« @ITに掲載「合法マルウェアで実感「リアルとサンドボックスの違い」 | メイン | マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ »

2014年5月28日 (水)

APT1より危険な攻撃者グループ

5/22~5/24の三日間、和歌山県にて開催された「サイバー犯罪に関する白浜シンポジウム」に参加してきました。知見を持った業界の人々が一つの場所に集結し、昼夜問わず、サイバー犯罪に関するインテリジェンスの共有を図ることには大きな意義と重要性を感じました。来年も機会があれば、ぜひ参加したいと思います。また今回は、光栄にも講演者としてご招待頂き、弊社の持っている知見の一部を発表させて頂く機会を得ましたので、ここで、その一部を共有したいと思います。

つい先週、Mandiant社がAPT1と呼ぶ攻撃者グループに所属していたとされる5人が、米国によって起訴されたニュースが報道されたのはご存じの方も多いと思います。そのようなニュースの中、弊社では、APT1とは別とされる攻撃者グループによる攻撃キャンペーンを日本国内で確認しています。この攻撃者は、CrowdStrike社によってAurora Pandaと呼ばれ、下記の攻撃キャンペーンの実行犯と見られています。Aurora Pandaは、Mandiant社ではAPT17と呼ばれ、シマンテック社ではHidden Lynxと呼ばれています。APT1よりもスキルが高く、手口も洗練されているというのが、各セキュリティベンダーの一致した見解です。

Aurora Pandaによると見られる攻撃キャンペーン(一部)

上記の中で、Operation DeputyDogとMonju(GOM Playerの更新時にマルウェア感染)の件は、日本で発生した事案なのでご存じの方も多いと思います。しかし、これらが、かつてGoogle社などが攻撃を受けたOperation Auroraや、セキュリティ企業のBit9社が攻撃を受けたキャンペーンと、技術的な類似性があることは、あまり知られていません。

また、弊社では、2012年~現在に至るまで、Aurora Pandaによると見られる攻撃キャンペーンを3件ほど日本国内で確認しています。いずれも、Bit9社のインシデントや、Operation DeputyDogと技術的な類似性を確認しています。下図は、各キャンペーン間で共通する類似性を線で結んだものです。オレンジ色がキャンペーン名称、緑色がマルウェア検体に見られる類似性、青色がC&Cサーバとの通信に関連した類似性を示しています。図中にある"654@123.com"は、whoisの登録情報に掲載されているメールアドレスが共通であったことを示しています。実際にはメールアドレスだけでなく、組織名や電話番号なども共通でした。

Aurora_panda_9

図: 各キャンペーンに見られる類似性(クリックして拡大)

« @ITに掲載「合法マルウェアで実感「リアルとサンドボックスの違い」 | メイン | マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat