことを確認してください。確認には、EDR、SIEM、およびその他の動作監視ソリューションを活用してください。