中国の通信会社を狙うハッカー集団「DarkHotel」

『Security Affairs』

April 4, 2016 15:00
by 『Security Affairs』

脅威情報分析のスタートアップThreatBookによると、APTグループDarkHotel が中国と北朝鮮の通信会社の幹部を狙っているという。

2014年11月、Kaspersky Labのセキュリティ専門家が初めてDarkHotelの諜報活動について明らかにした。DarkHotelチームに厳選された企業の幹部で海外出張を行う人間を狙ったハッキング活動が少なくとも4年も実施されていたことを同社の専門家が発見したのだ。専門家によると、DarkHotelの活動の背後にいる攻撃者は、幹部が高級ホテルに滞在している間に機密データを盗もうとしていたようだ。

攻撃者は極めて高い精度で狙ったデータを盗み取り、自分たちの活動の形跡を全て削除するという高度な技術を有するプロフェッショナルのようだ。この集団が、同じ標的を二度攻撃することは決してないということに研究者は気付いた。標的には、アジア太平洋地域への出張がある米国やアジアのCEOや副社長、R&Dエンジニアのトップ、販売・マーケティングディレクターが含まれている。

ThreatBookの専門家は、この新しいキャンペーンを「DarkHotel Operation 8651」と名付けた。ハッカーはスピアフィッシングメールを使用し、既に少なくとも1社に侵入している。

スピアフィッシングメールには悪意あるドキュメントが添付されている。その多くは、巧妙に作られたSWFファイルがダウンロード可能なリンクとして組み込まれたWordドキュメントだ。

DarkHotelのハッカーは、 12月28日にAdobeが緊急で修正パッチをリリースしたAdobe Flashの脆弱性CVE-2015-8651を悪用していた。

攻撃者は悪意のあるコードを OpenSSLライブラリのコンポーネントに偽装させた。マルウェアが、抗サンドボックスやジャスト・イン・タイムのの暗号解読といった検知されないための対策を多数実装していることに専門家が気付いた。

DarkHotelをもっとよく理解するために、2015年8月にKapersky Labが提供した新情報によって明らかになった更なる詳細を紹介しよう。北朝鮮やロシア、韓国、日本、バングラデシュ、タイ、インド、モザンビーク、ドイツの企業が、2015年にDarkHotelグループに狙われたということをKasperskyは確認している。

DarkHotelは、Flash Playerのエクスプロイトへのリンクを含むフィッシングメール を使用していた。このエクスプロイトは、監視企業Hacker Teamが被害を受けたデータ漏えいによって明らかになった。

「……7月初めには、漏えいしたHacking TeamのFlashのゼロデイと言われるものを配布し始めた。これはDarkHotelが、漏えいしたHacking TeamのFlashのゼロデイを特定のシステムを狙うために使用しているということのようだ」とKasperskyはブログに投稿した

DarkHotel グループは2010年から、感染させたシステム上でバックドアやダウンローダーコードを提供するために難読化されたHTMLアプリケーション(HTA)ファイルを使用しており、専門家が8月に悪意のあるHTAファイルの新しい亜種を発見している。

「Microsoftが1999年に導入したHTMLアプリケーションのような古いWindowsの特有の技術に大きく頼っているのは、妙だ」と専門家はコメントしている。

またこのハッカーらは、より効果的な回避技術を使用して難読技術を改善している。あるケースでは、攻撃者は有名なアンチウィルスソリューションを検知するために開発された署名されたダウンローダを使用している。

過去にDarkHotelが使用したスピアフィッシングメールには、無害の.jpgファイルが入っているように見える.rarアーカイブが添付されている。実際には、このファイルはRTLO(right-to-left override)として知られる技術を使用した、JPEGに見せかけた.scrの実行ファイルである。ファイルが開かれるとPaintアプリケーションで画像が表示されるが、その影で悪意のあるコードが実行される。

DarkHotelグループが操る諜報活動に関する他の目新しい点は、マルウェアに署名するために盗まれたデジタル証明書が使われていることだ。

Kasperskyの専門家によると、同APTグループは朝鮮語話者のようだ。
 
翻訳:編集部
原文:DarkHotel hackers are back targeting Chinese Telecom
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…