出典:Zbitnev(Shutterstockより)
昨年の中国企業iSoonからの文書流出以来最大規模となるサイバー脅威アクターの侵害事件となるかもしれない今回、動機不明の2人のハッカーが、中国、そしておそらくは北朝鮮のために活動していると見られる国家主体のオペレーターを侵害し、データを窃取しました。
ラスベガスで開催されたDEF CONカンファレンスで配布された最新号のPhrackマガジンに掲載された分析によると、ハッカーたち(Saberとcyb0rgとしてのみ識別)は、APTオペレーターが使用していた仮想ワークステーションと仮想プライベートサーバー(VPS)の両方からデータを盗んだと主張しています。著者らはこのAPTアクターを「KIM」と名付け、証拠が北朝鮮支援グループKimsukyの一員であることを示していると論じています。この記事はマガジンの40周年記念号の一部であり、オンラインで2つのデータダンプが公開されています。追加のダウンロードサイトへのリンクは来週Phrackのサイトで公開される予定だと編集者は述べています。
最初のデータダンプは、これらのキャンペーンで使用された仮想プライベートサーバーに対する韓国政府および防衛防諜司令部を標的とした攻撃のログで構成されており、2つ目にはワークステーションからの攻撃ツール、内部文書、認証情報が含まれています。追加のダウンロードサイトへのリンクは来週Phrackのサイトで公開される予定だと編集者は述べています。
「これらのツールの一部は、すでにコミュニティに知られているかもしれません。あなたは彼らのスキャンやサーバー側のアーティファクト、インプラントを見たことがあるでしょう」とSaberとcyb0rgはPhrackに書いています。「今度は彼らのクライアント、ドキュメント、パスワード、ソースコード、コマンドファイルも見ることができるでしょう。」
Dark Readingは複数の脅威インテリジェンスおよびサイバーセキュリティ専門家により、ファイルの真正性が高いことを確認しました。
これらのファイルとデータは、中国のサイバー作戦および諜報活動の能力について、脅威研究者の理解を拡大する可能性が高く、2024年2月に中国企業iSoonからの大規模なリークで明らかになった詳細にさらに加わることになります。iSoonのリークでは500以上の文書が公開され、このサイバーセキュリティトレーニング企業が香港の民主化団体、ベトナムの政府機関、ウイグル族などの少数民族のメンバーをハッキングするためにその能力を利用していたことが明らかになりました。
この最新の公開は、サイバーセキュリティ企業Trend Microの主席セキュリティ研究員でダウンロードを精査したFyodor Yarochkin氏によれば、脅威インテリジェンス企業の国家主体アクターの能力に対する理解を向上させる可能性が高いといいます。
「このデータの公開は、国家に連携した脅威アクターの作戦を理解する上で非常に重要です」と彼は述べています。「彼らは中国のサイバー作戦のパズルに新たなピースを加え、単一のアクターが侵害したターゲットの数や日々のオペレーション、関心の範囲など、作戦の深さに光を当てています。」
攻撃データとツールが明らかに
分析を行ったハッカーたちは、Windows上でホストされていた仮想Linuxワークステーションを侵害したと主張しており、そこにはChromeおよびBraveブラウザの履歴約2万件、バックドア操作マニュアル、パスワードやメールアドレス、各種ツールの認証情報が含まれていました。また、脅威オペレーターの仮想プライベートサーバーからは、韓国防衛防諜司令部や最高検察庁などを標的としたフィッシングキャンペーンの攻撃データやログも入手したと主張しています。Phrackがオンラインで公開したファイルには、TomCatリモートカーネルバックドア、プライベートCobalt Strikeビーコン、RootRotと名付けられたIvanti Controlバックドアなどがあります。また、グループのAndroid Toybox改造やBushfireのようなエクスプロイトの使用も含まれています。
APTアクターのワークステーションとサーバーから盗まれたデータの分析は北朝鮮を揶揄していますが、研究者によればアクターは中国人である可能性が高いとのことです。出典:Phrack #72
このデータ群は、脅威アクターの戦術、技術、手順(TTP)、コマンド&コントロール(C2)インフラストラクチャ、標的選定の実態を明らかにしていると、台湾拠点のサイバー脅威インテリジェンス(CTI)企業TeamT5の主任アナリスト、Charles Li氏は述べており、侵害ファイルのスクリーンショットを精査しました。
このデータを活用することで、セキュリティ企業はAPTグループからの攻撃検知能力を高めることができると彼は述べています。
「これは非常に印象的な仕事です」とLi氏は述べています。「CTI研究者として、私たちはさらにピボットして、ハッカーの過去の作戦や、彼らが誰でどの組織に属しているのかなど、より多くの情報を見つけたいと考えています。」
Kimsukyなのか?
しかし、データダンプ内のファイルは、アクターがKimsuky APTグループの一員であるという結論を完全には支持していません。Trend MicroのYarochkin氏によれば、盗まれたファイルに含まれるフィッシングキットがKimsukyが使用しているものと同じであるなど、主張を裏付ける手がかりもいくつかあります。オペレーターのインフラは、過去にKimsukyが使用していたものと1文字だけ異なるドメイン名を使用していました。また、2022年にKimsukyグループに帰属されたIPアドレスを指す別のドメインも存在しました。
しかし、脅威アクターが北朝鮮人ではないことを示唆する手がかりもあります。たとえば、オペレーターが韓国語ではなく中国語を話しているように見える点です。オペレーターの閲覧履歴、ブックマーク、訪問ウェブサイトのリストは中国人アクターを示唆しているとYarochkin氏は述べています。さらに、脅威アクターはIvantiエクスプロイトバックドアクライアントコードなど、中国のAPTグループ(UNC5221など)で広く使われているツールを多数所有しています。
「脅威アクターは中国人で、中国国家と連携したターゲット(台湾、日本、韓国)を狙っている可能性が高いですが、Kimsukyを認識しており、彼らと協力しているか、あるいは脅威ハンターを混乱させるためにKimsukyの行動を模倣している可能性があります」とYarochkin氏は述べています。
中国および北朝鮮の脅威アクターを長年追跡してきたTeamT5も、侵害されたオペレーターがKimsukyグループのメンバーであるとは考えておらず、アクターは北朝鮮と利害が一致する目標に取り組む中国人である可能性が高いと見ています。台湾の標的に対する偵察活動や中国のハッキングフォーラムへの訪問を示すファイルは、アクターがKimsukyではないことを裏付けているとTeamT5のLi氏は述べています。
「私たちは、公開されたダンプは北朝鮮(DPRK)ではなく中国の攻撃者によるものだと考えています」と彼は述べています。「彼らが協力しているのを見たことはなく、現在の政治状況も協力の機会を提供していません。」
翻訳元: https://www.darkreading.com/threat-intelligence/data-dump-apt-actor-attacker-capabilities