Monthly Threat Actor Group Intelligence Report, December 2023 (JPN)

Monthly Threat Actor Group Intelligence Report, December 2023 (JPN)

このレポートは2023年11月21日から12月20日までNSHC ThreatReconチームから収集したデータと情報に基づいて分析したハッキンググループ（Threat Actor グループ）の活動をまとめたレポートである。

今年の12月には合計 36件のハッキンググループの活動が確認され、最も多い活動はSectorAグループの29％であり、 続きはSectorJ、SectorCグループの活動であった。

今年 12月に確認されたハッキンググループのハッキング活動は、政府機関や金融の分野に努めている関係者やシステムをターゲットにして最も多い攻撃を行った、地域ごとには東アジアやヨーロッパに位置した諸国をターゲットにしたハッキング活動が最も多いことが確認された。

1. SectorAグループ活動の特徴

2023年12月には合計5件のハッキンググループの活動が確認され、このグループはSectorA01、SectorA02、SectorA05、SectorA06、SectorA07グループである。

SectorA01グループの活動はイギリス、スウェーデン、ベラルーシ、ブラジル、日本、台湾、カナダ、アメリカ、シンガポール、オランダ、コロンビア、パキスタン、ルーマニア、イタリア、スペイン、ブルガリア、モロッコ、トルコ、フィリピン、ウクライナ、ベトナム、キプロス、チリ、韓国から確認された。このグループは採用担当者として偽装して求人活動を行っているのソフトウェア開発者をターゲットにしてインタビュープロセスを行うように誘導し、仮想の面接を通じて普通のプログラムのように偽装したマルウェアをインストールするように誘導した。

SectorA02グループの活動は、香港、イタリア、ウズベキスタン、日本、韓国から確認された。このグループは、未報告状態の資金の出所に関した証明書を提出するように要求する文書として偽装したWindowsショートカット（LNK）形式のマルウェアを使用し、最終的にシステム情報を収集するVisual Basic Scriptとバッチ（Batch）スクリプトファイルを使用した。

SectorA05の活動は韓国から確認された。 このグループは韓国の研究機関をターゲットに、試験及び研究用の生物体の輸入申告書として偽装した悪性のJavaScriptを使用した。 最終的に、DLL形式のマルウェアはシステム情報を収集し、C2サーバーから受信したコマンドを実行した。

SectorA06グループの活動は、ルクセンブルク、ベトナム、中国、スウェーデン、アメリカから確認された。このグループは、マックOS(macOS)ユーザーをターゲットに、暗号資産の取引に使用されるツールとして偽装した悪性のPythonスクリプトを使用し、VoIP(Voice over Internet Protocol)アプリケーションであるDiscordの公開チャンネルを通じて配布したことが分かった。

SectorA07グループの活動はアメリカ、韓国、タイ、香港から確認された。このグループは、メールアカウントのセキュリティチェックの案内文書として偽装したWindowsのショートカット（LNK）形式のマルウェアを使用し、ターゲットがマルウェアを実行すると最終的に難読化（Obfuscated）されたVisual Basic Scriptを通じてターゲットのシステム情報をC2サーバーに送信した。

現在まで続くSectorAハッキンググループの活動は、韓国と関わった政治や外交活動など政府の活動と関係ある機密情報を収集することを目当てにして、世界中をターゲットに金銭の獲得を目的としたハッキング活動を併行している。このグループのハッキングの目的は長期間にわたって継続しており、このような戦略的なハッキング目的にてしばらく変化なく進むと判断されている。

2. SectorBグループ活動の特徴

2023年12月には合計5件のハッキンググループの活動が確認され、このグループはSectorB01、SectorB22、SectorB72、SectorB73、SectorB85グループである。

SectorB01 グループ 活動は香港、アメリカから確認された。このグループは政府機関のシステムをターゲットにして Adobe ColdFusionの任意コードの実行の脆弱性(CVE-2023-26360)を利用して初期アクセス を試みた上、マルウェアを配布しつつ攻撃を行った。ターゲットのシステムでは実行中のプロセスの情報、ネットワークの接続状態、ローカル及びドメイン管理者のアカウント情報、ネットワークの仕組み、ユーザーの情報などが奪取され、今後の攻撃のための情報を収集した。

