2018 年 2 月 2 日、マイクロソフトは、現在 APT37 (Reaper) として追跡している北朝鮮のサイバー スパイ グループと疑われるグループによる、Adobe Flash のゼロデイ脆弱性 (CVE-2018-4878) の使用について詳しく説明したブログを公開しました。
APT37 の最近の活動を分析したところ、ゼロデイ脆弱性やワイパー マルウェアへのアクセスを含むツールセットを使用して、このグループの活動の範囲と精巧さが拡大していることが明らかになりました。マルウェア開発のアーティファクトと、北朝鮮の国益に沿った標的設定を考慮すると、この活動は北朝鮮政府に代わって実行されていると確信しています。 FireEye iSIGHT Intelligence は、APT37 が、Scarcruft およびGroup123として公表されている活動と一致していると考えています。
私たちのレポート「 APT37 (Reaper): The Overlooked North Korean Actor 」を読んで、この脅威アクターが北朝鮮政府に代わって活動しているという私たちの評価と、その活動に関するその他のさまざまな詳細を確認してください。
- ターゲティング:主に韓国 – 日本、ベトナム、中東 – 化学、電子機器、製造、航空宇宙、自動車、ヘルスケアなど、さまざまな業界で。
- 初期感染戦術:目的のターゲットに合わせて特別に調整されたソーシャル エンジニアリング戦術、ターゲットを絞ったサイバー スパイ活動に典型的な戦略的な Web 侵害、トレント ファイル共有サイトを使用してより無差別にマルウェアを配布します。
- 悪用された脆弱性:ハングル ワード プロセッサ (HWP) および Adobe Flash の脆弱性が頻繁に悪用されています。このグループは、ゼロデイ脆弱性 (CVE-2018-0802) へのアクセスと、それらを運用に組み込む能力を実証しました。
- コマンド アンド コントロール インフラストラクチャ:侵害されたサーバー、メッセージング プラットフォーム、およびクラウド サービス プロバイダーが検出を回避します。このグループは、時間の経過とともに運用上のセキュリティを改善することで、ますます洗練されていることを示しています.
- マルウェア:初期の侵入と流出のための多様なマルウェア スイート。スパイ目的で使用されるカスタム マルウェアに加えて、APT37 は破壊的なマルウェアにもアクセスできます。
この攻撃者の詳細については、レポートAPT37 (Reaper): The Overlooked North Korean Actor を参照してください。このグループに関する追加の洞察を得る ために、今後のウェビナーに登録することもできます。
参考: https ://www.mandiant.com/resources/blog/apt37-overlooked-north-korean-actor
Comments