システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
北朝鮮のサイバー攻撃グループ「APT37」が活発化
March 2, 2018 08:00
by 『Security Affairs』
国家支援型のハッキンググループ「APT37(別名Reaper、Group123、ScarCruft)」に触れよう。彼らは北朝鮮のために活動しているAPTグループだと推測されている。
APT37は遅くとも2012年から活動している。今年の2月上旬には、そのAPTグループが「Adobe Flash Playerのゼロデイを利用して韓国のユーザーにマルウェアを送り込んだ」ということが研究者たちによって明らかにされ、それは広く知られることになった。
APT37によるサイバー攻撃は、主に韓国の政府、防衛、軍事、およびメディアの組織を標的としていた。
FireEyeは以下の手がかりに基づいて、APT37を北朝鮮政府と結びつけた。
・北朝鮮のIPアドレスが利用されていること
・マルウェアの開発者が「北朝鮮のタイムゾーン(UTC +8:30)で」作業をする時間と、マルウェアのコンパイルのタイムスタンプが一致していること、また、それが(おそらくは)典型的な北朝鮮の平日と一致していること
・活動目的が「平壌にとっての利益」に沿っていること(つまり朝鮮半島再統一の活動に関連する組織や個人が標的となっていること)
その攻撃者(国家から支援を受けている攻撃グループ)の標的が、日本やベトナムの組織、さらには中東の組織にいたるまで広がっているということも、FireEyeの研究者たちによって明らかになった。そのハッカーたちは、化学製品、製造、電子機器、航空宇宙、ヘルスケア、そして自動車に関連する組織をも標的としていた。
FireEyeが発表した報告書には、次のように記されている。
「APT37は遅くとも2012年には活動を開始していたようで、主に韓国の公的部門と民間部門を狙って攻撃してきた。そして2017年には、APT37の攻撃対象が『朝鮮半島』を超えて日本、ベトナム、中東が含まれるようになり、また化学製品、電子機器、製造、航空宇宙、自動車、ヘルスケアの関連組織など、より広範囲の産業へと標的が拡大した」
APT37の標的先
専門家たちは、APT37が2017年に「北朝鮮政府とのジョイントベンチャー(同国に通信サービスを提供する事業)」に参入した中東の一企業も標的にしていたことを暴いている。
そのハッカーたちはFlash Playerと韓国で人気のワープロソフト「Hangul Word Processor」の複数の脆弱性を利用し、数種類のマルウェアを送り込んだ。
同グループが利用する武器には、ワイパーの「RUHAPPY」、データ抽出ツールの「CORALDECK」、ダウンローダー「GELCAPSULE」と「HAPPYWORK」、ランチャーの「MILKDROP」と「SLOWDRIFT」、情報を盗み出す「ZUMKONG」、オーディオキャプチャリングツールの「SOUNDWAVE」、そしてFireEyeが追跡したバックドア「DOGCALL」「KARAE」「POORAIM」「WINERACK」「SHUTTERSPEED」などがある。
「北朝鮮は概念の境界線や国際的な規範を無視して、さまざまな目的のためにサイバー能力を活用したいという意思を何度も示してきた。これまで最も積極的な活動を行っていると主張されてきたのは、主に『別の追跡された北朝鮮チーム(北朝鮮のチームだと疑われている別のチーム)』なのだが、APT37は(北朝鮮の)同体制が利用できる『追加のツール』であり、おそらくは『比較的、世に知られていない存在であってほしいもの』でもあるだろう」とFireEyeは結論づけている。
「今後APT37は、これまで馴染みの薄かった役割や地域における活動で、ますます活発になるだろうと我々は予想している」
翻訳:編集部
原文:North Korean APT Group tracked as APT37 broadens its horizons
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
ニュースのポイント(THE ZERO/ONE編集部より)
本文にも書かれているが、ファイア・アイはAdobe Flashのゼロデイ(CVE-2018-4878)の脅威・攻撃シナリオというエントリーをが今年の2月2日に発表した。このエントリーでもAPT37の関与を指摘していたが、今回2月22日に発表されたこのレポートでは、APT37にフォーカスした内容ととなっている。
このレポートによると、APT37は日本もターゲットにしている。しかし、攻撃に関して具体的な企業名や手法については書かれていないのが気になってしまう。ただ日本がサイバー攻撃の対象となっているのは間違いなく、今後もAPT37の動きを、我々は注意深くチェックする必要がある。
『Security Affairs』
イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュースサイト。
http://securityaffairs.co/wordpress/
Twitter @securityaffairs
Security Affairs on Facebook
Security Affairs on Google+
Security Affairs on Pinterest
Must Popular
-
1
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
2
公衆無線LANを悪用した暗号通貨マイニング術
January 19, 2018
3
連載「セキュリティエンジニアの道」 #01 はせがわようすけ氏世界平和のためにセキュリティをやっています
December 8, 2017
4
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(前編)
February 1, 2018
5
海底情報戦争──海底ケーブルに対するロシアの脅威の危険性
December 28, 2017
-
6
政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる
February 16, 2018
7
ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍
January 15, 2018
8
連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(後編)
December 26, 2017
9
ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか
December 15, 2017
10
連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(前編)
December 25, 2017
