出典:filo via Getty Images
中国のサイバー犯罪グループが活動を大幅に拡大し、現在活動中のほぼすべての脅威グループをしのぐほど多様な戦術・技術・手順(TTP)を駆使しながら、世界各国の組織を標的にしています。
TA4922がProofpointの監視対象に上がったのは2025年春のことです。確認されている活動の最初の1年間は、比較的絞り込まれたシンプルな手口が中心でした。税務関連を装ったフィッシングメールや実在の従業員になりすましたメールを使って日本の組織を狙い、標的に通常の業務メール以外での連絡を促すこともありました。また、ValleyRATを使用してシステムへのリモートアクセスを確立していました。
しかし、ここ2カ月で活動テンポが劇的に上昇しています。標的は多様な国々へと拡大し、一般的な脅威アクターと比べても際立って幅広い戦術と技術を展開するようになっています。Proofpointは今週公開したブログ記事の中で、TA4922を自社が追跡する「最もユニークなアクターの一つ」と評しています。
TA4922によるグローバルフィッシングキャンペーン
活動の中心は依然として日本ですが、TA4922は東アジア全域——台湾、韓国、シンガポール、マレーシア、インドネシア——に加え、英国、ドイツ、イタリアといった欧州の組織も広く標的にしています。その無差別な活動姿勢から、南アフリカもターゲットリストに含まれています。
標的国は多岐にわたりますが、TA4922はどの地域でも丹念な準備を怠りません。各地域の慣習に合わせた言語・方言で巧みに作り込まれたおとりメールを送り付け、財務部門、税務当局、人事部門などのビジネス・金融関連組織、または標的の身近な同僚になりすまします。税務や請求書といった金銭絡みの定番ネタが誘い文句として使われます。
「TA4922はキャンペーンで数千もの使い捨て送信者アドレスを使用しており、Outlook・Hotmail・Gmailを多用しています。これらのアドレスは一定のパターンに従って生成されており、評判ベースのブロックをかいくぐることでメール到達率を高めていると考えられます」とProofpointの研究者は指摘しています。
また、TA4922は最初の接触にのみメールを使い、その後はMicrosoft TeamsやWhatsAppなど、監視の目が届きにくいプラットフォームへの移行を標的に促すことも多くあります。
最初の接触後に何が起こるかは、ケースによって異なります。
多様な攻撃チェーン
TA4922は、ファイル共有サービスでホストされたマルウェアへの悪意あるリンクを送ることもあれば、アーカイブファイルを添付することもあります。マルウェアを単純な実行ファイルとして配布するケースもあれば、DLL(ダイナミックリンクライブラリ)サイドローディングを悪用した攻撃チェーンを構成するケースもあります。マルウェアをまったく使わず、認証情報を詐取するフィッシングページへ誘導する手口もあります。
マルウェアが使われる場合でも、その種類は千差万別です。ValleyRATやAtlas RATといったリモートアクセス型トロイの木馬(RAT)が使われることもあれば、AnyDeskのような正規のリモート監視・管理(RMM)ソフトウェアが悪用されることもあります。後者の場合、RomulusLoaderと呼ばれるローダーを使ってRMMをホストシステムに展開します。さらに、SilentRunLoaderというローダーも使用しており、このローダーはGoogle Chromeの認証情報を窃取する機能も兼ね備えています。
Proofpointの研究者は、TA4922のさまざまなツール群について次のように述べています。「TA4922が配布するペイロードは、最初の発見時点では正体を特定しにくいことが多いです。悪意あるペイロードの実態を確認し、Atlas RATやValleyRATエコシステムの派生種といったマルウェアファミリーを特定するには、マルウェアアナリストによる追加分析が必要になることがほとんどです。改変されたツールを一貫して使用していることは、分析を困難にし、通常のマルウェア分類から逸脱することを意図的に狙った行動と考えられます。」
TA4922とSilver Fox——境界線を越える脅威
TA4922をめぐっては、その戦術と正体という2つの点でいまだ謎が残っています。
Atlas RATは、TA4922が悪意ある活動を本格化させていた3月にHexastrikeの研究者によって初めて報告されました。ただし当初の帰属先は、中国国家と関連するとされる脅威アクター「Silver Fox」であり、脅威インテリジェンス研究者からはスパイ活動とサイバー犯罪の境界線上に位置するグループとして認識されています。中国共産党(CCP)との関係が疑われるアクターが金銭目的の犯罪に手を染めているというだけでも十分に混乱を招く話ですが、Proofpointの研究者はSilver FoxとTA4922の間に使用マルウェア、インフラ、ソーシャルエンジニアリング手法の複数の重複を指摘しており、両クラスターの識別がさらに困難な状況になっています。
もう一つの疑問は、TA4922がなぜこのような手口を選択しているのかという点です。攻撃の種類、おとりのネタ、特定の標的に対するマルウェアの組み合わせには何らかの論理があるはずですが、Proofpointの研究者自身も「特定のキャンペーンでどのマルウェアファミリーを展開するかを予測・示唆するパターンは、まだ特定できていない」と認めています。
「TA4922は、明確な一つのゴールがある場合には『何でもこなす』モデルが有効であることを示しています」と研究チームは結論づけています。「このアプローチにより、組織の防御策に柔軟に適応することが可能になっており、単一の専門領域だけで活動するグループよりも高い粘り強さを発揮しています。」
翻訳元: https://www.darkreading.com/threat-intelligence/china-ta4922-cybercrime-attacks-globally
