Monthly Threat Actor Group Intelligence Report, November 2023 (JPN)

Monthly Threat Actor Group Intelligence Report, November 2023 (JPN)

2023年10月21日から2023年11月20日までNSHC のThreatReconから収集したデータと情報に基づいて分析したハッキンググループ（Threat Actor Group）の活動をまとめた内容である。

今年の11月には合計 29のハッキンググループの活動が確認され、最も多い活動はSectorAグループの29％であり、 続きはSectorJ、SectorEグループの活動であった。

今年 11月に確認されたハッキンググループのハッキング活動は、政府機関や国防の分野に努めている関係者のシステムをターゲットにして最も多い攻撃を行った。地域ごとにはヨーロッパや東アジアに位置した諸国をターゲットにしたハッキング活動が最も多かったと確認された。

1. SectorAグループ活動の特徴

2023年11月には合計5件のハッキンググループの活動が確認され、このグループはSectorA02、SectorA04、SectorA05、SectorA06、SectorA07グループである。

SectorA02グループの活動は、韓国とアメリカから確認された。このグループは、北朝鮮の国際安全保障軍事情勢関係のファイルでWindowsのショートカット（LNK）形式のマルウェアを使用し、最終的にはPowerShellコマンドを介して追加分のマルウェアをダウンロードしてメモリ領域で実行した。

SectorA04グループの活動は韓国とロシアから確認された。このグループはApache ActiveMQ（CVE-2023-46604）の脆弱性を悪用してリモートコントロールとバックドア機能が導入されているマルウェアを配布した。

SectorA05 グループの活動は韓国から確認された。このグループはセキュリティメールとして偽装したHTML形式のファイルを使用し、議論会の事前費用の文書として偽装したWindowsショートカット(LNK)形式のマルウェア実行を誘導した。最終的に、攻撃者のコマンドに従ってキーロギング(Keylogging)、情報奪取などの様々な機能を実行するPEファイル形式のマルウェアをダウンロードして実行した。

SectorA06グループの活動はイスラエル、アメリカ、メキシコ、オーストリア、中国、日本から確認された。このグループは、公開されたDiscordチャンネルで、ブロックチェーンエンジニアとして詐称し、暗号通貨取引所プラットフォームのブロックチェーンエンジニアをターゲットにして、Pythonツールとして偽装したmacOSマルウェアを転送し、実行させるよう誘導した。

SectorA07グループの活動は、韓国で確認された。このグループは、税務署の納税証明書として偽装したWindowsのショートカット（LNK）形式のマルウェアを使用し、最終的には、システム情報を収集するためのVisual Basic ScriptとBatchのスクリプトファイルを使用した。

現在まで続くSectorAハッキンググループの活動は、韓国と関わった政治や外交活動など政府の活動と関係ある機密情報を収集することを目当てにして、世界中をターゲットに金銭の獲得を目的としたハッキング活動を併行している。このグループのハッキングの目的は長期間にわたって継続しており、このような戦略的なハッキング目的にてしばらく変化なく進むと判断されている。

2. SectorBグループ活動の特徴

2023年11月には合計2件のハッキンググループの活動が確認され、このグループはSectorB04、SectorB22グループである。

SectorB04グループの活動は、フランス、ハンガリー、カナダから確認された。このグループは、銀行口座情報として偽装したMS Wordファイルが添付されたスパーフィッシング（Spear Phishing）メールを送信して攻撃活動を行い、ターゲットのシステムでは、QuasarRATとして知られているリモートコントロールツールを使用してC2サーバーーから送信したコマンドに従って、システム情報の収集、キーロギング、ビデオキャプチャなど様々なコマンドを実行した。

SectorB22グループの活動は、フィリピン、アメリカ、スウェーデンから確認された。このグループは、政府機関をターゲットに指定し、外交政策戦略レポートとして偽装されたZIP圧縮ファイルを配布して攻撃活動を行い、ターゲットシステムではC2サーバーと通信する際にMicrosoftのTrafficとして偽装しようとして、C2サーバーから与えられたコマンドに従って様々なコマンドを実行した。

現在まで続くSectorBハッキンググループの活動 は、世界中をターゲットにして諸国の政府機関の政治、外交活動などの政府活動と関係ある機密情報を収集するためであると分析されている。

3. SectorCグループ活動の特徴

2023年11月には合計4件のハッキンググループの活動が確認され、このグループはSectorC05、SectorC08、SectorC13、SectorC19グループである。

SectorC05グループの活動はウクライナ、台湾、デンマークから確認された。このグループは インダストリアルコントロールシステム （Industrial Control System、ICS）をターゲットとしてマルウェアを利用した攻撃を試み、変電所のブレーカーを任意に動作させ、重要なインフラ施設に停電を引き起こした。

SectorC08グループの活動はアメリカ、ベトナム、チリ、ポーランド、ドイツ、香港、ウクライナで確認された。このグループは、モバイルUSBドライブを通じて転送できる機能が導入されているVisual Basic Scriptファイル形式のマルウェアを使用した。

SectorC13 グループの活動はロシアから確認された。このグループは、基本情報登録の書類として偽装したMS Wordファイル形式のマルウェアを使用し、ターゲットがこの MS Wordファイル形式のマルウェアを実行した場合、テンプレートインジェクション (Template Injection) 技法を通じてマルウェアが含まれた MS Word のテンプレートがダウンロード及び実行されることになる。

SectorC19グループの活動はギリシャ、モルドバ、ベトナム、パキスタン、ツニジから確認された。このグループは政府機関をターゲットとして、RoundCubeWebメール（Web Mail）サーバーの脆弱性（CVE-2023-5631）及びZimbra Collaborationの脆弱性（CVE-2023-37580）を使用して攻撃活動を行った。

現在まで続くSectorCハッキンググループの活動は、このグループを支援する政府と隣接した国家を含んだ世界中をターゲットに各国家の政府機関の政治、外交活動及び政府活動関係の機密情報を収集するための目的であると分析されている。

4. SectorDグループの活動特徴

2023年11月には合計3件のハッキンググループの活動が確認され、このグループはSectorD02、SectorD15、SectorD28グループである。

SectorD02グループの活動は、ヨルダン、エストニア、イスラエル、アラブ首長国連邦から確認された。このグループは、イスラエル戦争関係のテーマを使用したWindowsのショートカット(LNK)形式のマルウェアを使用し、最終的にターゲットのシステムをリモートでコントロールできるリモートモニタリング管理ツール(Remote Monitoring Management、RMM)を使用した。

SectorD15グループの活動はイスラエルとイギリスから確認された。このグループは輸送及び物流に関するWebサイトをターゲットとしてウォーターホール攻撃を試み、IMAP（ Internet Messaging Access Protocol ）アカウントを通じてメールを送信する機能が導入されている.NETで制作したマルウェアを使用した。 SectorD28グループの活動はアラブ首長国連邦、ヨルダン、クウェート、オマーン、イラク、サウジアラビア、イスラエルから確認された。このグループはWindows HTTPスタックドライバを使用し、HTTPリクエストを通じたリモートコマンド実行を試み、Webシェル(WebShell)やバックドア(Backdoor)タイプの追加分のマルウェアを使用して悪性行為を行い続けた。 …

activemq actor basic control control system cve cve-2023-46604 ics industrial industrial control intelligence keylogging lnk november november 2023 phishing report spear phishing system threat threat actor