ファイア・アイ、北朝鮮国家の支援を受ける新たな脅威グループ「APT38」の詳細を発表
- 2018/10/09 10:00
- SecurityInsight
ファイア・アイは10月3日、北朝鮮国家の支援を受けている新たな脅威グループ「APT38」についての詳細なレポートを発表した。その概要は以下のとおり。
このグループは、これまで観察されている中でも最大規模のサイバー窃盗を行なっており、世界中の金融機関から数百万ドルの金銭を不正に取得しつつ、破壊型マルウェアを使用することで、被害者のネットワークを運用できない状態に陥れている。
APT38による活動の急増はおそらく、北朝鮮への経済制裁の高まりに対応するもので、資金窃盗を通じた国益の追求という、これまで以上に切羽詰まった状況を反映している。金銭窃盗を試みる前に、被害者の環境に不正アクセスし長期間滞在していることから、長期的な計画性を持っているという特徴がある。また、混合型OS環境に対する優れた攻撃スキル、カスタム開発ツールの使用、不正アクセス後の端末を完全に破壊しようと試みるなど、一貫した調査妨害活動がAPT38の特徴として挙げられる。
被害者のネットワーク内で観察されたAPT38の平均滞在期間は約155日で、不正アクセスを受けた環境内の最長滞在期間は約2年間と考えられる。公に報告された窃盗事例だけを見ても、APT38は、金融機関から11億ドル以上の窃盗を試みていたことが分かる。
侵入被害を受けた多くの企業・団体の事例を調査したところ、金融機関に対する標的活動とその後の窃盗行為は、一般的に同一なパターンを踏襲していることが判明した。APT38の全体的な攻撃のライフサイクルは以下のようになっている。
1.情報収集:SWIFT取引のメカニズムを理解するため、SWIFTシステムにアクセスできると思われる企業・団体の担当者や第三者を標的に調査を実施する。
2.初期侵入:水飲み場型攻撃や、パッチが十分に適用されていないApache Struts2の様に脆弱な状態にある標的を攻撃して侵入する。
3.内部偵察:マルウェアの展開を通じて認証情報を収集し、被害者のネットワーク・トポロジのマッピングを行なう。また被害者の環境内に現存するツールを悪用し、システムを精査する。
4.SWIFTサーバーへのピボット:SWIFTの構成・使用状況についての理解を深めるため、偵察用マルウェアと内部ネットワーク監視ツールをSWIFTシステムにインストール。被害者の企業・団体のセグメント化された内部システムにアクセスし、検知を回避できるよう、アクティブとパッシブ両方のバックドアをSWIFTシステムに展開する。
5.資金転送:マルウェアを展開・実行し、不正なSWIFT取引を挿入し、合わせて取引履歴を改竄。マネーロンダリングを目的として、別々の国にある銀行に開設された口座へ複数の取引を通じて資金を転送するケースが多くある。
6.証拠隠滅:証拠を隠滅し、フォレンジック分析を妨害するため、ログをセキュアに消去しつつ、ディスクワイプ用マルウェアを展開・実行する。
APT38のオペレーションの特徴として、証拠や被害者のネットワークを積極的に隠滅・破壊することを恐れていないことが挙げられる。こうした破壊性はおそらく、侵入の痕跡だけでなく、マネーロンダリング・オペレーションの証拠隠滅も図っているからだと思われる。この数年間、標的への不正アクセスと資金窃盗に大規模なリソースとネットワークを費やしてきたことを踏まえると、APT38の活動は将来的にも継続すると考えられる。