<Kaspersky Lab APTレポート: 2018年第2四半期>アジアの地政学的な標的への攻撃が活発に
Kaspersky Labのグローバル調査分析チーム(GReAT)※は、四半期毎にAPT攻撃についてまとめています。2018年4~6月の第2四半期は、主にアジア地域を攻撃対象とし、既によく知られているサイバー犯罪グループと、あまり知られていないグループの両方が活発に活動していました。複数のグループが、地政学的にセンシティブな出来事に照準とタイミングを合わせて攻撃を行っていました。
GReAT のリサーチャーが同期間のAPT攻撃について調査した結果、新しいツール、手法や攻撃を仕掛けているグループが明らかになりましたが、なかには数年間活動していなかったグループの攻撃もありました。アジアを攻撃対象の中心とする傾向は変わらず、韓国語話者が関与しているとみられるLazarusやScarCruftの動きが活発でした。また、ロシア語話者によるとみられるTurlaが中央アジアおよび中東を標的とする際に使用した、LightNeuronマルウェアを発見しました。
■ Kaspersky Labのリサーチャーが確認した主な活動
•Olympic Destroyerの再来。2018年2月の平昌冬季オリンピックでの攻撃後、このサイバー犯罪グループによる新たな活動と思われる痕跡を発見しました。今回は、ロシアの金融機関および欧州とウクライナの生物化学脅威対策の研究所が標的となっていました。低~中程度の確率で、複数の兆候がOlympic Destroyerとロシア語話者が関与しているとみられるサイバー犯罪グループSofacyとの関連性を示しています。
Olympic Destroyerについては、こちら(英語)をご覧ください。https://securelist.com/olympic-destroyer-is-still-alive/86169/
•Lazarus/BlueNoroffが、より大規模なサイバースパイ活動の一環として、トルコの金融機関や中南米のカジノを標的としていることを示す兆候が見られました。これらは、北朝鮮の和平交渉が進む中でも、金銭を動機とする活動を継続していたことを示唆しています。
Lazarusについては、こちら(英語)をご覧ください。https://securelist.com/lazarus-under-the-hood/77908/
•ScarCruftによる非常に高度な攻撃を確認しました。同グループはAndroid用マルウェアを利用し、リサーチャーがPOORWEBと命名した新種のバックドアで攻撃を仕掛けていました。
ScarCrufについては、こちら(英語)をご覧ください。https://securelist.com/operation-daybreak/75100/
•LuckyMouse (別名APT 27)は中国語話者が関与しているとみられるサイバー犯罪グループで、以前にアジアのISPを悪用し注目度の高いWebサイトを通じて水飲み場型攻撃を行っていました。同グループがカザフスタンおよびモンゴルの政府機関を標的とし、両国が中国で会談をしている間、活発に攻撃していたことを確認しました。
LuckyMouseについては、こちら(英語)をご覧ください。https://securelist.com/luckymouse-hits-national-data-center/86083/
•VPNFilter攻撃は、Cisco Talosが発見し、FBIがSofacyまたはSandwormの関与を疑っているネットワーク機器を標的にするマルウェアを使います。この攻撃では、SOHOルーターやネットワーク接続タイプのNASデバイスの既知の脆弱性を狙っており、感染したネットワーク機器に接続しているコンピューターを感染させるためにトラフィックにマルウェアを注入することも可能です。リサーチャーの解析では、ほぼすべての国でこの活動の痕跡を確認しました。
Cisco Talosについては、こちら(英語)をご覧ください。https://blog.talosintelligence.com/2018/06/vpnfilter-update.html
Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)は次のように述べています。「2018年第2四半期のAPT活動は、非常に興味深いものでした。私たちはここ数年間、ネットワーク機器が標的型攻撃の最適な対象になり得ることを繰り返し警告し、高度な攻撃の存在とその拡散について強調してきましたが、予測してきた脅威の一部が実現してしまったことを認識することになりました」
■ APT脅威調査サマリーについては、次のSecurelistブログ(英語)をご覧ください。フォレンジックおよびマルウェアハンティングに役立つIOCデータやYARAルールなど、詳細なレポートについては、メール(intelreports@kaspersky.com)にてお問い合わせください。
・ APT Trends report Q2 2018 (https://securelist.com/apt-trends-report-q2-2018/86487/ )
・ APT Trends report Q1 2018 (https://securelist.com/apt-trends-report-q1-2018/85280/ )
■ プレスリリースページ https://www.kaspersky.co.jp/about/press-releases/2018_vir11072018
※ Global Research and Analysis Team(GReAT、グレート)GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
■ Kaspersky Labのリサーチャーが確認した主な活動
•Olympic Destroyerの再来。2018年2月の平昌冬季オリンピックでの攻撃後、このサイバー犯罪グループによる新たな活動と思われる痕跡を発見しました。今回は、ロシアの金融機関および欧州とウクライナの生物化学脅威対策の研究所が標的となっていました。低~中程度の確率で、複数の兆候がOlympic Destroyerとロシア語話者が関与しているとみられるサイバー犯罪グループSofacyとの関連性を示しています。
Olympic Destroyerについては、こちら(英語)をご覧ください。https://securelist.com/olympic-destroyer-is-still-alive/86169/
•Lazarus/BlueNoroffが、より大規模なサイバースパイ活動の一環として、トルコの金融機関や中南米のカジノを標的としていることを示す兆候が見られました。これらは、北朝鮮の和平交渉が進む中でも、金銭を動機とする活動を継続していたことを示唆しています。
Lazarusについては、こちら(英語)をご覧ください。https://securelist.com/lazarus-under-the-hood/77908/
•ScarCruftによる非常に高度な攻撃を確認しました。同グループはAndroid用マルウェアを利用し、リサーチャーがPOORWEBと命名した新種のバックドアで攻撃を仕掛けていました。
ScarCrufについては、こちら(英語)をご覧ください。https://securelist.com/operation-daybreak/75100/
•LuckyMouse (別名APT 27)は中国語話者が関与しているとみられるサイバー犯罪グループで、以前にアジアのISPを悪用し注目度の高いWebサイトを通じて水飲み場型攻撃を行っていました。同グループがカザフスタンおよびモンゴルの政府機関を標的とし、両国が中国で会談をしている間、活発に攻撃していたことを確認しました。
LuckyMouseについては、こちら(英語)をご覧ください。https://securelist.com/luckymouse-hits-national-data-center/86083/
•VPNFilter攻撃は、Cisco Talosが発見し、FBIがSofacyまたはSandwormの関与を疑っているネットワーク機器を標的にするマルウェアを使います。この攻撃では、SOHOルーターやネットワーク接続タイプのNASデバイスの既知の脆弱性を狙っており、感染したネットワーク機器に接続しているコンピューターを感染させるためにトラフィックにマルウェアを注入することも可能です。リサーチャーの解析では、ほぼすべての国でこの活動の痕跡を確認しました。
Cisco Talosについては、こちら(英語)をご覧ください。https://blog.talosintelligence.com/2018/06/vpnfilter-update.html
Kaspersky Lab GReATのプリンシパルセキュリティリサーチャー、ヴィセンテ・ディアス(Vicente Diaz)は次のように述べています。「2018年第2四半期のAPT活動は、非常に興味深いものでした。私たちはここ数年間、ネットワーク機器が標的型攻撃の最適な対象になり得ることを繰り返し警告し、高度な攻撃の存在とその拡散について強調してきましたが、予測してきた脅威の一部が実現してしまったことを認識することになりました」
■ APT脅威調査サマリーについては、次のSecurelistブログ(英語)をご覧ください。フォレンジックおよびマルウェアハンティングに役立つIOCデータやYARAルールなど、詳細なレポートについては、メール(intelreports@kaspersky.com)にてお問い合わせください。
・ APT Trends report Q2 2018 (https://securelist.com/apt-trends-report-q2-2018/86487/ )
・ APT Trends report Q1 2018 (https://securelist.com/apt-trends-report-q1-2018/85280/ )
■ プレスリリースページ https://www.kaspersky.co.jp/about/press-releases/2018_vir11072018
※ Global Research and Analysis Team(GReAT、グレート)GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティサーバ・周辺機器
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます
