Monthly Threat Actor Group Intelligence Report, January 2024 (JPN)

April 3, 2024, 1:30 a.m. | MalBot

Malware Analysis, News and Indicators - Latest topics malware.news

このレポートは2023年12月21日から2024年1月20日までNSHC ThreatReconチームが収集したデータと情報に基づいて分析したハッキンググループ(Threat Actor Group)の活動をまとめたレポートである。

今月1月には、合計26件のハッキンググループの活動が確認され、最も多い活動はSectorAグループの30％であり、続きはSectorB、SectorJグループの活動であった。

今年の1月に確認されたハッキンググループのハッキング活動は、政府機関や教育分野に努めている関係者やシステムをターゲットにして最も多い攻撃を行った。地域ごとにはヨーロッパや東アジアに位置した諸国をターゲットにしたハッキング活動が最も多かったと確認された。

1. SectorAグループ活動の特徴

2024年1月には合計5件のハッキンググループの活動が確認され、このグループはSectorA01、SectorA02、SectorA05、SectorA06、SectorA07グループである。

SectorA01グループの活動はスペイン、アメリカ、ドイツ、ブラジル、フランス、セルビア、バングラデシュ、トルコ、イスラエル、インド、ロシア、スイス、韓国から確認された。このグループは主にSSH、テルネット(Telnet)ターミナル(Terminal)接続に使用されるプッティ(Putty)ソフトウェアとして偽装したPE(Portable Executable)形式のマルウェアを使用した。

SectorA02グループの活動はアメリカ、ルーマニア、韓国から確認された。このグループは韓国の統一戦略フォーラムの案内文書として偽装したWindowsショートカット(LNK)形式のマルウェアを使用し、最終的にパワーシェル(PowerShell)コマンドを通じて追加分のマルウェアをダウンロードし、メモリ領域にて実行した。

SectorA05グループの活動は、スロバキア、韓国、香港、中国、ロシア、トルコ、タイ、ドイツ、シンガポールから確認された。このグループは、個人及び政府機関が無料で利用できるフォックスイットPDFリーダー（Foxit PDF Reader）のアップデートとして偽装したPE（Portable Executable）形式のマルウェアを使用した。

SectorA06グループの活動はコロンビアから確認された。このグループはマックOS(macOS)ユーザーをターゲットに、画像ファイル形式の拡張子(JPG)を使用して画像ファイルとして偽装されたMach-Oマルウェアを使用した。

SectorA07グループの活動はアメリカから確認された。このグループは特許手数料の支払証明書として偽装したWindowsヘルプ(Compiled HTML Help, CHM)ファイル形式のマルウェアを使用し、最終的にパワーシェル(PowerShell)コマンドを通じ追加分のマルウェアをダウンロード及び実行する。

現在まで続くSectorAハッキンググループの活動は、韓国と関わった政治や外交活動など政府の活動と関係ある機密情報を収集することを目当てにして、世界中をターゲットに金銭の獲得を目的としたハッキング活動を併行している。このグループのハッキングの目的は長期間にわたって継続しており、このような戦略的なハッキング目的にてしばらく変化なく進むと判断されている。

2. SectorBグループ活動の特徴

2024年1月には合計6件のハッキンググループの活動が確認され、このグループはSectorB01、SectorB22、SectorB38、SectorB73、SectorB75、SectorB86グループである。

SectorB01グループの活動は中国、イギリス、台湾、韓国から確認された。このグループは「中国-アフリカ関係」というタイトルの文書として偽装した悪性のWindowsショートカット（LNK）ファイルや悪性のJavaScript（JS）ファイルを含む7-Zip圧縮ファイルを配布し、攻撃活動を行った。最終的に、ターゲットのシステムにて侵入テスト（Penetration Testing）ツールであるコバルトストライク（Cobalt Strike）を実行し、C2サーバーから受信した様々なコマンドによって悪性行為を行った。

SectorB22グループの活動はアメリカ、ミャンマーから確認された。このグループは、東南アジア諸国連合(Association of Southeast Asian Nations, ASEAN)のノートとして偽装したWindowsのディスクイメージ(ISO)ファイルを配布して攻撃活動を行い、最終的にターゲットのシステムからダウンロード機能が導入された悪性のDLLファイルを通じてC2サーバーから追加分のマルウェアをダウンロードして実行するよう誘導し、今後の公的のための足場を固めた。

SectorB38グループの活動はフィリピン、マレーシアから確認された。このグループは、アメリカよりベトナムにおける特定の問題に関した文書の公開と関係ある内容の国防省関連の文書として偽装したMS RTF（リッチテキストフォーマット）ファイルを配布して攻撃活動を行い、最終的にターゲットのシステムでダウンロード機能が導入されたマルウェアを通じてC2サーバーから追加分のマルウェアをダウンロードして実行するよう誘導し、今後の攻撃のための足場を固めた。

SectorB73グループの活動は、アメリカ、イギリス、オーストラリアから確認された。このグループは、シスコ(Cisco) RV320及びRV325ルーターの脆弱性を悪用した攻撃活動を行い、最終的にターゲットのシステムにウェブシェル(WebShell)をインストールした、リモートコマンドを通じて悪性行為を行った。

SectorB75グループはバラクーダネットワークスの電子メールセキュリティゲートウェイアプライアンス（Barracuda Networks Email Security Gateway Appliance）のゼロデイ（Zero Day）脆弱性を悪用した攻撃活動を行った。

SectorB86グループは、イバンティコネクトセキュア（Ivanti Connect Secure、ICS）のVPN装置のゼロデイ（Zero Day）脆弱性を悪用した攻撃活動を行い、ターゲットのシステム上で脆弱性を悪用してウェブシェル（WebShell）をインストールし、リモートコマンドを実行しつつ追加分の攻撃コマンドを実行するための足場を固めた。また、このごループは同じ脆弱性を悪用して、ターゲットのシステムにXMRig暗号資産のマイニングソフトウェアとラスト（Rust）ベースのマルウェアを配布して攻撃活動を行った。

現在まで続くSectorBハッキンググループの活動は、世界中をターゲットにして諸国の政府機関の政治、外交活動などの政府活動と関係ある機密情報を収集するためであると分析されている。

3. SectorCグループ活動の特徴

2024年1月には合計2件のハッキンググループの活動が確認され、このグループはSectorC01、SectorC14グループである。

SectorC01グループの活動はウクライナ、ポーランドから確認された。このグループはポーランドの水資源管理を担当する国家機関であるポーランド海域（Polish Waters）の会計の文書として偽装したWindowsのショートカット（LNK）形式のマルウェアを使用した。このマルウェアはインターネットメッセージアクセスプロトコル（Internet Message Access Protocol、IMAP）を通じて攻撃者のコマンドを受信し、ファイルのアップロード、ダウンロード、及び実行機能が導入されていることが分かった。

SectorC14グループの活動は、チェコ、ウクライナ、ルーマニアから確認された。このグループは、暗号化されたPDFファイルとして偽装した囮ファイルを使用して攻撃者に配信し、普通のファイルの閲覧のために暗号化を解除するプログラムとして偽装したPE（Portable Executable）形式のマルウェアを実行するよう誘導した。

現在まで続くSectorCハッキンググループの活動は、このグループを支援する政府と隣接した国家を含んだ世界中をターゲットに各国家の政府機関の政治、外交活動及び政府活動関係の機密情報を収集するための目的であると分析されている。