Kaspersky Lab、サイバースパイ組織「Sofacy」が攻撃の矛先を変え、アジアの防衛や外交組織を標的としていることを確認
ロシア語話者のサイバー犯罪組織「Sofacy」が攻撃の対象をシフトし、これまでのNATO関連機関に加え、中央アジアと東アジアの組織、特に軍事、防衛、外交機関への関心を示していることを確認しました。
Kaspersky Labのグローバル調査分析チーム(GReAT)は、ロシア語話者のサイバー犯罪組織「Sofacy(ソファシー)」(別名:APT28、Fancy Bear)が攻撃の対象をシフトし、これまでのNATO関連機関に加え、中央アジアと東アジアの組織、特に軍事、防衛、外交機関への関心を示していることを確認しました。また、Sofacyの標的が、ロシア語話者のサイバー犯罪組織「Turla」や中国語話者の「Danti」など、ほかの犯罪組織との重複が度々あることも発見しました。興味深いのは、英語話者のサイバー犯罪組織「Lamberts」が以前侵入した、中国にある軍事および航空宇宙関連の複合企業が所有しているサーバーに、Sofacyもバックドアを作っていたことです。
[本リリースは、2018年3月9日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Sofacyは極めて活発な攻撃を繰り広げている大規模なサイバースパイ組織で、GReATのリサーチャーは長年にわたってこの組織を追跡してきました。この2月には、Sofacyの2017年の活動の概要を発表し、標的をこれまでのNATO関連機関から、中東、中央アジアを越えて東アジアへと徐々に移していることを明らかにしました。Sofacyはスピアフィッシング攻撃や水飲み場型攻撃により、アカウントの認証情報、機密通信や極秘文書などの情報を窃取します。また、さまざまな標的に破壊的なペイロードを配信している可能性があります。
■ Sofacyのバックドアとペイロードの感染先
GReATのリサーチャーは、Sofacyが現在、メインのツールである「SPLM」バックドア(別名CHOPSTICK、Xagent)、「GAMEFISH」と「Zebrocy」ペイロードをそれぞれ、コーディング、開発、標的設定のクラスターに細分化していることを確認しました。SPLMは、Sofacyの最も重要で洗練された第2段階で使われるとみられ、Zebrocyは大量攻撃に使用されます。2018年初め、Sofacyは中国にある防空関連の大手企業をSPLMを使用して攻撃しており、Zebrocyはアルメニア、トルコ、カザフスタン、タジキスタン、アフガニスタン、モンゴル、中国、日本など、より広い範囲で展開されたことを観測しました。
■ Sofacyの標的とほかのサイバー犯罪組織の標的が重複
今回新たに、前述の地域を狙う攻撃組織はSofacyだけではないこと、また、異なるサイバー犯罪組織の間で標的が時おり重複していることもわかりました。たとえば、SofacyのペイロードZebrocyが、ロシア語話者のサイバー犯罪集団「Mosquito Turla」と標的へのアクセスで競合していることや、SofacyのバックドアSPLMと従来の「Turla」および「Danti」の3つが競い合っていることも発見しました。共通の標的となっていたのは、中央アジアとその周辺にある行政機関、テクノロジーや科学、軍事に関係する機関などです。
一部のケースでは、同じSofacyのZebrocyとSPLMの両方から別々の攻撃を同時に受けていた標的もありました。しかし、何よりも興味深いのは、SofacyとLambertsの間で標的が重複していたケースです。このつながりは、リサーチャーが「Grey Lambert」マルウェアへの感染を特定したサーバーにSofacyが存在することを見つけたことから判明しました。このサーバーは、航空宇宙および防空テクノロジーの設計と製造を行う中国の複合企業が所有しているものです。
このケースでは、元のSofacyのSPLMの配信経路は不明のままですが、未知のエクスプロイト、未知のバックドアやGrey Lambertのコミュニケーションチャネルを利用することで、自身のマルウェアをダウンロードしたと推測されます。一方で、Sofacyの痕跡は、その前のLambertにより仕掛けられた偽旗(にせはた)の可能性もあります。リサーチャーは、未知の新しいPowerShellスクリプトまたは正規品だが脆弱なWebアプリを侵害し、インスタンスにSPLMコードをロードし、実行したと見ていますが、調査は現在も進行中です。
カスペルスキー製品は、既知のSofacy攻撃を検出し、ブロックします。
■ Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、カート・バウムガートナー(Kurt Baumgartner)のコメント
「Sofacyは、荒っぽく、見境がないと言われることがありますが、私たちの調査からは、現実的で慎重、そして機敏なサイバー犯罪集団です。Sofacyのアジアでの活動は過少に報告されていますが、この地域、または同じ標的に興味を示しているサイバー犯罪組織がほかにも存在することは明らかです。脅威の情勢が激化し、複雑になるに従って、標的が重複する機会もさらに増えていくでしょう。多くのサイバー犯罪組織が攻撃を開始する前に、標的とするシステムに他の侵入者がいないかどうかを確認する理由はここにあると考えます」
■ Sofacyの活動、ツールの技術情報については、Securelistブログ(英語)をご覧ください。
・2017年のSofacyの動向:「A Slice of 2017 Sofacy Activity」
