コンテンツにスキップするには Enter キーを押してください

中国支援のAPT41サイバー攻撃、アフリカで発覚

投稿日 2025年7月22日

サイバースペース通信のコンセプト。デジタルアフリカ地図、光るソーシャルメディアアイコン、コンピューターのサインやロックが暗い背景に表示されている。

出典:Golden Dayz / Shutterstock

中国のAPT41サイバースパイ活動に関連する脅威アクターが、最近アフリカの政府ITサービスプロバイダーを情報窃取型マルウェアや認証情報収集ツールで標的にしました。この動きは、通常は台湾の組織や米国企業など北京の利益に沿った他の標的を狙う国家支援の高度持続的脅威(APT)にとって、異例の分野への進出を示しています。

この攻撃の注目すべき点の一つは、マルウェアに内部サービスの名前やIPアドレス、プロキシサービスなど、被害者のインフラに精通していることを示す具体的な情報が組み込まれていたことです。実際、攻撃者が使用したコマンド&コントロール(C2)サーバーの一つは、被害者自身のネットワークの一部であるSharePointサーバーであり、これにより攻撃の検知が難しくなっていました。

おなじみのAPTによる異例の標的

カスペルスキーの研究者は、アフリカの顧客組織に属する複数のワークステーションで不審な活動を調査する中で、この詳細を明らかにしました。今週のインシデントのレポートで、カスペルスキーは被害者や組織が所在する国を特定しませんでした。しかし、これまでAPT41のアフリカでの活動は、あったとしてもごく限られていたと報告しています。

「このグループは中国語を話すサイバースパイ集団で、通信やエネルギー事業者、教育機関、医療機関、ITエネルギー企業など、少なくとも42カ国で複数の分野の組織を標的にしてきたことで知られています」とカスペルスキーのDenis Kulik氏とDaniil Pogorelov氏は記しています。「注目すべきは、このインシデント以前、アフリカはこのAPTによる活動が最も少なかった地域であるという点です。」

APT41は、他のベンダーによってWicked PandaBariumBrass TyphoonWinntiなど様々な名称で追跡されており、現在活動中の中国関連脅威グループの中でも最も多産なグループの一つです。このグループは実際にはサブグループの集合体であり、少なくとも2012年から活動していて、北京のためのスパイ活動と同時に金銭目的のサイバー犯罪も行っている点が特徴です。2020年、米国政府はAPT41の活動が中国国家安全省(MSS)に関連しているとし、そのメンバー5人を起訴しました。起訴内容には、米国および他国の100以上の組織に対するランサムウェアやクリプトジャッキング攻撃を含む、数年にわたるハッキング活動が含まれています。

カスペルスキーが観測したアフリカの組織を狙った攻撃は、APT41の典型的な戦術、技術、手順(TTP)が用いられていました。カスタムマルウェア、認証情報収集、侵害された正規インフラの戦略的利用による持続性の確保と検知回避など、いつもの手法が組み合わされていました。

多様なツールの組み合わせ

攻撃の初期段階では、攻撃者はImpacketという、システム情報収集など正当な目的でも使われるペネトレーションテスト用ツールを使用しました。カスペルスキーは、APT41がImpacketのWmiExecモジュールを利用してリモートでシステム情報を収集し、侵害したワークステーションで持続性を維持していたことを観測しました。また、ImpacketのAtexecモジュールを使い、侵害したネットワークに自分たちのC2サーバーがインストールされているかどうかも確認していました。

攻撃者がシステム上で持続性を確立すると、Cobalt Strikeのポストコンプロマイズツールを展開し、情報や認証情報の流出を目的とした一連の行動を開始しました。使用されたツールには、認証情報収集用のMimikatz、機密データ収集用のPillager、セキュリティアラートを発生させずにファイルをコピーするRawCopy、侵害したWebサーバーを通じてネットワークへのリモートアクセスを維持するWebシェルのNeo-reGeorgなどが含まれていました。

「攻撃者はカスタムビルドと公開ツールの両方を幅広く駆使しています」とKulik氏とPogorelov氏は記しています。「攻撃者は標的のインフラに素早く適応し、悪意あるツールを特定の特徴に合わせて更新しています。」

研究者たちは、APT41が内部サービスをC2サーバー通信やデータ窃取に悪用している点や、攻撃の途中で手法を変更して防御側を混乱させる能力について警告しています。この戦術の一例として、実行ファイルを書き換えてダイナミックリンクライブラリ(DLL)としてコンパイルし、DLLサイドローディングを行うことが挙げられます。こうした攻撃は、組織がインフラを継続的に監視し、初期段階で悪意ある活動を自動的にブロックできる能力を持つ必要性を強調しています。

APT41による攻撃は、アフリカでのサイバー犯罪全体の急増という背景の中で発生しています。最近のインターポールの調査では、この地域の消費者を狙ったオンライン詐欺が近年30倍に急増していることが判明しており、ガーナ、セネガル、ナイジェリアなど複数のアフリカ諸国で組織的サイバー犯罪が爆発的に増加し始めています。アナリストたちは、この増加の要因として、地域全体の技術進歩とインターネット接続の拡大を挙げています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/china-backed-apt41-attack-africa

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です