オープンソースインテリジェンス(OSINT)の収集は、脅威アクターの活動を把握するための強力な手段です。インテリジェンスコミュニティの関係者たちは、実用的なインテリジェンスの約80%がオープンソースから入手されると推測しています。しかしサイバーインテリジェンスの収集において、とりわけOSINTに関しては、情報オーバーロードの問題などいくつもの課題が存在します。これらの課題は、しっかりとしたインテリジェンス収集戦略の総合的な必要性を強調するものです。またこのような優れた収集戦略は、インテリジェンスサイクルのその後のステージの成果にも寄与します。本ブログ記事では、中国の高度持続的脅威(APT)アクターに紐付けられる活動で見られる重複に焦点を当てながら、OSINTデータ収集プロセスの簡略化にSilobreakerを活用する方法をご紹介していきます。
*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2024年11月21日付)を翻訳したものです。
中国のAPTによる活動は広く報じられることが多く、これをモニタリングするにはOSINTが特に有効です。中国系APTは政府や重要インフラの関連組織を頻繁に狙うため、Flax TyphoonのRaptor Trainボットネットが停止された最近の事例でもそうでしたが、さまざまなメディアの調査と連動して政府による情報開示を促します。さらに中国のAPTアクターは、選挙干渉や偽情報など、サイバー攻撃に直接結びつくとは限らない文脈で言及されることも多々あります。つまり、中国系APTの活動に関する情報は豊富に出回ることが多い反面、さまざまなタイプの情報源が存在することを意味します。
中国系APTの活動について実用的な情報を集める作業も、その活動自体が常にステルス性を高め、帰属を簡単に特定されないよう絶えず進化し続けているため、唯一無二の難しさがあります。中国系脅威アクターは多くの場合、Living-Off-The-Land(環境寄生型)戦術を多用しつつ、商用ツールとオープンソースツールに加え、一般に利用可能なマルウェアやファイルレスまたはモジュール型のマルウェアを併用するというスタイルを取っています。それぞれの活動に重複が頻繁に見られる点は、中国の脅威アクターに関するデータ収集を複雑にしているもう1つの要因です。セキュリティ研究者のBushidoTokenは、中国公安部の請負業者iSoonから最近データが漏洩した件で「明確に定義された脅威グループが連携することなくキャンペーンを実行している」との考え方が完全に崩れたと指摘しました。このiSoonに関するリーク分析結果は、中国のさまざまなAPTグループの間に極めて多くの重複が存在していることを強調しており、さらなる関係を解き明かすべくOSINTを活用することの可能性と必要性を物語っています。これらの重複は分析と帰属特定におけるプロセス全体で役立つため、中国系APTの活動に対して効果的な対策を取りやすくなるのです。
中国系APTの最近の活動に関するデータ収集
Silobreakerを使うことによって、前述した情報オーバーロードの問題や情報源を多角化することの必要性、さらに各情報源の事実性と信頼性の検証など、OSINT収集プロセスで直面する複数の課題に即座に対処することができます。とりわけ重要なのは、地政学とサイバーセキュリティの双方に焦点を当てた情報源を等しく参照できるようにするという点です。というのも、例えばTIDRONEが台湾の軍事関連産業を狙っているとの報道でわかるように、中国系APTの話題は多くの場合、この2つのトピックが絡み合っているからです。
サイバーセキュリティや地政学など多様なトピックに加え、さまざまな国で発信されるより詳細な現地のレポートを参照するために、信頼性が高く検証済みのデータソースを事前にまとめたリストを使うことは、収集プロセス全体の支援だけでなく、分析結果の偏向を抑制し、事実性を確保するために役立ちます。例えば、Silobreakerのアナリストチームも精査されたリストを使ってレポートを作成しており、データの大量収集による重複を排除しながら、内容の正確さと関連性を確保しています。
使用するデータセットやリストはどれも容易にクエリを実行することが可能で、中国系脅威アクターの関与が疑われる活動を検索できます。Silobreakerが選別し、常に更新している中国関連アクターのリストを使うと、この作業はもっと簡単になります。これはAPTやハクティビストグループなど脅威アクターの各類型を区別する際にも適用可能で、より詳細に検索することができます。ただし本ブログでは、中国系APTの活動についてのみ説明していきます。
前述のように、中国系APTの活動は帰属を突き止めることが困難であり、この問題は各アクターの通称や呼称をすべて把握することが非常に難しいことを意味します。複数のベンダーや機関が同じまたは相互に関連する活動クラスターを異なる名称で追跡する可能性があるため、データ収集では広範かつ常に変化する呼称やニックネームをカバーする必要があるのです。例えばAPT41の活動は、Winnti、Barium、BlackFly、Wicked Panda、Starchy Taurus、TA415 などさまざまな名前で追跡されています。Silobreakerでのエンティティは脅威アクターの名前だけでなく、名称変更の可能性も踏まえて常に更新されており、インテリジェンス収集に関しては以下のように最適なカバレッジを確保しています。
