LODEINFOは2019年以降、日本を狙った攻撃でバックドアとして使われているマルウェアです。トレンドマイクロはこのマルウェアで日本を攻撃しているグループをEarthKasha(別名MirrorFace)として追跡しているということです。トレンドマイクロの最近のレポートによると、このグループの最近の攻撃は戦略、戦術、ツールに変化がみられ、別の脅威グループと攻撃の手法に重複がみられるということです。
2023年以降、初期アクセス手法やターゲットに変化
EarthKashaは今年6月から日本に対するスピアフィッシング攻撃をおこなっており、その攻撃ではかつてAPT10が使っていたバックドアが使われていることを先日の記事でお伝えしました。かねてよりEarthKasha(MirrorFace)とAPT10の関係は指摘されていましたが、APT10のバックドアがEarthKashaの攻撃で使用されていたことは、その関係性を改めて裏付けるものとして注目されます。
さらにトレンドマイクロの最近のレポートによると、EarthKashaの攻撃は2019年から2023年にかけてのキャンペーンと2023年以降のキャンペーンとでは、初期アクセスの手法に違いがみられ、また、2023年以前はLODEINFOが主なバックドアとして使われていましたが、2023年以降の攻撃では複数のバックドアが確認されているということです。さらにターゲットも2023年以前は公的機関や国際問題に関係する個人や政治家、学術分野の専門家でしたが、2023年以降は製造業や航空部門などの民間部門やハイテク関連組織や政府機関が対象になっているということです。
「中国脅威アクターの潜在的な協力関係が浮き彫りに」
そしてEarthKashaの2023年以降の攻撃は、EarthTengsheと呼ばれる別のグループによる攻撃と重なる部分が多いということです。EarthTengsheは日本や台湾を含む複数の国をターゲットにキャンペーンを展開している脅威グループで、2019年3月から2021年1月にかけて日系企業や日系企業の海外拠点に対してSigLoaderやSodaMasterといったマルウェアを展開するA41APTと呼ばれる攻撃を行ったことで知られています。また、APT10との関係が指摘されているグループです。トレンドマイクロのレポートは2つのグループの攻撃について「初期アクセスのための SSL-VPN のエクスプロイト、持続性のためのスケジュールタスクの悪用、ラテラルムーブメントのためのドメイン管理者アカウントによる RDP、Active Directoryアカウント情報の収集のための csvde.exe の悪用、資格情報アクセスのためのレジストリハイブのダンプなど、同様の TTP があります」と指摘しています。一方でツールセットには明らかな相違がみられるということです。
中国と関係があるとされるAPT10との関係が指摘されている2つのグループの攻撃手法には重複が見られ、その相関分析をもとにトレンドマイクロのレポートは「ゼロディ脆弱性が中国関連のアクター間で共有されているか、サードパーティのアクセスブローカーが存在している可能性がある」と指摘しており、「中国と関係のある脅威アクター間の潜在的な協力関係が浮き彫りになった」と結論で述べています。
■出典
https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html