2023年第2四半期~第3四半期のESET APT活動レポート

ESETのAPT活動レポートは、2023年第2四半期および第3四半期にESET Researchが調査および分析したAPTグループの活動の概要をまとめています。

2023年第2四半期~第3四半期のESET APT活動レポートは、2023年4月から9月末までにESETの研究者が観測、調査、分析した一部のAPT(持続的標的型攻撃)グループの活動内容をまとめています。

この期間中、APTグループが既知の脆弱性を悪用して政府機関や関連組織からデータを流出させる戦略が観察されており、注意が必要です。ロシアとつながりのあるSednitとSandworm、北朝鮮とつながりのあるKonni、そして特定の国を拠点にしていないWinter VivernとSturgeon Phisherは、WinRAR(Sednit、SturgeonPhisher、Konni)、Roundcube(SandwormとWinter Vivern)、Zimbra(Winter Vivern)、Outlook for Windows(Sednit)の脆弱性を悪用し、ウクライナ、ヨーロッパ、中央アジアのさまざまな政府組織を標的に攻撃を行っています。中国とつながりのあるサイバー攻撃組織であるGALLIUMは、Microsoft Exchange ServerまたはIISサーバーの脆弱性を悪用し、通信事業者から世界中の政府組織まで広範囲にわたる標的に攻撃を行っています。MirrorFaceは、オンラインストレージサービスProselfの脆弱性を悪用し、TA410は、Adobe ColdFusionアプリケーションサーバーの脆弱性をそれぞれ攻撃していると考えられています。

イランとつながりのある中東を拠点とするグループは、主にイスラエルの組織に対するスパイ活動やデータ窃取を中心とする多くの活動を継続しています。MuddyWaterは、サウジアラビアの組織も標的にしています(この組織の詳細は不明)。MuddyWaterが展開しているペイロードから、このグループが高度な技術力のある別グループに対して、組織へ不正に侵入する手法を開発するチームとして機能している可能性も浮かび上がっています。

ロシアとつながりのあるサイバー攻撃組織は、引き続きウクライナを主な標的としています。ESETは、既知のワイパー型マルウェアであるRoarBatとNikoWiperの新バージョン、そして「SharpNikoWiper」と命名した新しいワイパー型マルウェアを発見しています。これらの全てのマルウェアはSandwormによって展開されています。Gamaredon、GREF、SturgeonPhisherといったグループはTelegramユーザーを標的にして、情報やTelegram関連のメタデータを外部に送信しているのに対して、Sandwormは積極的にTelegramサービスを利用してサイバー攻撃による破壊や妨害活動を宣伝しています。しかし、ウクライナに対して最も多くの攻撃を行っている組織は引き続きGamaredonです。Gamaredonは、既存のツールの強化や新しいツールの導入により、データ収集能力を大幅に強化しています。

北朝鮮とつながりのあるグループは、引き続き、日本、韓国、および韓国の関連団体を主な標的としており、精巧に作成されたスピアフィッシングメールを使用しています。この期間に観察されたLazarusによる最も活発な攻撃は、業界を代表する企業からの偽の求人情報で標的を誘い出すDreamJob作戦でした。Lazarusグループは、主要なすべてのデスクトッププラットフォームに対応するマルウェアを開発する高い能力を実証し続けています。

また、ESETの研究者は、中国とつながりのある新しい3つのグループの活動を発見しました。DigitalRecyclersは、EUの政府組織への侵入を繰り返しており、TheWizardsは中間者攻撃の一種であるAiTM攻撃(Adversary-in-the-Middle攻撃)を実行していました。また、PerplexedGoblinはEUの別の政府組織を標的にしていました。

2023年第2四半期~第3四半期のESET APT活動レポートで説明しているAPTグループによる攻撃は、ESET製品によって検出されています。ESET製品を利用されている顧客から共有いただいたインテリジェンスは、主にESET独自のテレメトリ(監視データ)に基づいており、ESETの研究者によって検証されています。

本レポートに記載されているAPTグループの影響を受ける国、地域、業種を以下に示します。

標的となった国と地域:

  • アルメニア
  • バングラデシュ
  • 中国
  • 中央アジア
  • クロアチア
  • チェコ
  • 欧州連合
  • フランス領ポリネシア
  • ギリシャ
  • ガイアナ
  • 香港
  • イスラエル
  • 日本
  • クウェート
  • マリ
  • パキスタン
  • フィリピン
  • ポーランド
  • サウジアラビア
  • セルビア
  • スロバキア
  • 韓国
  • タジキスタン
  • トルコ
  • ウクライナ
  • アラブ首長国連邦
  • 米国
  • ウイグルおよびその他のトルコ系少数民族

標的となった業界:

  • ギャンブル関連企業とその顧客
  • 政府機関および団体
  • ホスティングプロバイダー
  • 産業用ネットワーク
  • IT企業
  • 地方自治体および行政機関
  • 報道機関
  • 政治団体
  • 民間企業
  • 北朝鮮問題を専門とする学者やジャーナリスト
  • 研究機関
  • 通信事業者
  • 大学

ESETのこの「APT活動レポート」は、本レポートのプレミアム版で提供しているサイバーセキュリティインテリジェンスデータの一部を要約したものに過ぎません。詳細については、ESET脅威インテリジェンスのWebサイトを参照してください。

2023年第2四半期~第3四半期のESET APT活動レポート レポート全文(英語)を読む

ESETの調査・研究はESETのX(旧Twitter)で情報発信しています。重要なトレンドや最も拡散している脅威に関する最新情報を定期的にご確認ください。

セキュリティニュース
Top