APT41: 二重のスパイ活動とサイバー犯罪活動

Timeline of industries directly targeted by APT41 news

本日、FireEye Intelligence は、APT41 の詳細を示す包括的なレポートをリリースします。APT41 は、多産な中国のサイバー脅威グループであり、国家が支援するスパイ活動と並行して、金銭目的の活動を行っています。 APT41 は、追跡対象となっている中国を拠点とする攻撃者の中で、個人的な利益を目的とした活動と思われるスパイ活動のために通常は予約されている非公開のマルウェアを利用するという点で独特です。中国政府が支援する脅威グループでは、明示的な金銭目的の標的設定は珍しく、2014 年以降、APT41 がサイバー犯罪とサイバースパイ活動を同時に行っていることを示す証拠があります。

公開された完全なレポートでは、APT41 に起因する過去および進行中の活動、グループの戦術、技術、および手順 (TTP) の進化、個々のアクターに関する情報、マルウェア ツールセットの概要、およびこれらの識別子が他の既知の中国人とどのように重複しているかをカバーしています。諜報員。 APT41 は、BARIUM ( Microsoft ) や Winnti ( KasperskyESETClearsky ) などのグループに関する公開レポートと部分的に一致しています。

APT41 は誰を標的にしていますか?

他の中国のスパイ事業者と同様に、APT41 のスパイ活動の標的は、 中国の 5 カ年経済開発計画とほぼ一致しています。このグループは、ヘルスケア、ハイテク、電気通信セクターの組織への戦略的アクセスを確立し、維持しています。高等教育、旅行サービス、ニュース/メディア企業に対する APT41 の活動は、APT41 が個人の追跡と監視も行っていることを示しています。たとえば、このグループは通信会社の通話記録情報を繰り返し標的にしています。別の例では、APT41 は、中国当局者が宿泊する前にホテルの予約システムを標的にしました。これは、グループがセキュリティ上の理由から施設を偵察する任務を負っていたことを示唆しています。

このグループの金銭目的の活動は主にビデオ ゲーム業界に焦点を当てており、APT41 は仮想通貨を操作し、ランサムウェアの展開を試みました。このグループは、ゲーム制作環境にアクセスできるようになるまで、Windows システムと Linux システムの間を移動するなど、ターゲット ネットワーク内を横方向に移動することに長けています。そこから、グループはソース コードとデジタル証明書を盗み、マルウェアの署名に使用します。さらに重要なことに、APT41 は本番環境へのアクセスを利用して、正規のファイルに悪意のあるコードを挿入し、後で被害者の組織に配布することが知られています。これらのサプライ チェーン侵害戦術は、APT41 の最もよく知られた最近のスパイ活動の特徴でもあります。

興味深いことに、サプライ チェーンの侵害を実行するために多大な労力が必要であり、影響を受ける組織が多数あるにもかかわらず、APT41 は、個々のシステム ID と照合することにより、特定の被害者システムへの後続のマルウェアの展開を制限します。これらの複数段階の操作により、マルウェアの配信が意図した被害者のみに制限され、意図したターゲットが大幅に難読化されます。対照的に、典型的なスピア フィッシング キャンペーンの望ましいターゲットは、受信者の電子メール アドレスに基づいて識別できます。

APT41 の直接の標的となった業界の経時的な内訳を図 1 に示します。

Timeline of industries directly targeted by APT41
図 1: APT41 の直接の標的となった業界のタイムライン

中国のスパイ請負業者の可能性

APT41 の活動に関連する「Zhang Xuguang」と「Wolfzhi」というモニカを使用する 2 つの特定されたペルソナも、中国語のフォーラムで特定されています。これらの個人は、自分のスキルとサービスを宣伝し、雇用できることを示しました。 Zhang はオンライン時間を午後 4:00 から午前 6:00 と記載しましたが、これはオンライン ゲームの標的に対する APT41 の運用時間と同様であり、彼が副業をしていることを示唆しています。 2012 年以降の同グループの活動のマッピング (図 2) からも、APT41 が通常の日常業務以外で主に金銭目的の活動を行っていることがわかります。

これらの個人の帰属は、識別されたペルソナ情報、プログラミング スキルに関する前職と明らかな専門知識、および中国市場に特化したオンライン ゲームのターゲットによって裏付けられています。後者は特に注目に値します。なぜなら、APT41 は繰り返しビデオ ゲーム業界を標的にしており、これらの活動がその後のグループのスパイ活動の形成につながったと考えられるからです。

2012 年以降に観察された操作に基づく、ゲームとゲーム以外のターゲティングの操作活動
図 2: 2012 年以降に観察された操作に基づく、ゲームとゲーム以外のターゲティングの操作活動

仕事に適したツール

APT41 は、公開されているユーティリティ、他の中国のスパイ活動と共有されているマルウェア、グループ独自のツールなど、46 を超えるさまざまなマルウェア ファミリとツールの武器を活用して任務を遂行しています。このグループは、多くの場合、コンパイルされた HTML (.chm) ファイルなどの添付ファイルを含むスピア フィッシング メールを利用して、最初に被害者を侵害します。被害者の組織に入ると、APT41 はより高度な TTP を利用して、追加のマルウェアを展開できます。たとえば、APT41 はほぼ 1 年にわたって実行されたキャンペーンで、数百のシステムを侵害し、バックドア、クレデンシャル スティーラー、キーロガー、ルートキットなど、150 近くの固有のマルウェアを使用しました。

APT41 はまた、ルートキットとマスター ブート レコード (MBR) ブートキットを限定的に展開して、マルウェアを隠し、一部の被害者システムで持続性を維持しています。特にブートキットを使用すると、オペレーティング システムが初期化される前にコードが実行されるため、ステルス レイヤーが追加されます。 APT41 によるこれらのツールの使用が制限されていることは、このグループがより高度な TTP とマルウェアを高価値の標的のみに留保していることを示唆しています。

迅速かつ容赦ない

APT41 は、組織のネットワークのセグメント化された部分へのアクセスを提供する中間システムを迅速に特定して侵害します。あるケースでは、このグループは、わずか 2 週間で、複数のネットワーク セグメントと複数の地域にまたがる数百のシステムに侵入しました。

また、このグループは非常に機敏で粘り強く、被害者の環境の変化やインシデント対応者の活動に迅速に対応します。たとえば、被害を受けた組織が APT41 を阻止するために変更を加えてから数時間後、このグループは新たに登録されたコマンド アンド コントロール ドメインを使用して新しいバージョンのバックドアをコンパイルし、複数の地域にまたがる複数のシステムを侵害しました。別の例では、APT41 は、侵入が修復され、システムがオンラインに戻った 3 日後に、複数の人事部の従業員にスピア フィッシング メールを送信しました。ユーザーが APT41 から送信された悪意のある添付ファイルを開いてから数時間以内に、このグループは複数の地理的地域にまたがる組織のサーバー内で足場を取り戻しました。

今後の展望

APT41 は創造的で、スキルがあり、十分なリソースを備えた攻撃者です。これは、特定の個人を標的にするためにサプライ チェーン侵害を明確に使用すること、侵害されたデジタル証明書を使用してマルウェアに一貫して署名すること、ブートキットを展開すること (中国の APT グループでは珍しいこと) によって強調されています。 )。

他の中国のスパイ オペレーターと同様に、APT41 は 2015 年以降、戦略的な情報収集とアクセスの確立に移行し、直接的な知的財産の盗難から遠ざかっているように見えます。しかし、この変化は、金銭的な理由でビデオ ゲーム業界を標的にするというグループの一貫した関心に影響を与えていません。 .このグループの能力と標的は時間の経過とともに拡大しており、追加の業種のさまざまな被害者に影響を与える追加のサプライ チェーン侵害の可能性を示唆しています。

APT41 がアンダーグラウンド マーケットプレイスと国家が支援する活動の両方にリンクしていることは、このグループが独自の営利目的の活動を行うことを可能にする保護を享受しているか、当局がそれらを無視しようとしていることを示している可能性があります。また、APT41 が中国当局の調査を単に回避した可能性もあります。いずれにせよ、これらの作戦は、脅威エコシステムの中心にあり、APT41 に代表される国家権力と犯罪との間のあいまいな境界線を強調しています。

詳細については、今すぐレポートをお読みください

参照: https://www.mandiant.com/resources/blog/apt41-dual-espionage-and-cyber-crime-operation

Comments

タイトルとURLをコピーしました