APT10 の関与が疑われる電気通信事業者に対する諜報活動
今週の水曜日(現地時間の火曜日)に イスラエルのセキュリティベンダー CyberReason より日本を標的とした攻撃でもよく知られている APT10 に関する記事を公開しました。
※本記事は、当該記事に関して簡単にまとめたものです。詳細は元記事をご確認下さい。
APT10 の概要は以下をご確認下さい。
https://www.fireeye.jp/current-threats/apt-groups.html#apt10
昨年 2018 年の末に、APT10 に関連する攻撃者2名が起訴されたことも話題になりました。
本件に関しては、外務省および NISC(内閣サイバーセキュリティセンター)も注意喚起を出しています。
https://www.nisc.go.jp/active/kokusai/pdf/press-1221.pdf
今月頭のブログ記事でも少々、APT10について触れましたが、それはアジアの国を標的としたものでした。
それでは、今回の記事の要点を以下に記載します。
要点
2019年の始め頃、数年間にわたり電気通信事業者を狙っている APT 攻撃がCyberreason により発見された
CyberReason の調査データに基づくと本攻撃は少なくとも2012年頃から確認されているとのこと
攻撃の目的は、CDR(Call Detail Record)の情報を電気通信事業者から窃取すること
攻撃グループによって、様々な個人情報を組み合わせて ID やパスワードを推測し、ADに侵入しようとする試みが観測されている
攻撃に使われるツールや手法は中華系の攻撃グループによって過去に利用が確認されているもの
一連の攻撃活動の中で攻撃が検知や防御されるとその手法は放置されるが、その後ツールや手法を変えて再度攻撃が行われていることを確認しているとのこと
最悪のシナリオとしては、ネットワークへの侵入を達成しシステムの破壊行為を行うことで、電気通信インフラが全面停止してしまうことだと述べている
攻撃手法の遷移は以下の図に示されています。
攻撃に使われるツール
Web Shells
- China Chopper と呼ばれる Web Shell の改編版が攻撃の初期段階で使われた
- 本ツールは後のフェーズでも用いられていることが確認されている
- 参考記事 https://www.cyber.nj.gov/threat-profiles/trojan-variants/china-chopper
偵察用ツール
- Nbtscan が有効な NetBIOS のネームサーバを特定するのに使われている
- Windows 標準の whoami や ipconfig、netstat なども利用されている
- 同様にして、WMI や Powershell の利用も確認されているとのことです
RAT
- PoisonIvy の利用
- PlugX の利用
これらは APT10 で利用されるツールとして有名です。
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-poison-ivy.pdf
- 認証情報の抽出ツール
- Mimikatz の改編版
- Mimikatz の詳細は以下のリンクをご参照ください
- Mimikatz の改編版
感染活動の拡大ツール
- WMI
- PsExec
プロキシツール
- hTran の改編版
- hTran の詳細はこちら
- ファイル圧縮ツール(情報の持ち出し時に利用)
- Winrar
まとめ
APT10 による諜報活動は長年にわたっており、日本にも大きな影響を与えています。
セキュリティ製品の売り文句にも使われやすいため、宣伝の記事が出ることも多いです。
ただ、確かに攻撃は続いているように見えますし、顕在化していない活動も多々あるように思います、
情報の真意はしっかり確認する必要がありますが、今後もおっていくべき標的がた攻撃グループだと思います。