Dell Technologies SecureWorksは10月12日(米国時間)、「BRONZE BUTLER Targets Japanese Enterprises|Secureworks Counter Threat Unit Threat Ingelligence」において、中華人民共和国に本拠地を持つと見られる脅威グループ「BRONZE BUTLER(通称 Tick)」の活動について伝えた。この企業は長期にわたって、日本企業を対象に情報窃取の取り組みを行っていると見られている。

BRONZE BUTLERが標的としている企業は重要インフラ、重工業、製造業、グローバル企業とされている。知的財産や機密情報の窃取を狙って、長期に渡って活動していると指摘している。対象のシステムに侵入する手口としてはスピアフィッシング攻撃、水飲み場型攻撃、ゼロデイ脆弱性などが見られるという。

「BRONZE BUTLER」が用いるマルウェアとしては、「Daserf」「xxmm」「Datper」が挙げられている。

BRONZE BUTLERによって使われているマルウェア 資料:SecureWorks

BRONZE BUTLERは対象のシステムから情報を盗んだあとは、侵入の痕跡を消すとしている。しかし、可能であるかぎり定期的にシステムへ侵入し、さらなる情報窃取の機会をうかがうようだ。C2プロトコル(Command and Control)は暗号化されており、ネットワーク管理者による存在の発覚を避けるように工夫していると説明がある。

活動がすでに長期にわたって続いていることや新たなマルウェアを開発する能力を持っていること、複数の感染方法を活用して侵入を行っていることなどを考えると、今後も情報窃取の活動が継続する可能性が高いと見られる。