日本、韓国、中国などを標的にしているAPT-C-60とは

コラム

 JPCERT/CCが最近、脅威グループAPT-C-60による求職者を装った標的型フィッシングメール攻撃に関する続報となるレポートを発表しました。APT-C-60とはどのような脅威グループなのでしょうか?

DarkHotelグループと関連か?

 昨年9月に公開されたESETのレポートによると、APT-C-60はWindows版WPS Officeの脆弱性(CVE-2024-7262)を悪用して東アジア諸国を標的にしているということです。現在、この脆弱性は修正されています。WPS Officeは中国のソフトウェア会社の金山軟件(Kingsoft corporation)の子会社、金山弁公軟件(Kingsoft Office Software Corporation Limited)が開発、販売しているオフィススイート製品で日本ではジョイントベンチャーのキングソフト株式会社が販売、サポートしている製品です。

 このソフトウェアは世界中で5億人以上のユーザーがあり、攻撃者が東アジアの個人を標的にするのに適しているということです。中国のサイバーセキュリティラボの2024年8月のレポートによると、WPSのゼロディ脆弱性、Foxmailのゼロディ脆弱性、126/163メールの脆弱性などを悪用する攻撃が中国国内で確認されているということです。Foxmailは中国のTencentが開発した無料のメールソフトで、126/163メールは中国の網易(NetEase)が提供するフリーメールサービスです。このレポートでは、中国で開発されたサービスのゼロディ脆弱性が巧みに悪用されているとし、中国を標的とした攻撃との認識を示し、攻撃は中国政府の複数の外交関連部門と中韓関係に関わる様々な業界関係者だとしています。

 また、このレポートによると、攻撃で使用されているトロイの木馬はFales Hunterが使用したトロイの木馬と類似性があり、攻撃方法もFales Hunterと同じ特殊な方法がとられていることから、この攻撃におけるフィッシングメールはFales Hunterによるものと判断しています。そして、Fales Hunterは韓国のDark Hotelグループに属するTiger Hibiscusとインフラストラクチャを一部共有しているとし、この攻撃は韓国から発信されたものと結論付けています。

昨年に続き日本の組織への攻撃が確認される

 カスペルスキーによると、Darkhotelはスピアフィッシングと機密情報を収集するマルウェアを組み合わせたAPT攻撃で、攻撃の90%は日本、台湾、中国、韓国だということです。Tiger Hibiscus、Fales Hunterは朝鮮半島を背景としたDarkhotelのサブセットという捉え方がなされているようです。

 JPCERT/CCは2024年12月に、同年8月に発生したAPT-C-60によるものとみられる日本の組織に対する攻撃の実態についてレポートを公開しています。それによると、攻撃者は標的とした組織の採用担当者に求職者を装ったメールを送信して機器にマルウェアを感染させるというものです。このレポートでJPCERT/CCは、2024年8月から9月にかけてセキュリティベンダーなどが同種のマルウェアに関するレポートを公開し、その攻撃はいずれも共通の特徴があり、この攻撃で使用されたVHDXファイルのゴミ箱で見つかったおとり文書は、同様の攻撃が日本、韓国、中国など東アジア諸国で行われた可能性があることを示唆していると明らかにして注意を呼びかけました。

 JPCERT/CCは最近、新たにレポートを発表し2025年6月から8月にかけてAPT-C-60によるとみられる攻撃があったことを明らかにし、その攻撃に関する情報を公開しました。それによると今年確認された攻撃は、昨年確認された攻撃と同様に求職者を装ったスピアフィッシングメールを採用担当者に送る手法がとられている一方、昨年の攻撃ではGoogleドライブからVHDXファイルのダウンロードを誘導していた手法が今年の攻撃では悪意のあるVHDXファイルがメールに直接添付されており、受信者がVHDXファイルに含まれるLNKファイルをクリックすると、正規のGitファイルを介して悪意のあるスクリプトが実行されるということです。JPCERT/CCのレポートはAPT-C-60による攻撃は引き続き日本および東アジアを標的にしているとして、この脅威への警戒を継続することを求めています。

【出典】

https://blogs.jpcert.or.jp/ja/2025/10/APT-C-60_update.html

https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html

https://www.eset.com/jp/blog/welivesecurity/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office-jp/?srsltid=AfmBOoqgZqqmvmcKDJ92Roakli2rMfecc-HNvvwovYE4XcGP6wq9Or1l

https://mp.weixin.qq.com/s/F8hNyESBdKhwXkQPgtGpew

https://ti.qianxin.com/blog/articles/operation-deviltiger-0day-vulnerability-techniques-and-tactics-used-by-apt-q-12-disclosed-en/

https://www.kaspersky.co.jp/resource-center/threats/darkhotel-malware-virus-threat-definition

最新情報をチェックしよう!