北朝鮮のサイバー攻撃グループ「APT37」が活発化

『Security Affairs』

March 2, 2018 08:00
by 『Security Affairs』

国家支援型のハッキンググループ「APT37(別名ReaperGroup123ScarCruft)」に触れよう。彼らは北朝鮮のために活動しているAPTグループだと推測されている。

APT37は遅くとも2012年から活動している。今年の2月上旬には、そのAPTグループが「Adobe Flash Playerゼロデイを利用して韓国のユーザーにマルウェアを送り込んだ」ということが研究者たちによって明らかにされ、それは広く知られることになった。

APT37によるサイバー攻撃は、主に韓国の政府、防衛、軍事、およびメディアの組織を標的としていた。

FireEyeは以下の手がかりに基づいて、APT37を北朝鮮政府と結びつけた。
 
・北朝鮮のIPアドレスが利用されていること
・マルウェアの開発者が「北朝鮮のタイムゾーン(UTC +8:30)で」作業をする時間と、マルウェアのコンパイルのタイムスタンプが一致していること、また、それが(おそらくは)典型的な北朝鮮の平日と一致していること
・活動目的が「平壌にとっての利益」に沿っていること(つまり朝鮮半島再統一の活動に関連する組織や個人が標的となっていること)

その攻撃者(国家から支援を受けている攻撃グループ)の標的が、日本やベトナムの組織、さらには中東の組織にいたるまで広がっているということも、FireEyeの研究者たちによって明らかになった。そのハッカーたちは、化学製品、製造、電子機器、航空宇宙、ヘルスケア、そして自動車に関連する組織をも標的としていた。

FireEyeが発表した報告書には、次のように記されている。
「APT37は遅くとも2012年には活動を開始していたようで、主に韓国の公的部門と民間部門を狙って攻撃してきた。そして2017年には、APT37の攻撃対象が『朝鮮半島』を超えて日本、ベトナム、中東が含まれるようになり、また化学製品、電子機器、製造、航空宇宙、自動車、ヘルスケアの関連組織など、より広範囲の産業へと標的が拡大した」

APT37の標的先

専門家たちは、APT37が2017年に「北朝鮮政府とのジョイントベンチャー(同国に通信サービスを提供する事業)」に参入した中東の一企業も標的にしていたことを暴いている。

そのハッカーたちはFlash Playerと韓国で人気のワープロソフト「Hangul Word Processor」の複数の脆弱性を利用し、数種類のマルウェアを送り込んだ。

同グループが利用する武器には、ワイパーの「RUHAPPY」、データ抽出ツールの「CORALDECK」、ダウンローダー「GELCAPSULE」と「HAPPYWORK」、ランチャーの「MILKDROP」と「SLOWDRIFT」、情報を盗み出す「ZUMKONG」、オーディオキャプチャリングツールの「SOUNDWAVE」、そしてFireEyeが追跡したバックドア「DOGCALL」「KARAE」「POORAIM」「WINERACK」「SHUTTERSPEED」などがある。

「北朝鮮は概念の境界線や国際的な規範を無視して、さまざまな目的のためにサイバー能力を活用したいという意思を何度も示してきた。これまで最も積極的な活動を行っていると主張されてきたのは、主に『別の追跡された北朝鮮チーム(北朝鮮のチームだと疑われている別のチーム)』なのだが、APT37は(北朝鮮の)同体制が利用できる『追加のツール』であり、おそらくは『比較的、世に知られていない存在であってほしいもの』でもあるだろう」とFireEyeは結論づけている。

「今後APT37は、これまで馴染みの薄かった役割や地域における活動で、ますます活発になるだろうと我々は予想している」
 
翻訳:編集部
原文:North Korean APT Group tracked as APT37 broadens its horizons
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

本文にも書かれているが、ファイア・アイはAdobe Flashのゼロデイ(CVE-2018-4878)の脅威・攻撃シナリオというエントリーをが今年の2月2日に発表した。このエントリーでもAPT37の関与を指摘していたが、今回2月22日に発表されたこのレポートでは、APT37にフォーカスした内容ととなっている。

このレポートによると、APT37は日本もターゲットにしている。しかし、攻撃に関して具体的な企業名や手法については書かれていないのが気になってしまう。ただ日本がサイバー攻撃の対象となっているのは間違いなく、今後もAPT37の動きを、我々は注意深くチェックする必要がある。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…