Monthly Threat Actor Group Intelligence Report, October 2023 (JPN)

Jan. 22, 2024, 7:50 a.m. | MalBot

Malware Analysis, News and Indicators - Latest topics malware.news

2023年9月21日から2023年10月20日までNSHC のThreatReconから収集したデータと情報に基づいて分析したハッキンググループ（Threat Actor Group）の活動をまとめた内容である。

今年の10月には、合計31件のハッキンググループの活動が確認され、最も多い活動はSectorJグループの33％であり、続きはSectorA、SectorBグループの活動であった。

今年10月に確認されたハッキンググループのハッキング活動は、政府機関や金融の分野に努めている関係者のシステムをターゲットにして最も多い攻撃を行った。地域ごとにはヨーロッパや東アジアに位置した諸国をターゲットにしたハッキング活動が最も多かったと確認された。

1. SectorAグループ活動の特徴

2023年10月には合計4件のハッキンググループの活動が確認され、このグループはSectorA01、SectorA02、SectorA05、SectorA07グループである。

SectorA01グループの活動は、シンガポール、インド、ポーランド、イギリスから確認された。このグループは、人事部の係員として偽ってソーシャルプラットフォーム（Social Platform）を通じてターゲットに採用関係のPDFファイルとして偽装したマルウェアを使用、実行させるよう誘導し、最終的に実行されるマルウェアは情報収集と攻撃者のサーバーのコマンドによって様々な機能を実行する仕組みとなっている。

SectorA02グループの活動は、北朝鮮最高人民会議の結果報告書として偽装し、Windowsバーチャルリンク(LNK)形式のマルウェアを使用し、最終的にはPowerShellコマンドを通じて追加分のマルウェアをダウンロードし、メモリ領域にて実行した。

SectorA05グループの活動は、韓国、イスラエル、アイルランドから確認された。このグループは、韓国のポータルサイトのログインページとして偽装したフィッシング（Phishing）Webページを使用して、アカウント情報の収集を試みた。

SectorA07グループの活動は、韓国、アメリカから確認された。このグループは、給料明細書として偽装したでWindowsのヘルプ（CHM、Compiled HTML Help）ファイル形式のマルウェアを使用し、最終的にはPowerShellコマンドを通じて追加分のマルウェアをダウンロードし、実行した。

現在まで続くSectorAハッキンググループの活動は、韓国と関わった政治や外交活動など政府の活動と関係ある機密情報を収集することを目当てにして、世界中をターゲットに金銭の獲得を目的としたハッキング活動を併行している。このグループのハッキングの目的は長期間にわたって継続しており、このような戦略的なハッキング目的にてしばらく変化なく進むと判断されている。

2. SectorBグループ活動の特徴

2023年10月には合計7件のハッキンググループの活動が確認され、このグループはSectorB01、SectorB08、SectorB21、SectorB22、SectorB80、SectorB82、SectorB83のグループである。

SectorB01 グループの活動は、香港、台湾、シンガポール、アメリカから確認された。このグループは、東アジア地域の半導体業界に努めている関係者をターゲットにしてコバルトストライク（Cobalt Strike）を実行するローダー（Loader）機能のマルウェアを配布して攻撃活動を行い、ターゲットのシステムよりC2サーバーから送信されたコマンドによってキーロギング（Keylogging）、スクリーンキャプチャ（Screen Capture）、システム情報の奪取など、様々なコマンドを実行した。

SectorB08グループの活動は、スピアフィッシングメール（Spear-Phishing Email）を通じて追加分のマルウェアを実行するローダー（Loader）機能が導入されているマルウェアを配布して攻撃活動を行い、ターゲットのシステムよりC2サーバーから送信されたコマンドに従よってキーロギング（Keylogging）、画面キャプチャ（Screen Capture）、システム情報奪取などの様々なコマンドを実行した。

SectorB21グループの活動は、インド、タイ、香港、台湾、カザフスタン、イギリス、中国から確認された。このグループは、Android及びApple iOSデバイスをターゲットにして様々なマルウェアアプリを配布しながら攻撃活動を行い、ターゲットのデバイスからC2サーバーのコマンドにより、デバイス情報、SMSメッセージ、通話履歴、連絡先情報などの機密情報を奪取する様々なコマンドを実行した。

SectorB22グループの活動は、アメリカ、タイ、日本から確認された。このグループは、東南アジア諸国の政府をターゲットとして、様々なオープンソース（Open Source）ツールを悪用して攻撃活動を行い、機密文書や情報を奪取してファイルホスティングサービスであるDropboxにアップロードした。

SectorB80グループの活動は、アメリカ、オランダ、モンゴルから確認された。このグループは、東南アジア諸国連合(ASEAN)の加盟国の外交部をターゲットとして、様々なバックドア(Backdoor)マルウェアを配布して攻撃活動を行い、ターゲットのシステムからC2サーバーのコマンドによって様々なシステム情報を収集し、リモートコントロールにてマルウェアをダウンロードして追加分の機能をロード(Load)するなどの活動を行っていた。

