サイバー攻撃グループEarthKashaによる日本を標的としたスピアフィッシングキャンペーンが今年6月ころから行われているとしてトレンドマイクロが警戒を呼びかけています。EarthKashaはJPCERT/CCがMirrorFaceと呼んでいる攻撃グループです。
「取材申請書」などの件名でメール
JPCERT/CCによると、この攻撃グループは少なくとも2019年ころから日本を標的に活動しており、当初はマスコミや政治団体、シンクタンク、大学を対象にしていましたが、2023年から製造業や研究機関を狙うようになったということです。トレンドマイクロによると、今年6月ころから観測されている攻撃では政治関連組織や研究機関、シンクタンクの個人や国際関係に関連する組織が狙われているということです。攻撃の起点となるメールの送信元はフリーメールのケースもあれば、侵害した正規アカウントを踏み台にしているケースもあるようです。また、メールの件名やおとりの文書では「取材申請書」「米中の現状から考える日本の経済安全保障」「官公庁・公的機関一覧」などの文言が使われているようです。
この攻撃グループはLODEINFO、NOOPDOORといったマルウェアを使用しており、6月ころから確認されているスピアフィッシング攻撃でもNOOPDOORが使われているようです。JPCERT/CCによると、NOOPDOORはShellcode形式のマルウェアで、ファイルのアップロード・ダウンロード、追加モジュールの実行などマルウェアの機能として基本的なものから、ファイルのタイムスタンプを改ざんするコマンドも存在しているということです。
トレンドマイクロは6月から日本を標的に行われているスピアフィッシング攻撃においてNOOPDOORが使用されており、NOOPDOORはEarthKashaが独占的に使ってるマルウェアであることから、攻撃者をEarthKashaと判断しているようです。しかし、一方でこのスピアフィッシング攻撃ではペイロードとしてANELというバックドアも使われているということです。トレンドマイクロによると、ANELは標的型攻撃グループAPT10による日本を標的とした攻撃で2018年ころまで使われていたマルウェアで、2018年以降は観測されていなかったということです。
NOOPDOORとANELは開発者が同じ?
日本政府はAPT10が日本の企業や学術機関等に長期にわたり広範なサイバー攻撃を行っているとして2018年12月に外務省報道官談話を発表しています。セキュアワークスの2019年の記事によると、ANELに感染すると、感染端末の情報やデスクトップのスクリーンショットが収集され、機密情報の収集や他の端末への横展開を行うためのツールがダウンロードされた後、実行されるということです。
中国との関係が指摘されているAPT10で使われていたANELが今年6月から行われているEarthKashaによるとみられる日本をターゲットとしたスピアフィッシング攻撃で使われていることをトレンドマイクロは確認したということなのですが、EarthKashaとAPT10はどのような関係なのでしょうか? トレンドマイクロは「ANELLDRとNOOPDOORにはコード上の類似点があることから、同一の開発者もしくは両ソースコードへアクセス可能な人物が関与していると思われ、当該キャンペーンでANELが再度利用され始めても不都合はなく、むしろ過去のAPT10と現在のEarth Kashaとの関連性を示す材料となっている」と両者の関係について分析しています。
■出典
https://www.trendmicro.com/ja_jp/research/24/j/new-spearfishing-by-earth-kasha.html
https://blogs.jpcert.or.jp/ja/2024/07/mirrorface.html
https://www.secureworks.jp/blog/bronze-riverside-updates-anel-malware