出典:Zoonar GmbH(Alamyストックフォト経由)
中国の脅威アクターが、主に中国語を話すさまざまな組織に対して、情報収集目的および金銭目的の両方の攻撃を行っています。
他と比べて、シルバーフォックスは、幅広い戦術、技術、手順(TTP)を駆使しています。被害者への初期アクセスは、大手組織を装ったフィッシングメールと悪意のある添付ファイルによって得る場合があります。または、偽のアプリケーションや正規アプリケーションのトロイの木馬化バージョンを、Telegramチャンネルや検索エンジン最適化(SEO)によって強化されたウェブサイトを通じて拡散します。侵害後には、ValleyRAT、Winos 4.0、またはGh0stCringeやHoldingHands RATなど、Gh0st RATの2つの亜種といったリモートアクセス型トロイの木馬(RAT)が見られることが予想されます。あるいは、キーロガーが仕込まれていたり、暗号通貨マイナーがマシンのリソースを使って金銭を稼いでいるかもしれません。
このような運用の多様性により、シルバーフォックスはさまざまな役割を担うことができます。Picus Security、Trustwave、および他の調査会社による最近の分析では、重要インフラ、サイバーセキュリティ、政府などに関与する組織から機密情報を盗んだり、業務を妨害したりする傾向があることから、このグループが中国国家と関係しているとされています。特に台湾での活動が目立ちます。
同時に、ゲーム、医療、金融企業や教育機関に対する攻撃も行っており、これらも主に台湾ですが、日本や北米でも確認されています。これらの多くは、典型的なサイバー犯罪に似ており、明確な金銭目的が見て取れます。
「純粋なスパイ活動や純粋な犯罪よりも複雑なモデルですが、この二重のアプローチにより、シルバーフォックスはより柔軟性があり、カバー範囲も広がり、活動範囲も拡大します」とPicus Securityのセキュリティリサーチエンジニア、Sıla Özeren氏は説明します。「シルバーフォックスは主要なプレイヤーであり、同時に警鐘でもあります。今後は、より多くの中国APTがビジネスのように活動する未来を示唆しています。機敏で多目的、そして地政学的・経済的な目標を達成するために革新をいとわないのです。」
両方の利点を活かす
歴史的に、北朝鮮は高度持続的脅威(APT)を、国家主導型の攻撃(例:情報収集、重要産業の妨害)とサイバー犯罪型の攻撃(例:詐欺、ランサムウェア、暗号通貨マイニング)の両方に利用してきました。
このような境界を越える行為は、中国にとっては珍しいことのように思えるかもしれません。中国のAPTは特定の攻撃タイプだけでなく、その攻撃内での細分化された役割にも特化しているからです。しかし、前例がないわけではなく、特にAPT41(別名:Barium、Double Dragon、Winnti)の存在が挙げられます。APT41は、スパイ活動と金銭窃盗の両方に関与しているとされています。Özeren氏によれば、APT41とシルバーフォックスは、中国の脅威環境における「より広範な傾向」を示しています。
しかし、なぜこうしたことが起こるのでしょうか?なぜ一つの分野に特化するよりも、何でも屋を目指すのでしょうか?
「まず、金銭目的の攻撃は、もっともらしい否認の層を作り出します。被害者が暗号通貨マイナーや偽の請求書を見た場合、組織的な国家支援の作戦ではなく、一般的なサイバー犯罪だと考えがちです。そのミスリードがグループに時間を与え、目立たずに活動する助けとなります」とÖzeren氏は説明します。
次に、彼女は、金銭的側面がシルバーフォックスに自ら資金調達する能力を与えていると述べます。「政府のリソースに完全に依存するのではなく、クリプトジャッキングや窃盗などで自前で資金を生み出し、それをより広範な作戦の支援に使えるのです。これは中国当局からある程度の自律性、あるいは少なくとも黙認を示唆しています。」
最後に、「広く網を張ることで、グループはより多くの標的やデータにアクセスできます。たとえ一部の被害者が情報収集の観点で価値が低くても、初期アクセスやインフラ、長期的な戦略的ポジショニングに役立つ場合があります。また、低レベルの侵害から始まったものが、重要なシステムの認証情報やパートナーネットワークへのアクセスなど、より大きなものを明らかにすることもあります。」
Trustwaveのシニアセキュリティリサーチマネージャー、Karl Sigler氏は「結局のところ、それほど驚くことではありません。むしろ、多くのグループがここまで特化していることの方が驚きです。シルバーフォックスの手口は、エクスプロイト開発からソーシャルエンジニアリング、フィッシング攻撃まで幅広いスキルセットを示唆しています。リソースがあれば、特定のAPT型ミッションと機会的な金銭目的攻撃のどちらかを選ぶ必要はないのです。」と述べています。
アジア太平洋地域の防御側にとって、Özeren氏は「それは、執拗でステルス性が高いだけでなく、金銭目的で運用の多様性も持つ脅威アクターに直面することを意味します。シルバーフォックスはその典型例です。攻撃的で進化が早く、特定が困難です。」と述べています。
翻訳元: https://www.darkreading.com/threat-intelligence/silver-fox-apt-espionage-cybercrime