SectorB82グループの活動は、シープルス、チェコ、台湾、香港、アメリカ、ポーランド、中国から確認された。このグループは、台湾の製造、IT及び生物医学（バイオメディカル）分野の多くの組織をターゲットとして、情報収集を目的として攻撃活動を行った。

SectorB83 グループは、アトラシアン・コンフルレンス(Atlassian Confluence)のコンフルレンス・データ・センター(Confluence Data Center)及びサーバー・インスタンス(Server instance)の非公開の脆弱性(CVE-2023-22515)を悪用した攻撃活動を行った。

現在まで続くSectorBハッキンググループの活動は、世界中をターゲットにして諸国の政府機関の政治、外交活動などの政府活動と関係ある機密情報を収集するためであると分析されている。

3. SectorCグループ活動の特徴

2023年10月には合計3件のハッキンググループの活動が確認され、このグループはSectorC01、SectorC04、SectorC08グループである。

SectorC01グループの活動は、ポルトガル、ルーマニア、イスラエル、チェからで確認された。このグループは、出版書誌ファイルとして仮装したマルウェアを使用し、圧縮ソフトウェアのWinRARの脆弱性（CVE-2023-38831）を悪用した。最終的には、ブラウザデータの奪取及びリモートコントロール機能があるPowerShellスクリプトを使用しまたことがわかった。

SectorC04グループの活動は、アメリカ、スロバキア、ポーランド、インド、ペルー、スイス、チェコから確認された。このグループは、外交官のおける車両販売の通知PDFファイルとして偽装したマルウェアを使用した。また、圧縮ソフトウェアのWinRARの脆弱性（CVE-2023-38831）を悪用して、最終的にはPowerShellファイル形式のマルウェアをダウンロードして実行した。

SectorC08グループの活動は、ウクライナと中国から確認された。このグループは、軍事関係文書として偽装したマルウェアを使用し、最終的にリモートコントロールツールであるUltraVNCを使って情報の奪取を試みた。

現在まで続くSectorCハッキンググループの活動は、このグループを支援する政府と隣接した国家を含んだ世界中をターゲットに各国家の政府機関の政治、外交活動及び政府活動関係の機密情報を収集するための目的であると分析されている。

4. SectorDグループの活動特徴

2023年10月には合計2件のハッキンググループの活動が確認され、このグループはSectorD01、SectorD02グループである。

SectorD01グループの活動はロシア、オランダ、アメリカ、イスラエルから確認された。このグループは車両免許の申請書として偽装したMS Word（Word）マルウェアを使用し、最終的に実行されるマルウェアはユーザー名、コンピューター名及びローカルドメイン名を収集し、攻撃者のサーバーコマンドによって様々な機能を実行する。

SectorD02グループの活動はイスラエルやオーストラリアから確認された。このグループは人事部関係の文書として偽装したWindowsのヘルプ（CHM、Compiled HTML Help）ファイル形式のマルウェアを使用し、PowerShellコマンドを通じてVBS（Visual Basic Script）ファイル形式のマルウェアをダウンロードし、実行した。

SectorDハッキンググループは、主に政治的な競合関係にある国家をターゲットにしてハッキング活動を行う。最近SectorDハッキンググループは、このグループを支援する政府を反対する活動を行う人物、もしくは諸国の政治、外交活動のような機密情報を収集するための目的であると分析されている。

5. SectorE グループ活動の特徴

2023年10月には合計3件のハッキンググループの活動が確認され、このグループはSectorE02、SectorE04、SectorE05グループである。

SectorE02 グループの活動はパキスタンから確認された。このグループはプロテクト済みの文書として偽装したMS Word（Word）ファイルを配布して攻撃活動を行い、ターゲットのシステムより外部サーバーから追加分のマルウェアをダウンロードして実行させつつ、今後の攻撃のための足場を固めた。

SectorE04グループの活動は香港から確認された。このグループはレジュメのアップデート版として偽装したMSワード（Word）を配布して攻撃活動を行い、ターゲットのシステムからC2サーバーのコマンドによって様々なコマンドを実行した。

SectorE05グループの活動は、シンガポール、モンゴルから確認された。このグループは、政府機関をターゲットとして、スピアフィッシングメール（Spear-Phishing Email）を送信して攻撃活動を行い、ターゲットのシステムより外部サーバーから追加分のマルウェアをダウンロードして実行させ、今後の攻撃のための足場を固めた。

現在まで続くSectorEハッキンググループの活動は、このグループを支援する政府と関係ある政治、外交及び軍事活動のような機密情報の収集を第一目標としてハッキング活動を行うことであると分析されている。しかし、最近は中国を含んだ東アジア及び他の地域に拡大していることで、政治、外交及び技術関係の機密情報を獲得するための活動の割合も段々増えつつあると分析されている。