カスペルスキー、「APTレポート:2019年第2四半期」を公表
- 2019/08/19 10:30
- SecurityInsight
カスペルスキーは8月8日、「APTレポート:2019年第2四半期」を公表した。その概要は以下のとおり。
Kasperskyのグローバル調査分析チーム(GReAT)は4~6月の第2四半期、中東や韓国を標的としたAPT攻撃を多数検知した。このような攻撃の大半が目的とするのはサイバースパイや金銭詐取だが、少なくとも1件の攻撃キャンペーンでは、虚偽情報の拡散が目的であったことが明らかになっている。
GReATは5月にオンライン上に漏洩した、イランの組織に属するサイバースパイと思われる情報を分析し、その攻撃者の背後には別組織「Hades」が存在する可能性があると結論付けた。Hadesは「ExPetr」や2018年冬季オリンピックを標的とした攻撃「OlympicDestroyer」とも関わりがある組織である。
カスペルスキーのリサーチャーが調査した同期間のAPT攻撃では、中東で発生した複数の興味深い攻撃を観測している。例えば、ペルシャ語話者のサイバー犯罪集団として知られる「OilRig」と「MuddyWater」に属するとされる情報(コード、インフラストラクチャ、グループ、および標的の詳細など)が、オンライン上で続々と流出した件がある。
情報が漏洩したのは複数のソースからだったが、いずれも数週間のうちに発生した。3番目の漏洩は「RANA institute」と呼ばれる団体に関するものとみられる情報で、これはWebサイト「Hidden Reality」にペルシャ語で公開されていた。
GReATは、漏洩した情報、インフラストラクチャ、および専用Webサイトを分析した結果、この漏洩にHadesというサイバー犯罪組織が関連している可能性があるという結論に至った。Hadesは、ExPetrやOlympicDestroyer以外にも、2017年のフランス大統領選挙戦でのエマニュエル・マクロン氏に関連するメールの漏洩など、さまざまな虚偽情報の拡散にも関わっていると言われている。
■カスペルスキーのリサーチャーが確認した主な活動
・ロシア語話者のサイバー犯罪組織が継続的にツールを改良して新しいツールを編み出し、攻撃を続けている。例えば3月以降、「Zebrocy」はパキスタンおよびインドのイベント、政府組織関連、関係する外交官や軍隊を標的とするようになった。同時に、中央アジア政府のローカルおよびリモートのネットワークへのアクセスを続けている。「Turla」の攻撃は引き続き、急速に高機能化させたツールセットを特徴としている。Turlaの注目すべき事例としては、OilRigのインフラ乗っ取りがある。
・東南アジアでの攻撃は前四半期より減少する一方で、韓国での攻撃は数多く発生し続けている。「Lazarus」による韓国のモバイルゲーム企業を標的とした攻撃、またLazarusのサブグループである「BlueNoroff」による、バングラデシュの銀行と暗号資産(仮想通貨)を標的とした攻撃は注目に値する。
・「SixLittleMonkeys」という中国語話者のAPTグループによる、中央アジアの政府機関を標的とした活発な攻撃キャンペーンを確認した。この攻撃では、トロイの木馬「Microcin」の新バージョンが使用され、最終段階では「HawkEye」と呼ばれるRATが使用されている。