タイムチャート
標的組織のパイチャート(2020年度)
2020年度はテレワークが推進され、その隙間を突いたセキュリティインシデントが数多く発生しました。その中でも、情報窃取を目的とした日本に着弾する標的型攻撃(サイバーエスピオナージ)は、日本企業の競争力の源泉を奪い国際産業競争力を低下させる脅威となるものの、長期間にわたって侵害に気づかない組織も少なくありません。日本企業は、機密情報(個人情報、政策関連情報、製造データなど)を窃取しようとする攻撃キャンペーンに関する情報を入手し、早期の検出をすることで情報の流出を防止する必要があります。
2020年度の攻撃動向は、前年度の観測と比較すると、2019年度に比較的活発であった国内の組織を標的としたTickとBlackTech攻撃グループの活動が低下し、LODEINFOマルウェアを使うAPT10攻撃グループ、A41APT攻撃キャンペーンの報告されたAPT10攻撃グループの攻撃が活発に観測されました。
<タイムチャート>
画像1: https://www.atpress.ne.jp/releases/259636/LL_img_259636_1.png
タイムチャート
これまでの観測同様、上期にDarkHotel攻撃グループと思われる攻撃活動の観測があり、新たにCloudDragon(Kimsuky)やDarkSeoul攻撃グループのVSingle※マルウェアを使う攻撃が日本に対して行われていたと分析しています。また年間を通して、LODEINFOマルウェアを使うAPT10攻撃グループのメディア、シンクタンクを標的とした攻撃が活発に見られました。一方、APT10攻撃グループの同種のローダー(DES_Loader)からいくつかの異なるペイロード(SodaMaster, P8RAT, Cobalt Strike Stager Shellcode, xRAT)をメモリに展開して攻撃するA41APT攻撃キャンペーンも観測されました。
A41APT攻撃キャンペーンが観測された標的は、複数の製造業やITサービスと多く、A41APT攻撃キャンペーンの公開情報では、その他に政府、医療、衣料品関連などの業種も標的になっていたとされており、日本を標的とした攻撃グループとしては、もっとも活発に攻撃活動を行っていたのではないかと分析しています。
※マクニカネットワークスでは、VSingleマルウェアを使う攻撃グループは、Lazarus攻撃グループの中でもDarkSeoulと関連のある攻撃グループとして特徴を分けて分析しています。
<標的組織のパイチャート(2020年度)>
画像2: https://www.atpress.ne.jp/releases/259636/LL_img_259636_2.png
標的組織のパイチャート(2020年度)
標的組織としては、年間を通してAPT10のLODEINFOマルウェアを使った攻撃がメディア、シンクタンクを標的として行われたため、割合が大きくなっています。APT10のA41APT攻撃キャンペーンは、製造業の観測が多くありますが、標的型攻撃の中でもかなり検出が困難な部類であり、ここに含まれていない政府、医療、衣料品といった業種も注意する必要があります。この攻撃は、スピアフィッシュメールからの侵入はなく、マルウェアに感染した端末は国内企業の海外含む関連企業のサーバOSが大半で感染台数が少なく、C2サーバのIPアドレスは各感染ホストで異なります。そのため、国内企業の本社ネットワークと比べて対策が手薄な拠点への侵入だけでなく、ハッシュ値やIPアドレスといった静的なIOCでの検出も困難です。
詳細はレポートにて解説しておりますので、そちらをご確認ください。レポートの後半には検出手法も記載しておりますので、そちらを参考に自組織の確認を行っていただければと思います。マクニカネットワークスは今後も日本企業の産業競争力を徐々に蝕んでいく標的型攻撃に対して、粘り強い分析と啓蒙活動に取り組み、微力ながらも日本経済の発展に寄与できるよう努めてまいります。
■「標的型攻撃の実態と対策アプローチ第5版~日本を狙うサイバーエスピオナージの動向2020年度~」目次
・はじめに
・攻撃のタイムラインと攻撃が観測された業種
・攻撃の概要
2020年4月 (メディア、シンクタンク、N/A)
2020年5月 (N/A)
2020年6月 (製造業)
2020年8月 (製造業)
2020年10-12月 (複数の製造業、ITサービス)
2020年12月- 2021年2月 (メディア、シンクタンク)
・新しいTTPsやRATなど
CloudDragon(Kimsuky)
A41APT攻撃キャンペーン侵入後の攻撃ツール
安全保障の関係者を狙ったとみられる攻撃
中国語圏を拠点とする攻撃グループの連携(Sanyo, Tick, Winnti Group)
LODEINFO 進化を続ける攻撃キャンペーン
・攻撃グループについて
・攻撃グループごとのTTPs(戦術、技術、手順)
・TTPsより考察する脅威の検出と緩和策
マルウェアの配送・攻撃について
インストールされるRAT、遠隔操作(C2サーバについて)
侵入拡大・目的実行
・検知のインディケータ
<レポートダウンロード先>
https://www.macnica.net/mpressioncss/feature_07.html/?utm_source=webmedia&utm_medium=media&utm_campaign=mnc_mnc210520&utm_content=SecurityReport-PressR
またマクニカネットワークスでは、この他にも攻撃や脆弱性、セキュリティソリューションについての情報提供を行っております。現在5月17日~21日の期間で、Macnica Security Forum 2021を開催中です。こちらもぜひご参加ください。
https://macnicanetworks.oatnd.com/msf2021?utm_medium=press&utm_source=press&utm_campaign=msfsm210517&utm_content=threat_report_press
【TeamT5 会社概要】
TeamT5は、世界有数のマルウェア分析チームであり、アジア太平洋圏におけるサイバースパイ活動に対するベストソリューションプロバイダーです。サイバー脅威の監視、分析、追跡を行いクライアントのシステムとネットワークを攻撃から守ることを支援しています。更に脅威インテリジェンス、分析レポート、APT対策ソリューション、脅威分析、インシデントレスポンスサービスを提供しています。メンバーは、数多くの世界的なセキュリティカンファレンスで研究成果を発表しています。
会社名 : Team T5, Inc.
本社所在地 : 台湾 台北 No. 46, Ln. 11, Guangfu N.Rd., Songshan Dist., 105Taipei City, Taiwan
CEO : Sung-ting Tsai
ウェブサイト: https://teamt5.org/
事業内容 : 脅威インテリジェンスサービス、
標的型攻撃対策ソリューションの開発、
インシデントレスポンスサービスなどのサービス提供
【マクニカネットワークス 会社概要】
マクニカネットワークスは、数多くの海外企業と提携し、豊富な経験や研究により培ってきたインテリジェンスを元に、最適な最先端テクノロジーを提供する技術商社です。ラインナップはセキュリティやネットワークインフラ、AI、DXなど多岐にわたり、製品の導入から運用・サポートに至るまでの万全なサービスにより、官公庁や教育機関・一般企業など数多くのお客様への導入実績を誇ります。
会社名 : マクニカネットワークス株式会社
資本金 : 3億円(2021年3月31日現在)
※株式会社マクニカ100%出資子会社
本社所在地 : 〒222-8562 横浜市港北区新横浜1-5-5
代表者 : 代表取締役社長 池田 遵
ウェブサイト: https://www.macnica.net/
事業内容 : 企業向けネットワーク、
セキュリティ関連ハードウェア・ソフトウェアの輸出入、開発、
販売コンサルティング・保守サービスにわたるITソリューションの提供
※ 本文中に記載されている会社名、製品名は、各社の登録商標または商標です。
<本件に関するお問い合わせ先>
マクニカネットワークス株式会社 セキュリティ研究センター
TEL : 045-476-2010
Email: mss@cs.macnica.net