カスペルスキー、「Kaspersky Lab APTレポート:2018年第2四半期」を公表
- 2018/07/13 10:30
- SecurityInsight
カスペルスキーは7月11日、Kaspersky Labのグローバル調査分析チーム(GReAT)がAPT攻撃について四半期毎にまとめている「Kaspersky Lab APTレポート」の2018年第2四半期を公表した。その概要は以下のとおり。
2018年4~6月の第2四半期は、主にアジア地域を攻撃対象とし、すでによく知られているサイバー犯罪グループと、あまり知られていないグループの両方が活発に活動していた。複数のグループが、地政学的にセンシティブな出来事に照準とタイミングを合わせて攻撃を行なっていた。
GReATのリサーチャーが同期間のAPT攻撃について調査した結果、新しいツール、手法や攻撃を仕掛けているグループが明らかになったが、なかには数年間活動していなかったグループの攻撃もあった。アジアを攻撃対象の中心とする傾向は変わらず、韓国語話者が関与しているとみられるLazarusやScarCruftの動きが活発だった。また、ロシア語話者によるとみられるTurlaが中央アジアおよび中東を標的とする際に使用した、LightNeuronマルウェアを発見した。
■Kaspersky Labのリサーチャーが確認した主な活動
・Olympic Destroyerの再来。2018年2月の平昌冬季オリンピックでの攻撃後、このサイバー犯罪グループによる新たな活動と思われる痕跡を発見した。今回は、ロシアの金融機関および欧州とウクライナの生物化学脅威対策の研究所が標的となっていた。低~中程度の確率で、複数の兆候がOlympic Destroyerとロシア語話者が関与しているとみられるサイバー犯罪グループSofacyとの関連性を示している。
・Lazarus/BlueNoroffが、より大規模なサイバースパイ活動の一環として、トルコの金融機関や中南米のカジノを標的としていることを示す兆候が見られた。これらは、北朝鮮の和平交渉が進む中でも、金銭を動機とする活動を継続していたことを示唆している。
・ScarCruftによる非常に高度な攻撃を確認した。同グループはAndroid用マルウェアを利用し、リサーチャーがPOORWEBと命名した新種のバックドアで攻撃を仕掛けていた。
・LuckyMouse(別名APT 27)は中国語話者が関与しているとみられるサイバー犯罪グループで、以前にアジアのISPを悪用し注目度の高いWebサイトを通じて水飲み場型攻撃を行なっていた。同グループがカザフスタンおよびモンゴルの政府機関を標的とし、両国が中国で会談をしている間、活発に攻撃していたことを確認した。
・VPNFilter攻撃は、Cisco Talosが発見し、FBIがSofacyまたはSandwormの関与を疑っているネットワーク機器を標的にするマルウェアを使う。この攻撃では、SOHOルーターやネットワーク接続タイプのNASデバイスの既知の脆弱性を狙っており、感染したネットワーク機器に接続しているコンピューターを感染させるためにトラフィックにマルウェアを注入することも可能。リサーチャーの解析では、ほぼすべての国でこの活動の痕跡を確認した。