日本組織を狙うAPT集団「Blue Termite」 年金機構へのサイバー攻撃にも関与か

『Security Affairs』

August 28, 2015 08:00
by 『Security Affairs』

セキュリティ企業カスペルスキーの専門家によると、Blue Termite(ブルーターマイト:青いシロアリ)と名付けられたAPT(Advanced Persistent Threat)グループが、少なくとも2013年11月以降から日本の組織への攻撃を中心とした活動を続けているという。このAPT集団Blue Termiteは、他の世界中の組織にも攻撃を仕掛けているが、そのコントロールインフラ(C&Cサーバー)の大部分が日本に設置されている。

ターゲットとなった組織の数は多い。これには、政府機関や金融サービス会社、銀行、大学、公益団体、報道機関が含まれている。また、自動車やヘルスケア、化学、電気、不動産、食品、建設、保険、運輸、ロボット、半導体、情報サービスといった様々な業種の組織も狙われた。

専門家によると、日本年金機構へのサイバー攻撃はBlue Termiteによるものだという。この事件では、125万人分の詳細な個人情報が漏洩した。

研究者は、Blue Termite関連の感染数が7月以降急拡大しており、APTが今も活動的に行われていることに気づいた。7月に同グループは、Hacking Teamへのハッキングで漏洩した Flash Playerのエクスプロイト(CVE-2015-5119)を悪用し始めたという。このAPT集団は、Flach Playerのエクスプロイトが一般に公開される前に、スピアフィッシングメールに使用して被害者を感染させている

7月、Blue Termiteのハッカーはハッキングした日本の複数のWebサイトにHacking Teamから流出したエクスプロイトを仕込んだ。これは、そのWebサイトにアクセスしてきたユーザーに対し、ドライブ・バイ・ダウンロード攻撃により攻撃キャンペーン用のマルウェアを送り込むためだ。

あるケースでは、このAPT集団は特定のユーザーのコンピューターのみを感染させるという極めて正確なオペレーションを行った。彼らは、日本政府の著名メンバーに対して水飲み場型攻撃を採用していたのだ。

また別のケースでは、特定の日本の組織のIPアドレスからハックしたWebサイトに訪れたユーザーのみが感染したことを確認するスクリプトを使用していた。

Blue Termiteは、Emdivi(エンディビ)ファミリーに属するデータ窃取マルウェアをカスタマイズして利用している。

「カスペルスキー・ラボは、カスタム化されたマルウェア『Emdivi t20』を検知した。基本的には、このマルウェアはバックドアの機能を果たすEmdivi t17 を感染させた後に使用される。Emdivi t17 もEmdivi t20 も同じEmdiviの種類から派生したものだ。しかし後者の方がより洗練されている」と『SecureList』に掲載された記事で述べている。
「Blue Termiteが使用するマルウェアについて最も興味深い点の1つは、それぞれの被害者に個別のマルウェアが提供されているという点だ。このマルウェアは、Blue Termiteが狙う特定のパソコンでしか起動しないように作られている」とカスペルスキーは説明した。

APTが誰によるものかを割り出す(アトリビューション)のは簡単ではない。しかしカスペルスキーの専門家は、攻撃者は中国語の話者だと推測する。

Blue TermiteのAPT攻撃を解析した企業はカスペルスキーだけではない。シマンテックもこれを監視しており、2014年11月に「CloudyOmega」と名付けたサイバー諜報キャンペーンに関するレポートを発行している。

シマンテックは、CloudyOmegaの背後にいるこのAPT集団はHidden LynxAPTや「LadyBoyle」攻撃を実行したグループと関連性があるとレポートしている。

また、トレンドマイクロもこのAPT集団に関するレポートを発表した。

翻訳:編集部
原文:Blue Termite APT group focuses on Japanese organizations
※本記事は『Security Affairs』の許諾のもと、日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…