OSINTデータの分析 – APTの活動
2024年3月1日から9月30日にかけて収集・分析された情報によると、中国系APTの活動への関与が最も多く特定されたのはAPT41、APT31、Mustang Pandaでした。特筆すべきことに、収集された記事の中には、単一のキャンペーンに複数のアクターが関与しているケースもいくつかありました。例えばOperation Diplomatic SpecterやOperation Crimson Palaceがこれに当たり、両オペレーションにはAPT41が関連していることもわかっています。これは中国系アクターの間で協力し合う傾向が強いことや、コーディング手法と戦術・技術・手順(TTP)の共有が浸透していることを示唆しています。
APT41の活動
上記の分析期間を通じ、APT41は政府部門を標的にしている場合が最も多く、研究、輸送/物流、メディア/エンターテインメント、テクノロジー/自動車の各部門がこれに続いていました。
APT41関連のキャンペーンで注目すべき点の1つは、この脅威アクターが多くの個別の活動クラスターで構成される「統括組織」として頻繁に概念化されることです。従ってAPT41に関連する活動の一部は、Earth Freybug、Earth Longzhi、Earth Baku、GroupCCといった「サブグループ」と思われるものによって実行されている可能性が高いと見られています。つまりAPT41を調査し、関与を突き止めるには、特定のサブグループに関連する固有の戦術や標的、IoC(Indicators of Compromise)について認識する必要があるのです。
APT41は直接関与していないものの、それでもなお同グループやそのサブグループのいずれかと、何らかの形で顕著な重複が見られる脅威アクティビティの事例も複数存在します。先述のように、Operation Diplomatic SpecterとOperation Crimson PalaceはいずれもAPT41との重複がいくつか指摘されており、Operation Diplomatic Specterは運用インフラに重複が見られた一方で、Operation Crimson PalaceはC2インフラにAPT41のサブグループEarth Longzhiと重なる点が見つかりました。
またAPT41は、中国系脅威アクターの間でツールやコードが共有されている例として時折言及されることがあります。Unfading Sea Hazeが行ったとされる最近のキャンペーンでは、配布されたマルウェア(SharpJSHandlerやAPT41のバックドアFunnySwitchなど)に類似性が指摘されていました。
APT31の活動
APT31との関連が疑われる活動について分析したところ、ほかの脅威アクターとの重複を示唆する事例がいくつか確認され、中でもAPT27との重複が最も多く見受けられました。注目すべきことに、APT31は2024年8月、EastWindキャンペーンの一環でAPT27と協力し、ロシアの政府機関およびIT部門を標的にしていたと結論付けられています。またトレンドマイクロの研究者も2020年以降、APT31とAPT27のほか、Rocke GroupやCalypso APTもNoodle RATを使用していることを確認しています。これとは別にMandiantの研究者も、APT31はサイバースパイ作戦のためにORB(Operational Relay Box)ネットワークFLORAHOXを利用する複数の脅威アクターの1組だと指摘しました。
APT31は米国やニュージーランド、フィンランド、英国の各国政府によって最近公表されたインシデントの内容でも、度々その名が言及されています。公表されたこれらのインシデントは、政府・重要インフラ・学術の各部門を標的とした、APT31によるさまざまなサイバー攻撃に関連していました。
APT31に関与した疑いのあるハッカー集団が米国で起訴された際、このハッカーグループは中国のHubei State Security Departmentに帰属することが特定されています。またAPT31は2010年頃を起点として、Wuhan Liuheという企業から別途支援を受けつつ、フロント企業Wuhan XRZの指揮下で活動を開始したとされています。
Mustang Pandaの活動
オープンソースで入手可能なMustang Pandaに関するレポートによると、同グループの活動には政府、教育、物流・海運部門を狙ったキャンペーンも含まれるとのことです。また、データ抽出に使用されるMustang PandaのカスタムマルウェアNUPAKAGEは、Operation Diplomatic Specterでも一部使われていることが確認されています。
Mustang Pandaの活動を分析している間、同グループの手口やツールセットは何度も刷新されました。これにはHIUPANワームの亜種を介したPUBLOAD(追加ツールをロードするために使用されるもの)のプロパゲーションや、DOWNBAITおよびPULLBAITダウンローダーを伴ったスピアフィッシングキャンペーンも含まれます。またMustang Pandaは2023年9月以降、Visual Studio Codeの埋め込みリバースシェルの機能を悪用した新たな技法を使って任意のコードを実行し、ToneShellバックドアなどのさらなるペイロードを配布していることも観測されています。
