『攻撃者のプレイブック』に新たに 11 グループを追加

This post is also available in: English (英語)

「アクションに落とし込める、本当に使える脅威インテリジェンスを提供する」という弊社ミッションの一環として、パロアルトネットワークス脅威インテリジェンスリサーチチームUnit 42は米国時間で2019 年7月30日、『Adversary Playbooks (攻撃者のプレイブック)』に新たに11の脅威攻撃者グループを追加して公開しました。

弊社は本プレイブックで攻撃者の使うTTP (ツール、テクニック、手順) を整理し、それを構造化した形式にすることで、共有しやすく処理しやすいものにしています。これまでに公開したプレイブックについては、弊社のPlaybook Viewerから確認できます。

今回新たに追加された攻撃グループについて以下簡単にご紹介します。

• MuddyWater: 2019年春の BlackWater攻撃キャンペーンで同攻撃グループはTTPを変え、特定セキュリティ対策を回避しました。同グループはかつてFIN7のものとみなされていた、あるエスピオナージ攻撃キャンペーン活動に関与したことが、2017年11月、Unit 42により初めて報告されました。
• Scarlet Mimic: 同グループはUnit 42が2016年はじめに発見したグループで、遅くとも2014年にはその活動をはじめていました。同グループによるエスピオナージ攻撃キャンペーンは主にチベットやウイグルの活動家を標的としており、Windows/Androidの一連のカスタムマルウェアを使うものです。
• Inception: 遅くとも2014年には活動を開始していたグループで、カスタム マルウェアを使いさまざまなプラットフォームを対象にします。主にロシアの、ただし実際にはグローバルな、幅広い業種が標的とされています。2018年10月に同グループは新しいPowerShellバックドアとCVE-2017-11882を使ってヨーロッパを標的とした攻撃を行いました。
• Windshift: 同グループの存在が最初に報告されたのは2018年10月で、その後2019年2月には、Unit 42が同グループに紐付けられた追加の標的情報および技術情報を共有しています。同グループの標的は中東が中心で、OS X システムのみが対象のカスタム マルウェアを使う点が特徴です。
• Sofacy: 遅くとも2007年には活動を開始していたロシアに帰属するグループで、2018年10月なかばから11月なかばにかけ、世界各国の政府機関および民間組織を執拗に攻撃してきました。大部分の標的は NATO同盟国ですが、一部旧ソビエト連邦の諸国家も標的に含まれています。
• Chafer: 遅くとも2015年には活動を開始していたエスピオナージ攻撃グループで、2018年11月にあるトルコ政府関連機関を標的としました。同グループの活動を調査中、Unit 42はPythonで書かれた新しい二次ペイロードを見つけ、これをMechaFlounderと命名しました。同攻撃グループによるPythonベースのペイロード使用をUnit 42が確認したのはこのときが初めてでした。
• Gorgonグループ: 2018年8月にUnit 42のリサーチャーが発見した攻撃グループで、世界各国で数多くの攻撃活動を展開し、サイバー犯罪、標的型攻撃の両方に関与しています。発見の契機となったのは、Unit 42が2017年から追跡していた、おそらく同グループの一員と見られるSubaatという攻撃者の監視でした。
• Cobalt Gang: 2018年10月、同グループによる商用マルウェアを使った攻撃を調査するなかで、ある共通のマクロビルダと特定の文書メタデータとをUnit 42が特定し、ここから一まとまりの新しい活動とインフラを追跡することができました。
• Th3bug: 2014年夏、このサイバー標的攻撃グループは複数のwebサイトを侵害し、水飲み場攻撃に利用しました。正規webサイトを侵害し、マルウェアをインストールしてサイト訪問者を感染させるという手法から、水飲み場攻撃はきわめて成功率の高い攻撃です。この種の攻撃で狙われやすいのは、攻撃者が標的とした特定業種からの訪問者が多いwebサイトや、攻撃者が標的とした特定の政見を持つ人々の間で人気のあるwebサイトです。
• Rocke: 2019年1月、中国をベースとするこのサイバー犯罪グループが、既存のLinux用暗号通貨マイニング マルウェアに新たなコードを追加し、侵害されたサーバーから5つの異なるクラウド セキュリティ保護監視製品をアンインストールすることを、Unit 42が突き止めました。アンインストールされたのはTencent CloudとAlibaba Cloud (Aliyun)が開発した製品で、同2社は中国におけるクラウドプロバイダのトップ企業として、今やそのビジネスを世界中に広げつつあります。クラウドセキュリティ製品を狙ってアンインストールするという特異な機能を持つマルウェア ファミリを確認したのは､Unit 42 ではこれが初めてでした。
• CozyDuke: 遅くとも2008年には活動を始めていたロシアに帰属するエスピオナージ攻撃グループで、2015年7月上旬からスピアフィッシング攻撃キャンペーンを開始しており、のちに私たちがMiniDionisと名付けた新しいマルウェアをこのキャンペーンで利用しました。この新しいマルウェアは同グループのSeadukeマルウェアとも関連があり、民主主義国家の政府機関やシンクタンクを標的にしている様子が伺えました。また、同スピアフィッシング攻撃やC2活動には、侵害された正規webサイトが使われていました。

この続きはぜひAdversary Playbooksでご覧ください。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org