https://securelist.com/a-slice-of-2017-sofacy-activity/83930/
・2018年3月時点の調査、分析の詳細:「Masha and these Bears -2018 Sofacy Activity」
https://securelist.com/masha-and-these-bears/84311/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
Sofacyは極めて活発な攻撃を繰り広げている大規模なサイバースパイ組織で、GReATのリサーチャーは長年にわたってこの組織を追跡してきました。この2月には、Sofacyの2017年の活動の概要を発表し、標的をこれまでのNATO関連機関から、中東、中央アジアを越えて東アジアへと徐々に移していることを明らかにしました。Sofacyはスピアフィッシング攻撃や水飲み場型攻撃により、アカウントの認証情報、機密通信や極秘文書などの情報を窃取します。また、さまざまな標的に破壊的なペイロードを配信している可能性があります。
■ Sofacyのバックドアとペイロードの感染先
GReATのリサーチャーは、Sofacyが現在、メインのツールである「SPLM」バックドア(別名CHOPSTICK、Xagent)、「GAMEFISH」と「Zebrocy」ペイロードをそれぞれ、コーディング、開発、標的設定のクラスターに細分化していることを確認しました。SPLMは、Sofacyの最も重要で洗練された第2段階で使われるとみられ、Zebrocyは大量攻撃に使用されます。2018年初め、Sofacyは中国にある防空関連の大手企業をSPLMを使用して攻撃しており、Zebrocyはアルメニア、トルコ、カザフスタン、タジキスタン、アフガニスタン、モンゴル、中国、日本など、より広い範囲で展開されたことを観測しました。
■ Sofacyの標的とほかのサイバー犯罪組織の標的が重複
今回新たに、前述の地域を狙う攻撃組織はSofacyだけではないこと、また、異なるサイバー犯罪組織の間で標的が時おり重複していることもわかりました。たとえば、SofacyのペイロードZebrocyが、ロシア語話者のサイバー犯罪集団「Mosquito Turla」と標的へのアクセスで競合していることや、SofacyのバックドアSPLMと従来の「Turla」および「Danti」の3つが競い合っていることも発見しました。共通の標的となっていたのは、中央アジアとその周辺にある行政機関、テクノロジーや科学、軍事に関係する機関などです。
一部のケースでは、同じSofacyのZebrocyとSPLMの両方から別々の攻撃を同時に受けていた標的もありました。しかし、何よりも興味深いのは、SofacyとLambertsの間で標的が重複していたケースです。このつながりは、リサーチャーが「Grey Lambert」マルウェアへの感染を特定したサーバーにSofacyが存在することを見つけたことから判明しました。このサーバーは、航空宇宙および防空テクノロジーの設計と製造を行う中国の複合企業が所有しているものです。
このケースでは、元のSofacyのSPLMの配信経路は不明のままですが、未知のエクスプロイト、未知のバックドアやGrey Lambertのコミュニケーションチャネルを利用することで、自身のマルウェアをダウンロードしたと推測されます。一方で、Sofacyの痕跡は、その前のLambertにより仕掛けられた偽旗(にせはた)の可能性もあります。リサーチャーは、未知の新しいPowerShellスクリプトまたは正規品だが脆弱なWebアプリを侵害し、インスタンスにSPLMコードをロードし、実行したと見ていますが、調査は現在も進行中です。
カスペルスキー製品は、既知のSofacy攻撃を検出し、ブロックします。
■ Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、カート・バウムガートナー(Kurt Baumgartner)のコメント
「Sofacyは、荒っぽく、見境がないと言われることがありますが、私たちの調査からは、現実的で慎重、そして機敏なサイバー犯罪集団です。Sofacyのアジアでの活動は過少に報告されていますが、この地域、または同じ標的に興味を示しているサイバー犯罪組織がほかにも存在することは明らかです。脅威の情勢が激化し、複雑になるに従って、標的が重複する機会もさらに増えていくでしょう。多くのサイバー犯罪組織が攻撃を開始する前に、標的とするシステムに他の侵入者がいないかどうかを確認する理由はここにあると考えます」
■ Sofacyの活動、ツールの技術情報については、Securelistブログ(英語)をご覧ください。
・2017年のSofacyの動向:「A Slice of 2017 Sofacy Activity」
https://securelist.com/a-slice-of-2017-sofacy-activity/83930/
・2018年3月時点の調査、分析の詳細:「Masha and these Bears -2018 Sofacy Activity」
https://securelist.com/masha-and-these-bears/84311/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 商品サービス
- ビジネスカテゴリ
- アプリケーション・セキュリティシステム・Webサイト・アプリ開発
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます
