レポートについて
本レポートでは、2022年度 (2022年4月から2023年3月) に観測された、日本の組織から機密情報 (個人情報、政策関連情報、製造データなど) を窃取しようとする攻撃キャンペーンに関する分析内容を、注意喚起を目的として記載しています。ステルス性の高い遠隔操作マルウェア (RAT) を用いた事案を中心に、新しい攻撃手法やその脅威の検出について記載しています。
レポートの最後には、本文中で紹介した攻撃キャンペーンで使われたインディケータを掲載しています。
攻撃のタイムラインと攻撃が観測された業種
2022年度は、2021年度の観測1から継続してAPT10攻撃グループのLODEINFOマルウェア2を使った攻撃がこれまで同様にメディアや安全保障関連といった業種で活発に観測されました。LODEINFOマルウェアを使った攻撃では、配送されるファイルがOfficeのマクロファイルに加えてVHD形式のディスクイメージファイルが使われた事や、DLLサイドローディングに利用する正規実行ファイルの変更、ローダDLLの難読化といった変化が確認されました。これらと比べると、メモリ上のペイロードであるLODEINFO本体は若干のアップデートにとどまっていました。また、以前から継続した攻撃キャンペーンの一環と思われる攻撃として、Lazarus攻撃グループの仮想通貨関連組織を標的としたショートカットファイルをダウンロードのコマンドとして悪用する攻撃が観測されています。この観測については、2019年頃に報告された手法3とほとんど変化がありませんでした。2022年度から新しく観測された攻撃として、Operation RestyLink4 5、EneLink6 7、Earth Yako8攻撃グループによる攻撃キャンペーンを安全保障関連の組織で観測しました。また、2022年度から新たに観測された攻撃として、TA410攻撃グループによるFlowCloud マルウェアを使った攻撃9 10、Pirate Panda(別名 Tropic Trooper、GouShe)11の攻撃が観測されました。この2 つの攻撃キャンペーンは、国内の製造業種の中国拠点での観測でした。これら攻撃の観測について、FlowCloudマルウェアがUSBメモリからの感染であった点を除いて、スピアフィッシングメールやチャットツールの添付ファイルが主な感染経路となっていました。2021年度までは、A41APT攻撃キャンペーンのようにVPN装置といった公開システムの脆弱性をついて侵入する攻撃が見られましたが、2022年度の特徴としては公開システムからの侵入事案が減少した観測となりました。
表 1. タイムチャート
図 1. 標的組織のパイチャート (2022年度)
2022年度は、LODEINFOマルウェアとOperation RestyLink攻撃キャンペーンの標的として、安全保障関連の組織への攻撃が多く観測されました。また、LODEINFOマルウェアを使った攻撃キャンペーンでは、2021年度に一度観測されなくなったものの、2020年度まで攻撃が観測されていたメディア業種で再び観測がありました。国内組織の製造業の攻撃検出については、中国拠点で集中的な攻撃の観測があり、中国でビジネスを展開されている国内企業は、本レポートのTA410やPirate Pandaといった攻撃グループの手法などもセキュリティ対策の参考にして頂ければと思います。
- はじめに
- 攻撃のタイムラインと攻撃が観測された業種
- 攻撃の概要
- 2022年5月
- 2022年7月
- 2022年8月
- 2022年9月
- 2022年11月
- 2023年3月
- 新しいTTPsやRATなど
- Pirate Panda 中国拠点のスピアフィッシング攻撃
・配送されたマクロファイルとEntryShell RAT
・WORDアイコンの実行ファイルとCobalt Strike Beacon
・Pirate Pandaのネットワークインフラストラクチャ
・Pirate Panda攻撃キャンペーンの特徴と検出 - LODEINFOを使う攻撃キャンペーン
・v0.6.6
・v0.6.8
・LODEINFO攻撃キャンペーンの特徴と検出
- Pirate Panda 中国拠点のスピアフィッシング攻撃
- 攻撃グループごとのTTPs(戦術、技術、手順)
- TTPsより考察する脅威の検出と緩和策
- マルウェアの配送・攻撃について
- インストールされるRAT、遠隔操作(C2サーバについて)
- 検知のインディケータ
- https://www.macnica.co.jp/business/security/cyberespionage_report_2021_6.pdf
- https://blogs.jpcert.or.jp/ja/tags/lodeinfo/
- https://blogs.jpcert.or.jp/ja/2019/07/shorten_url_lnk.html
- https://security.macnica.co.jp/blog/2022/05/iso.html
- https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
- https://www.ipa.go.jp/security/j-crat/ug65p9000000nks8-att/000099786.pdf
- https://www.ipa.go.jp/security/j-crat/ug65p9000000nks8-att/000106897.pdf
- https://www.trendmicro.com/ja_jp/research/23/a/targeted-attack-campaign-earth-yako.html
- https://www.eset.com/jp/blog/welivesecurity/lookback-ta410-umbrella-cyberespionage-ttps-activity/
- https://insight-jp.nttsecurity.com/post/102id0t/usbflowcloud
- https://attack.mitre.org/groups/G0081/