Mandiant と Google のセキュリティ調査によると、APT43 とそのサブセットである Archipelago による標的は北朝鮮の利益と一致しています。
ジャンプ先:
- APT43 とは何ですか?
- APT43 は誰をターゲットにしているのか?
- APT43のスピアフィッシングとソーシャルエンジニアリングの手法
- APT43のマルウェアファミリーとツールの使用
- APT43の暗号通貨への関心
- このセキュリティ脅威から身を守る方法
APT43 とは何ですか?
Mandiantの最新調査により、北朝鮮政権の利益を支援するサイバースパイ活動を行う脅威グループAPT43が明らかになりました。このグループはKimsukyまたはThalliumとも呼ばれています。ATP43は、認証情報収集攻撃の実行とソーシャルエンジニアリングを駆使して標的への侵入を成功させることで、戦略的インテリジェンスの収集に重点を置いています。
2018年からAPT43を追跡しているMandiantによると、この脅威の主体は北朝鮮の主要な対外情報機関である偵察総局の任務と一致しているという。
帰属指標の観点から見ると、APT43は既知の北朝鮮の攻撃者や脅威アクターとインフラやツールを共有しています。特に、マルウェアやツールはAPT43と悪名高いLazarusの脅威アクターの間で共有されています。
Archipelago の脅威アクターとは何ですか?
最近のレポートで、Google の脅威分析グループは、Archipelago と呼ばれる脅威アクターに関する情報を提供しており、同グループはこれを 2012 年から追跡している APT43 の活動のサブセットであると説明しています。
APT43 は誰をターゲットにしているのか?
APT43グループは主に外交政策と核安全保障問題を標的としていましたが、2021年にはおそらく世界的なCOVID-19パンデミックの影響で、医療関連の分野を標的に切り替えました。
APT43は、韓国、米国、そして日本と欧州を標的としており、特に製造業において、燃料、機械、金属、輸送車両、武器など、北朝鮮への輸出が制限されている品目を狙っています。さらに、同グループは、地政学政策や核政策に重点を置いたビジネスサービス、教育機関、研究機関、シンクタンク、そして政府機関も標的としています(図A)。
図A
APT43 は、自身と政権の資金源となる可能性のあるサイバー犯罪活動も実行しています。
Archipelago は誰をターゲットにしているのでしょうか?
APT43 の Archipelago サブセットは、韓国、米国、その他の国の政府関係者、軍関係者、シンクタンク、政策立案者、学者、研究者を標的にしていることが確認されています。
APT43のスピアフィッシングとソーシャルエンジニアリングの手法
APT43は、標的を侵害する手段として主にスピアフィッシングを使用します。このグループは、説得力のあるペルソナを作成したり、重要人物の身元を偽装したりすることがよくあります。こうした重要人物を侵害すると、その人物の連絡先リストを利用して、さらなるスピアフィッシング攻撃を行う可能性があります。
脅威の攻撃者は、記者やシンクタンクのアナリストを装ってターゲットを連れ込み、具体的な質問をして専門知識を提供することもあります (図 B )。
図B
Googleが公開した手法によると、Archipelagoはメディアやシンクタンクの代表者を装い、ターゲットにインタビューを依頼するフィッシングメールを頻繁に送信していることが明らかになりました。質問を見るにはリンクをクリックする必要がありますが、被害者は偽のGoogleドライブまたはMicrosoft 365のログインページにリダイレクトされます。被害者が認証情報を入力すると、質問が記載された文書にリダイレクトされます。
Google の報告によると、Archipelago は悪意のあるリンクや悪意のあるファイルを送信する前に、被害者と数日または数週間にわたってやり取りし、信頼関係を確立することが多いとのことです。
Archipelagoは、ブラウザ内ブラウザ技術を用いて、実際のブラウザウィンドウ内に偽のブラウザウィンドウを表示させ、ユーザーを騙す可能性があります。偽のウィンドウには正規のドメインが表示され、攻撃者に認証情報を提供するよう誘導します(図C)。
図C
Archipelago が使用するもう 1 つの手法は、チェックすべき悪意のあるログインについてターゲットに通知する何らかのエンティティからのものであるかのように見せかけた無害な PDF ファイルを送信するというものです (図 D )。
図D
APT43のマルウェアファミリーとツールの使用
APT43は複数のマルウェアファミリーとツールを利用しています。APT43が使用する公開マルウェアファミリーにはGh0st RAT、Quasar RAT、Amadeyなどがありますが、脅威アクターは主にLATEOPまたはBabySharkと呼ばれる非公開のマルウェアを使用しています。これはおそらく同グループによって開発されたものです。
Archipelago は最近、さらに多くのマルウェアをその活動に取り入れており、ウイルス対策スキャンを回避する手段として、パスワードで保護された添付ファイルをよく使用しています (図 E )。
図E
Archipelagoは、Googleドライブにホストされているファイルをベースに、当時としては新しい手法を用いた実験を行いました。小さな悪意のあるペイロードは、0バイトのコンテンツファイルのファイル名に直接エンコードされていました。Googleドライブにホストされているファイルのファイル名にはC2サーバー名も含まれていましたが、Googleがこの活動を阻止したため、ArchipelagoはGoogleドライブ上で同様の手法の使用を停止しました。
Archipelagoは、ZIPファイルに格納されたマルウェアを拡散するためにISOファイルを使用していました。パスワード保護されたZIPファイルを解凍すると、APT43が使用すると知られているBabySharkに関連するVBSベースのマルウェアがインストールされました。
最近では、ArchipelagoはSHARPEXTという悪意のあるChromeブラウザ拡張機能を悪用しようとしました。この拡張機能は、アクティブなGmailまたはAOLメールタブからメールを解析して盗み出すことができます。その結果、GoogleはChrome拡張機能エコシステムのセキュリティを強化し、攻撃者がこの悪意のある拡張機能を展開することがはるかに困難になりました。
APT43の暗号通貨への関心
Mandiantによると、APT43は暗号通貨に特に興味を持っており、活動を維持するためのインフラやハードウェア機器の購入に暗号通貨を使用しているという。
APT43 は、痕跡を隠すためにハッシュ レンタル サービスとクラウド マイニング サービスを利用しており、これらを使用すると、購入者の元の支払いとブロックチェーンを関連付けずに暗号通貨をマイニングできます。
さらに、APT43 は悪意のある Android アプリケーションを使用して、暗号通貨ローンに関心のある中国のユーザーをターゲットにし、認証情報を収集しました。
APT43のセキュリティ脅威から身を守る方法
- APT43 および Archipelago が使用するソーシャル エンジニアリング手法についてユーザーを教育します。
- フィッシング攻撃を検出し、セキュリティ スタッフに直ちに報告するようにユーザーをトレーニングします。
- セキュリティ ソリューションを使用して、フィッシング メールやマルウェア感染の試みを検出します。
- オペレーティング システムとソフトウェアを最新の状態に保ち、パッチを適用してください。
特に地政学や国際政策の専門家は、ジャーナリストや記者を装った攻撃者の接近を察知できるよう訓練を受けるべきです。情報やインテリジェンスを交換する前に、専門家に接近する人物を慎重に選別し、精査する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
