APT&標的型攻撃
攻撃グループ「Earth Preta」によるサイバー諜報活動の被害件数が200を突破
本稿では、Earth Pretaが展開するサイバー諜報活動の事例に関する調査結果を報告します。この調査では、サイバー諜報活動に関与する組織の構成、目的、標的として狙われやすい企業や組織の傾向を分析します。調査結果を通して、より広域的なインテリジェンス解析の機会を創出すると同時に、効果的な対策の確立に向けた知見を提供します。
トレンドマイクロでは2022年以来、APT(Advanced Persistent Threat:標的型攻撃)グループとして知られる「Earth Preta(別称:Mustang Panda)」の子グループ同士が結託してサイバー諜報活動を展開していることを確認し、その調査を行ってきました。これらの子グループは、全体として大きなネットワークを形成し、さまざまな標的から広範に渡る機密情報を収集しています。さらに、子グループ同士の間には一定の協力体制が存在することも、調査によって判明しました。
本サイバー諜報活動による被害件数は、調査時点で200以上にも及びます。この結果を受けて弊社では、諜報活動の目的や、さまざまな作戦グループの存在、使用されるTTPs(Tactics:戦略、Techniques:テクニック、Procedures:プロシージャ)など、幅広い視点に基づく調査を実施しました。調査の主な目的は、諜報活動の実行に至るさまざまな段階や側面を切り口としてEarth Pretaの目的や手口を解明し、有効な対策の確立に向けた知見や情報を提供することにあります。
重要な発見事項
セキュリティおよび守秘義務の関係上、調査結果の全てを公開することはできませんが、全体を通しての
主な発見事項は下記の通りです。
- 組織構成:Earth Pretaには中央集中型の開発ユニットが存在し、そこでマルウェアや各種ツールの製造が行われる。製造された各製品は別の作戦グループに配布され、標的への侵入や感染を引き起こす活動に使用される。これは、Earth Pretaグループにおいて多くの子グループが異なる手口を使用しながらも同じツールセットを使用していることから明らかです。
- 専門技術のマネージメント:それぞれの作戦グループが個別に高い専門性を持ち、独自の侵入手段や権限昇格の技術を利用する。
- 標的の変更:2022年の終わりにかけて、情報収集の標的として狙われる組織の傾向が変化した。直近では主に海運や運送、国境警備、出入国管理に関わる組織が狙われたのに対し、以前は学術研究、鉱石や原料の精錬、特殊な加工施設、金融、エネルギーの生産や供給に関わる組織が狙われる傾向にあった。
インテリジェンス・コミュニティや政策決定チームでは、上記の発見事項をもとにEarth Pretaの能力や目的を把握し、同グループの活動が国家安全保障や知的財産に及ぼす影響をより明確に見極めることが可能です。Earth Pretaの脅威に対処する上では、国際的な協調と協力が強く求められます。本稿ではこうした点に重点を置きながら、当該グループが行うサイバー諜報活動の特徴について詳しく解説します。
標的に関する発見事項
情報収集の標的は作戦グループ毎に異なることが分かりました。例えば、知的財産やビジネス上の機密情報を狙うグループが存在する一方、行政および国家外交に関する情報を狙うグループも存在します。さらに、標的の地域ごとに情報収集の要件を調整しているケースも見られました。
今回の調査では、定性的なアプローチによって、作戦グループ毎の目標や組織的な立ち位置、情報収集の要件、情報収集の手段を特定しました。具体的には、標的とされた被害者の重複度合いを調べ、さらに標的システムに送り込まれたマルウェアやペイロードの分析を通して、作戦グループの分類と紐づけを行いました。
事例調査
被害者の重複
同一の企業や組織が2つのグループから同時に攻撃を受けた事例が複数見られました。これらのグループ間では、情報収集の要件が重複していたと推測されます。個々の端末レベルでは重複していなかったものの、所属組織レベルでは重複していた点より、当該グループ同士で目的が重なっていたと考えられます。同時に、グループ間で攻撃の対象や実行計画を調整するリーダーシップやまとめ役が欠落していた可能性も示唆されます。
標的に重複が見られたグループとして、「グループ724」、「グループ1358」、「グループ5171」などが挙げられます。また、これらのグループが標的とする業界は、多岐に及ぶことが分かりました。そのため、標的が重複した理由は、利用したツールや資料が類似していたというよりも、それぞれの目標が類似していたためと考えられます。しかし、実際にこれらのグループ間で攻撃に関する調整が行われた、または同じツールが使用されたことを示す証跡は、現在のところ確認されていません。
感染および情報流出の経路
「グループ5171」が用いた情報流出の手段は巧妙であり、検知回避の性能にも優れたものとなっています。シンガポール、ベトナム、オランダ、ガーナ、ミャンマーなどの主要国において、「USB大容量記憶デバイス」を介してファイルが流出した事例が確認されています。例えば2023年1月に発生した事例では、ベトナム由来のデバイスによって以下のパス配下の「Adobe CEF Helper」が読み込まれ、結果として文書データがドライブ「F:」側に流出しました。
C:\Users\XXX\AAM UpdatesXXX\AAM Updates.exe
また、2022年12月の事例でも同一のUSBデバイスが情報流出に利用され、以下のフォルダ配下のデータが流出しました。当該フォルダの内容を踏まえると、ユーザが一度削除したデータが流出したと考えられます。
C\:$RECYCLE.BIN\S-XXXXX$XXXH.pdf
移動中のエンドポイントを狙った攻撃
上述の通りグループ5171の活動ではUSB大容量記憶デバイスが情報流出の経路に利用されますが、グループ1358の活動ではメインの侵入経路として使用されます。グループ1358の活動履歴に関するドキュメントによると、2022年の終わりから2023年初頭にかけて発生したシステム侵入の全事例において、USB大容量記憶デバイスが使用されています。さらに、「Traveling Laptop Attack(移動中の端末を狙った攻撃)」と呼ばれる手口により、標的端末が海外を移動している最中に初期侵害に遭う事例も複数確認されました。
近代的なサイバー技術に加え、旧来からの物理的な移動を主軸とする諜報技術が併用されていることより、当該グループは国家の高度なサポートやリソースにアクセスできる可能性が考えられます。通常、このような活動はハッカー単独では実現できないためです。サイバー攻撃の舞台がデジタル空間のみに留まらず実世界にまで浸透しつつある状況を踏まえると、デジタル空間のセキュリティと物理空間のセキュリティを双方束ねて扱うことが重要になってくると考えられます。
作戦グループ
Earth Pretaのサイバー諜報活動に関与する各作戦グループの役割を分析しました。その主要な分析結果を、以降に記載します。なお、当該活動に関する調査は現在も進行中であり、全体的な分析が完了次第、その結果に準じて各グループ名を刷新する予定です。
グループ724
グループ724は、Earth Pretaと何らかの関係を持っていると考えられます。本グループは、「Adobe CEF Helper」を介したサイドローディングの手口により、標的ユーザのホームディレクトリ配下で永続化を図ります。永続化の場所として、下記の名前を含むパスを使用します。
- AcroRD32XXX
- AAM UpdatesXXX
- AcrobatXXX
- Eset Malware ProtectionXXX
上記の「XXX」は、ランダムな3文字を表します。グループ724は、標的システムへの侵入経路としてUSBドライブを使用するなど、物理的な手段を好む傾向が見られます。本グループは東南アジア地域で最も危険な勢力の1つと考えられ、非常に多くの企業や組織を狙って活動することで知られています。
グループ724は、標的の業界や国を絞り込んだ上で攻撃に及ぶ傾向が見られます。これまでに確認された業界として、金融、行政、製造、加工、建設、エネルギー、交通、航空、食料生産などが挙げられます。標的を絞り込んでいることは、当該グループが対象業界内の高価な資産や脆弱性について深く理解していることを示唆します。また、その活動が急速に拡大している状況を踏まえると、当該グループは高度なスキルを持つ大規模なチームを編成し、複数の標的に対して同時に攻撃を実行できるだけの潤沢な資金を保有していると考えられます。
また、グループ724は、標的毎に特殊な設定が施されたUSBストレージを用意し、これをシステム侵入の手段として使用します。これらの特殊なUSBストレージは、セキュリティ監視の回避性能に優れ、なおかつ標的側からは正常なものに見えるように、注意深く作られています。こうした物理的な侵入経路を駆使することで、グループ724はシステム侵入の成功率を高め、秘密裏での活動を持続させようとします。以上の手口は、本グループが用いる高度な攻撃技術や、優れた計画性を特徴付けるものと言えるでしょう。
グループ1358
グループ1358は、高度な技術と先進的な戦略を用いる攻撃グループであり、世界各地に存在するさまざまな標的システム内に侵入して攻撃に及びます。本グループは、Avast社の「WSC DLL」を介したサイドローディングの手口を使用します。この手口では、「Windows Management Instrumentation(WMI)」のサービスを介する形で不正なコードが実行されます。また、グループ1358は、同じツールや技術を使用する複数の子グループによって構成されている可能性があります。永続化の場所としては、以下のフォルダが用いられます。
ProgramData\AvastSvcXXX(XXXはランダムな3文字)
また、侵入経路としては、グループ724のような専用のUSBデバイスではなく、入手しやすい市販のUSB大容量記憶デバイスが使用されます。
グループ1358が好んで用いるマルウェアとして、古くからリモートアクセスツールとして知られている「PlugX」が挙げられます。PlugX自体は古いツールですが、柔軟性と検知回避の性能に優れることから、現在でも有効な攻撃手段として利用されています。従来から本グループの標的は広範に及び、異種の業界をまたいで世界各地の企業や組織が狙われます。一方、2022年12月頃からはこの傾向に若干の変化が生じ、特に海運業に関する情報収集に注力している様子が見受けられます。標的の業界として、船舶移動、国境警備、入出国管理、輸出に関わる政府系エージェント、食料生産、人道支援などが挙げられます。流出した情報の傾向を調べたところ、その大半は海運の運行に関する情報でしたが、それ以外にも海運の研究や開発に関する情報が含まれていました。さらに、実際に船舶または曳航船を扱う業務の侵害に至った事例も確認されました。
情報流出の手段として、端末に差し込む形のUSBメモリが使用されます。PlugXのツールが起動すると、収集対象の全情報が事前に定義済みのUSBメモリ側にコピーされます。こうした手口により、グループ1358は従来からのセキュリティ監視を回避しようとします。
グループ5171
グループ5171は、高度な技術を駆使して中東からヨーロッパにまたがる地域の標的システム内に侵入し、侵害に及びます。この際、「Adobe CEF Helper」を介したDLLサイドローディングの手口によって、フォルダ「RECYCLERS.BIN」の配下で永続化を行います。また、情報流出に関わる作戦の一環としてUSBデバイスを使用します。
グループ5171は、先述した「Travelling Laptop Attack」と呼ばれる手口の利用法が、他のグループと異なります。グループ5171の場合、まず標的端末がビジネス旅行などの目的で外国に持ち出されたタイミングで、不正なコードに感染させられます。続いて、帰国したタイミングで、さらに高度な攻撃や水平移動・内部活動が行われます。本グループは一連の手口を用いることで、従来からのセキュリティ監視を回避し、検知されることなく標的へのアクセス権を掌握しようとします。
グループ5171は攻撃対象を特定の業界に絞り込むことなく、どちらかというと、機会先行で動く傾向が見られます。ただし、相対的に狙われやすい業界として、ITソリューション、材料製造や加工、エネルギーの生産と合成、航空、宇宙関連の開発および研究が挙げられます。
結論
Earth Pretaのサイバー諜報活動に関する今回の調査結果は、国際的な安全保障や知的財産に対して大きな意味を持つと考えられます。本活動の特徴として、近代的なデジタル空間上のサイバー諜報技術に加え、旧来からの物理移動を主体とする諜報技術を組み合わせて用いる点が挙げられます。これは、Earth Pretaによる高度な計画性と作戦の実行能力を示すものです。もう1つの特徴は、作戦が複数のグループによって行われ、各グループが独自のTTPsや目的を有することです。この点より、本活動は、専門性を活かした高度な組織体制のもとで行われていると考えられます。
今回の調査により、Earth Pretaによるサイバー諜報活動の範囲は多岐に及び、さらに高い価値を持つ標的を狙って攻撃する能力を備えていることが示唆されます。特定分野の機密情報を好んで狙う傾向を踏まえると、Earth Pretaは国家または国際上の関係、経済、安全保障に影響を与える重要度の高いインフラや機関を標的としていると考えられます。
Earth Pretaによるサイバー諜報活動の規模や巧妙さを踏まえると、国際社会はその対策を積極的に打ち立てていくことが求められます。具体例として、堅固なサイバーセキュリティによってサイバー諜報活動への効果的な対抗手段を確立し、国際協力をさらに強化することが挙げられます。国際社会はEarth Pretaのサイバー諜報活動について注意喚起すると同時に情報共有を促し、有効な対策の策定に向けて動く必要があります。今回報告した脅威からインフラや知的財産を保護して安全性を確保するためには、民間企業や研究機関、そして市民社会からの協力も得ながら計画的に対応を進めていくことが特に重要です。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Earth Preta’s Cyberespionage Campaign Hits Over 200
By: Trend Micro
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)