米半導体大手のBroadcomのサイバーセキュリティ部門を担うSymantecによると、中国のハッキンググループが少なくとも2019年10月中旬から2020年10月初めにかけて日本企業など日本に関連する組織を狙った世界的な攻撃キャンペーンを展開しており、一連の攻撃の中では最近公開された脆弱性Zerologonを利用した攻撃も確認されているとのことです。攻撃の対象となった企業はさまざまな産業に及んでいるものの、主要なターゲットは自動車産業のように見えるとSymantecは分析しています。
2018年に日本政府が談話
Symantecによると、世界の17の地域にある子会社を含む複数の日本企業を標的とした情報収集活動を目的とした大規模な攻撃キャンペーンが展開されており、Symantecはこの攻撃者がCicada(別名APT10、StonePanda)というグループに起因する十分な証拠を得ていると表明しています。APT10はマネージドサービスプロバイダー(MSP)を標的にしMSPの顧客であるターゲットを攻撃するクラウドホッパー攻撃を行う組織として知られています。サイバーセキュリティ企業のFireEyeによると、APT10は中国のサイバーエスピオナージのグループで、機密情報を窃取して中国の国家安全保障上の目的達成を支援しているグループだということです。これまでにアメリカやヨーロッパ、日本の建設・エンジニアリング、航空宇宙、通信産業と官公庁を攻撃していたことが明らかになっています。日本政府は2018年12月に外務報道官談話を発表し、中国を拠点とするAPT10による攻撃を受けていることを明らかにするとともに攻撃を厳しく非難した経緯があります。
今回、攻撃の対象になった日本関連企業は日本、韓国、中国、台湾、フィリピン、香港、ベトナム、タイ、インド、アラブ首長国連邦、ドイツ、フランス、ベルギー、イギリス、アメリカ、メキシコなどにわたっています。Symantecの分析によると、ローダーDLLの難読化の手法やシェルコードが以前見られたCicada (APT10)による攻撃と同じだということです。第3段階のDLLには「FuckYouAnti」という名前のエクスポートがあり、.NETローダーはConfuserExv1.0.0で難読化されているなどこれまでのCicada (APT10)の攻撃とさまざまな点で類似点があるということです。
Zerologonの脆弱性も悪用
一方で、Backdoor.Hartupというこれまで使われていなかったカスタムマルウエアの亜種を攻撃ツールとして使用していることも明らかになっています。標的に対してはデータを窃取するために1年間にわたって活動を継続し、DLLサイドローディングのテクニックを使ってネットワークのドメインコントローラーとファイルサーバーを侵し、権限の情報を窃取した後、システムから機密情報を盗み出していたということです。また、このキャンペーンでは、Zerologonの脆弱性が悪用されていることも確認されたということです。
ZerologonはActiv Directoryの認証コンポーネントであるMicrosoft Windows Netlogon Remote Protocol (MS-NRPC)の脆弱性(CVE-2020-1472)のことで、この脆弱性を悪用するとネットワークの管理者権限が奪われるリスクがあることから、マイクロソフトは今年8月に更新プログラムの提供を開始し、2021年第1四半期にはすべてのデバイスを強制的に保護するフェーズに移行することを表明しています。
Cicada (APT10)による日本に関連する企業等への攻撃は2019年10月中旬頃から始まり、少なくとも今年10月初めまでは続いていて、現在も活動が継続している可能性もあります。攻撃の対象となった組織は、エレクトロニクスやエンジニアリング、商社など多岐にわたり日本政府も対象になっているようですが、中でも自動車や自動車の部品メーカーが標的とされており、Symantecは自動車産業がこの攻撃キャンペーンの主要なターゲットになっているように見えると分析して警戒を呼びかけています。
■出典
https://www.fireeye.jp/current-threats/apt-groups.html
https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html