Kaspersky Labはこのほど、「Kaspersky report on APT trends in Q3 2024|Securelist」において、2024年第3四半期の持続的標的型攻撃(APT: Advanced Persistent Threat)に関するインテリジェンスレポートを公表した。
このレポートは非公開レポートの代表的な部分について概要をまとめたもので、世界中のAPT活動とその分析を伝えている。
注目すべき2つの発見
Kaspersky Labは、同レポートにおける注目すべき発見として、2022年後半から確認されている未知の脅威アクターによる継続的なサイバー攻撃と、2024年に確認されたUSBドライブの侵害事案を取り上げている。前者は「P8」と名付けられたサイバー攻撃フレームワークを使用することが確認されているが、その感染ベクトルは現在も不明のままだという。
後者はセキュアUSBドライブを侵害するサイバー攻撃を指す。このセキュアUSBドライブは東南アジアの政府機関によって開発された、機密情報の共有を可能にするUSBドライブとされる。
セキュアUSBドライブにはアクセス管理ソフトウェアがインストールされているが、脅威アクターはアクセス管理ソフトウェアを改ざんしてトロイの木馬を注入し、機密情報を窃取したとされる。
世界中のAPT活動
Kaspersky Labは世界中のAPT活動を地域ごとに分類し、その概要を伝えている。その注目される主な活動は次のとおり。
中国のAPT活動
Kaspersky Labは2021年から2022年にかけて、ロシア政府を主な標的とする中国のAPTグループ「APT31」による複数のサイバー攻撃を観測した。2023年は活動を確認できなかったが、2024年7月、スピアフィッシングメールを使用するAPT31による攻撃を観測した。新しい攻撃では標的がロシア政府からロシアの教育機関に変更され、限定的な機能を持つバックドアが使用された。
EU地域
少なくとも2021年7月から活動しているロシアのAPTグループ「Awaken Likho」は、インド、中国、ベトナム、台湾、トルコ、スロバキア、フィリピン、オーストラリア、スイス、チェコ共和国など多くの国や地域を標的にしている。2024年5月に確認された新しいキャンペーンでは、OneDrive更新ユーティリティに偽装したUltraVNCが配布された。
2024年6月からは、さらに新しいキャンペーンを開始。現在も継続中とされるこのキャンペーンでは、最終ペイロードをUltraVNCからMeshAgentに変更した。
中東
2023年9月、ESETは中東の脅威アクター「FruityArmor」が使用する高度なバックドア「DeadGlyph」のレポートを公開した。最近になり、アーキテクチャとワークフローコンポーネントの両方に変更が加えられたDeadGlyphの最新バージョンが特定されている。
イランのAPTグループ「MuddyWater」は最近の活動において、エジプト、カザフスタン、クウェート、モロッコ、オマーン、シリア、アラブ首長国連邦の政府機関および通信機関に対し、VBS/DLLベースのインプラントを展開した。このインプラントは、スケージュールされたタスクを通じて永続性を実現する。
東南アジアと朝鮮半島
Kaspersky Labは東南アジアのAPTグループとして、「Dragon Breath」、「Bitter」、「Tropic Trooper(別名: Pirate Panda)」などを追跡している。2024年6月、Tropic Trooperと推定される活動を観測した。標的サーバはCMS(Content Management System)として「Umbraco」を使用しており、検出したWebシェルは、Umbracoの.NETモジュールだったとされる。
北朝鮮のAPTグループ「Kimsuky」が、最近になりマルウェア「GREASE」の最新バージョンを使用したことが観測された。2024年3月には日本企業を標的にサイバー攻撃を実施したことが確認され、7月にJPCERT/CCから注意を喚起する情報が出されている(参考:「韓国企業狙うサイバー攻撃の矛先が日本企業へ、JPCERT/CCが警戒呼びかけ | TECH+(テックプラス)」)。
レポートではこれら以外に、ハクティビストの活動、未知のマルウェアを使用したサイバー攻撃キャンペーンなどについて解説している。これらは全体の一部にすぎず、世界中にはさまざまな脅威グループが存在し、多様なサイバー攻撃が日々繰り広げられている。
このような脅威に対抗するため、コンピュータや通信機器に触れるすべてのユーザーには、脅威を適切に恐れ、最新の脅威情報を収集し、プロアクティブな対策の実施が求められている。