SectorB22 グループの活動は台湾から確認された。 このグループは台湾政府及び外交官をターゲットにして悪性のWindowsインストーラー(MSI、Microsoft Silent Installer)ファイルを配布して攻撃活動を行い、ターゲットシステムに配布したプラグX(PlugX)として知られているリモートコントロールのマルウェアを通じてC2サーバーから受信したコマンドに従ってシステム情報の収集及びキーロギング(Keylogging)、画面キャプチャ(Screen Capture)などの様々な悪性行為を行った。

SectorB72グループの活動は、フランス、中国、タイ、エジプト、アフガニスタン、オーストラリア、ルーマニアから確認された。このグループは中東、アフリカ、アメリカの政府、教育、小売、非営利団体、通信会社などの組織をターゲットにして、様々なマルウェアを配布しつつ攻撃活動を行い、ターゲットシステムに配布した様々なマルウェアを通じて、ユーザーの認証情報を収集したり、バックドア機能が導入されているマルウェアを通じてC2サーバーから受信したコマンドに従い、コマンドの実行、ファイルのアップロード及びダウンロードを行った。

SectorB73グループの活動はグアム、アメリカ、ウクライナ、韓国から確認された。このグループは政府組織やエネルギー組織の様々なルーターとファイアウォール製品をターゲットにしてマルウェアを配布し、攻撃活動を行った。

SectorB85 グループは、Luaプログラミング言語で作成したマルウェアを配布し、攻撃活動を行った。ターゲットシステムに配布されたマルウェアは、クラウドベースのリバースプロキシインフラをC2サーバーとして使用した。このグループは、ターゲットシステムに配布されたマルウェアを使用してシステム及びユーザー情報を収集し、C2サーバーに送信した。また、C2サーバーから受信したコマンドに従って、様々な悪性行為を行った。

現在まで続くSectorBハッキンググループの活動 は、世界中をターゲットにして諸国の政府機関の政治、外交活動などの政府活動と関係ある機密情報を収集するためであると分析されている。

3. SectorCグループ活動の特徴

2023年12月には合計5件のハッキンググループの活動が確認され、このグループはSectorC01、SectorC04、SectorC08、SectorC13、SectorC14グループである。

SectorC01 グループの活動は日本、トルコ、オランダ、インドネシア、インド、アメリカ、アラブ首長国連邦、ウクライナ、スロバキア、ルーマニア、ポーランド、ルクセンブルク、リトアニア、ヨルダン、イタリア、ブルガリア、チェコ、オーストラリア、フランス、ラトビアから確認された。このグループはイスラエルとハマスとの戦争と関係ある話題を使用してターゲットがマルウェアを実行するように誘導し、イスラエルとハマスとの戦争と関係ある話題を使用したMS Wordの囮ファイルを使用し、DLLサイドローディング技法を使用してマルウェアDLLファイルの実行及びバッチ(Batch)スクリプトを使用して追加分のマルウェア及び実行を試みた。

SectorC04 グループの活動はフィリピン、デンマーク、ポーランド、アメリカ、カナダ、タイ、イギリス、インド、南アフリカ共和国、中国、オーストラリアから確認された。このグループは車両の販売価格と関係あるAdobe  PDFファイルとして偽装したWindowsショートカット(LNK)ファイル形式のマルウェアを使用し、最終的には侵入テストツールであるコバルトストライク(Cobalt Strike)を使用した。

SectorC08グループの活動は、ロシアから確認された。このグループは国家の報酬政策 の受賞関係の内容のAdobe PDFファイルとして偽装したPE(Portable Executable)形式のマルウェアを使用し、最終的にリモートコントロールツールであるウルトラVNC(UltraVNC)を使用して情報収集を試みた。

SectorC13グループの活動は、ラトビア、ロシアから確認された。このグループは、鉄道輸送に関した書類として偽装したMS Wordファイル形式のマルウェアを使用した。ターゲットがこのMS Wordマルウェアを実行した場合、テンプレートインジェクション（Template Injection）技法を使用し、マルウェアが含まれたMS Wordテンプレートがダウンロード及び実行される。

SectorC14グループの活動は、資格証明の奪取ため、使用しているインフラ情報を隠す目的としてサーバーサイドスクリプト(Server-Side Script),、DGA(Domain Generation …

actor adobe basic batch capture cve cve-2023-26360 december december 2023 installer intelligence internet keylogging lnk macos microsoft msi obfuscated plugx protocol report screen screen capture silent threat threat actor voice voip