2024年3月1日〜9月30日にかけて収集された上記のデータは、リサーチ期間中に観測された新規/最新版の中国関連マルウェアのリスト全体と照合を行う上でも役に立ちます。この新しい/アップデートされたマルウェアの中で、最も報告が多かったのはLightSpyでした。このほかに注目すべきマルウェアとしてDodgeBox、MoonWalkがあるほか、DeuterbearとWaterbearも共に多数報告されています。
先述のように、中国系アクターは共有ツールを利用することで知られています。これはさまざまなアクターが実施するキャンペーンに、同じマルウェアが登場する可能性があることを意味します。特筆すべきは、ShadowPadなど一部のマルウェアが密かに売却され、中国の複数の脅威アクターによって独占的に展開されているという点です。このほか、さまざまな脅威アクターが実施する多様な中国系キャンペーンで使用されるマルウェアとしては、China ChopperやPlugX(別名:Korplug)、PlugXの亜種DOPLUGSがあります。つまり、中国の脅威アクターはこうしたマルウェアの共有を頻繁に行っていると思われることから、どの脅威アクターがどのマルウェアを使ったのかをあらかじめ特定していたとしても、次の事例でその事実が当てはまるとは限らないのです。
LightSpy
観察期間中、LightSpyの後継である「F_Warehouse」の存在が報告されました。このマルウェアは当初iOSインプラントだと考えられていましたが、後にHuntressの研究者によって、macOSユーザーを標的にして特別に設計されたものだと断定されています。この亜種は運用セキュリティが改良されており、開発手法がより成熟していることを示唆しています。LightSpyはこれまでの研究で、APT41との関連が指摘されてきました。
F_Warehouseはあるスパイキャンペーンの一環で、南アジアとおそらくインドの個人を標的にしていることが確認されています。過去に実施されたキャンペーンを踏まえると、このマルウェアは香港関連の記事を掲載するニュースサイトへの侵害を介して配布されたものと思われます。またThreatFabricの研究者はその後、2種類の公開済みのエクスプロイト(CVE-2018-4233とCVE-2018-4404)を通じてLightSpyが配信されていることを発見しました。
DodgeBoxとMoonWalk
DodgeBoxは、APT41のStealthVectorの最新版だと考えられている反射型DLLローダーで、バックドアのMoonWalkをロードしていることが確認されました。MoonWalkはC2通信にGoogle Driveを使い、検知を回避するためにWindows Fiberを悪用します。
DodgeBoxとMoonWalkは共通の開発キットをシェアしており、両マルウェアともDLLホローイングやインポートの解決、DLLのアンフック、コールスタックスプーフィングなど回避性の高いさまざまな手法を採用しています。DodgeBoxとMoonWalkは両方とも、APT41のツールキットに新たに追加されたものだと考えられています。
DeuterBearとWaterBear
トレンドマイクロの研究者は、アジア太平洋地域のテクノロジー、研究、政府関連組織を標的として、Waterbearマルウェアを使うBlackTech APTの攻撃が急増していることを確認しました。またWaterbearに改良を加え、従来のアンチメモリスキャンと復号化ルーチンを変更したDeuterbearも発見されています。
両マルウェアを使ったキャンペーンが実施されている間、WaterbearとDeuterbearの双方にアップデートが行われました。Deuterbearはシェルコード形式のプラグインを受け入れる性能など新機能を追加したほか、リモートアクセス型トロイの木馬を使った活動中にハンドシェイクを行うことなく動作できるようになっています。これらのマルウェアの進化は、BlackTech APTのツールボックスにおいて、分析対策や検知回避のための開発が継続的に行われていることを示唆しています。
おわりに
本ブログ記事では、中国系APTがもたらす多様な脅威についてより深い知見を提供しながら、こういったグループが使うツールセットや戦術の進化を監視するためにOSINTがどう役立つのかをご紹介してきました。Silobreakerはこのプロセスを簡略化する目的でも使用できるほか、特に中国系APTの活動に見られる、情報収集におけるいくつかの重要な課題に対処する上でも活用することができます。OSINTを使った情報収集の取り組みをSilobreakerがどのように支援できるのか、詳しくはこちらからお問い合わせください。
※日本でのSilobreakerに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
Silobreakerについて詳しくは、以下のフォームからお問い合わせください。
寄稿者
- Lucas Samuel, Intelligence Analyst at Silobreaker
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価