« @ITに掲載「合法マルウェアで実感「リアルとサンドボックスの違い」 | メイン | マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ »

2014年5月28日 (水)

APT1より危険な攻撃者グループ

5/22~5/24の三日間、和歌山県にて開催された「サイバー犯罪に関する白浜シンポジウム」に参加してきました。知見を持った業界の人々が一つの場所に集結し、昼夜問わず、サイバー犯罪に関するインテリジェンスの共有を図ることには大きな意義と重要性を感じました。来年も機会があれば、ぜひ参加したいと思います。また今回は、光栄にも講演者としてご招待頂き、弊社の持っている知見の一部を発表させて頂く機会を得ましたので、ここで、その一部を共有したいと思います。

つい先週、Mandiant社がAPT1と呼ぶ攻撃者グループに所属していたとされる5人が、米国によって起訴されたニュースが報道されたのはご存じの方も多いと思います。そのようなニュースの中、弊社では、APT1とは別とされる攻撃者グループによる攻撃キャンペーンを日本国内で確認しています。この攻撃者は、CrowdStrike社によってAurora Pandaと呼ばれ、下記の攻撃キャンペーンの実行犯と見られています。Aurora Pandaは、Mandiant社ではAPT17と呼ばれ、シマンテック社ではHidden Lynxと呼ばれています。APT1よりもスキルが高く、手口も洗練されているというのが、各セキュリティベンダーの一致した見解です。

Aurora Pandaによると見られる攻撃キャンペーン(一部)

上記の中で、Operation DeputyDogとMonju(GOM Playerの更新時にマルウェア感染)の件は、日本で発生した事案なのでご存じの方も多いと思います。しかし、これらが、かつてGoogle社などが攻撃を受けたOperation Auroraや、セキュリティ企業のBit9社が攻撃を受けたキャンペーンと、技術的な類似性があることは、あまり知られていません。

また、弊社では、2012年~現在に至るまで、Aurora Pandaによると見られる攻撃キャンペーンを3件ほど日本国内で確認しています。いずれも、Bit9社のインシデントや、Operation DeputyDogと技術的な類似性を確認しています。下図は、各キャンペーン間で共通する類似性を線で結んだものです。オレンジ色がキャンペーン名称、緑色がマルウェア検体に見られる類似性、青色がC&Cサーバとの通信に関連した類似性を示しています。図中にある"654@123.com"は、whoisの登録情報に掲載されているメールアドレスが共通であったことを示しています。実際にはメールアドレスだけでなく、組織名や電話番号なども共通でした。

Aurora_panda_9

図: 各キャンペーンに見られる類似性(クリックして拡大)

« @ITに掲載「合法マルウェアで実感「リアルとサンドボックスの違い」 | メイン | マルウェア解析奮闘記 ~破損マルウェアを解析せよ~ »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat