サイバー脅威アクターのトップ 6:現在最も活発な6グループを解説
原文のブログはこちらからご覧いただけます。
90 日間にわたる約 180 万件ものサイバー攻撃を解析すると、何が起きるでしょうか。大量のデータポイントからサイバー脅威の傾向が突如として明らかになり、攻撃を最も活発に実施する脅威アクターの名が浮かび上がってきます。
BlackBerry の Threat Research & Intelligence 担当副社長 Ismael Valenzuela によると、BlackBerry の脅威インテリジェンスレポートで解析した攻撃は、多種多様なサイバー犯罪者によるものです。
「私たちは、国家支援型の APT グループや、金銭目的のランサムウェア集団、その他あらゆる規模、能力、動機を持った多くの脅威アクターが、さまざまなキャンペーンを実施している様子を確認しました」と彼は説明します。「しかしいくつかの脅威グループは、その高度な活動と攻撃規模の大きさで際立ちます」。セキュリティチームとその保護対象の組織にとって、Valenzuela のこの発言は注目すべきものでしょう。
本記事では、BlackBerry グローバル脅威インテリジェンスレポートでの議論に沿って、最も活発なサイバー脅威アクターのリストをご紹介します。
サイバー攻撃のブロック状況から見えてくる、最も活発な攻撃グループ
今回のレポートでは、2022 年 9 月 1 日から 11 月 30 日に発生したマルウェア攻撃を解析しました。この期間中、Cylance® AI を活用した BlackBerry® のエンドポイントセキュリティソリューションは、弊社のお客様に対するマルウェアベースの悪意ある攻撃を、 1 日あたり約 19,524 件阻止しています。報告期間に阻止したサイバー攻撃は計 1,757,248 件となり、これが今回の解析対象のデータを構成しています。
ここからは、BlackBerry の Threat Research & Intelligence Team が確認した中で最も活発なサイバー攻撃グループのトップ 6 をご紹介します。
1. ALPHV:BlackCat ランサムウェアの作成者
ALPHV は、現在急速に成長している比較的新しいサイバー犯罪グループです。2021 年末ごろに初めて確認され、従来見られなかったような脅迫戦術と攻撃手法で注目を集めました。BlackCat という不吉な名を持つRaaS(Ransomware-as-a-Service)サービスを運営していることで広く知られています。
BlackBerry のリサーチャーによると、ALPHV には、他の RaaS サブスクリプションサービスの運営者に対し明らかに優位な点が 2 点あります。
第 1 に、BlackCat は広く拡散したランサムウェアファミリーの中では初となる、 Rust によって書かれたランサムウェアです。強力なプログラミング言語であるRust はを使用することにより、脅威アクターはWindows® や Linux® など異なるオペレーティングシステム向けにマルウェアを容易にカスタマイズできます。また、言語自体があまり知られていないため解析の難易度が高まり、それゆえにステルス性が増すという利点もあります。攻撃しやすい企業環境が多いという性質は、アフィリエイト(攻撃参加者)にとって魅力的なものでしょう。
第 2 に、ALPHV は二重脅迫と三重脅迫の手口を採用しています。つまり、データやシステムを暗号化した後、抜き出したデータの流出を盾に脅すことに加えて、支払いを拒否した被害者の Web サイトに分散型サービス妨害(DDoS)攻撃を仕掛けるとの脅しをさらに行い、脅迫を三重化する場合があるのです。
ALPHV グループは特定の部門や国を狙っているわけではないようです。また、ALPHV は BlackCat ランサムウェアをサブスクリプション形式で他の脅威アクターに提供しているため、システム上にこのマルウェアが存在しても、それが ALPHV による直接攻撃を示しているとは限りません。BlackCat ランサムウェアはこれまで、米国、オーストラリア、日本、イタリア、インドネシア、インド、ドイツを含むさまざまな国において、小売、金融、製造、政府、テクノロジー、教育、運輸業界に被害を与えています。
脅威グループ APT32 はベトナムを拠点とし、少なくとも 2014 年から悪意あるサイバー活動を実施していると考えられています。その標的はさまざまな民間産業、外国政府、そして反体制派やジャーナリストなどの個人であり、特にベトナム、フィリピン、ラオス、カンボジアなどの東南アジア諸国で活動する組織が中心となっています。APT32 はしばしば、戦略的に Web を侵害して被害システムに侵入するといった手口を採用しています。また、防衛機関やハイテク企業、医療業界、製造業界に対しても攻撃を仕掛けています。
BlackBerry の Threat Research & Intelligence Team では、APT32 による複数の侵害事例を解析する中で、この脅威グループが Ratsnif と呼ばれる一連のリモートアクセス型トロイの木馬(RAT)を使用して、新たなネットワーク攻撃能力を獲得していることがわかりました。また、グループがステガノグラフィ(機密ではない通常のファイルやメッセージに機密データを隠す手法)を利用して、PNG画像に悪意のあるペイロードを埋め込んでいたことも確認しています。
弊社のブログを定期購読している読者の方にとって、2022 年後半に大きく報じられた脅威グループ Mustang Panda は記憶に新しいかもしれません。BlackBerry は 10 月、中国を拠点とするこの APT グループが、正規のアプリを用いて東南アジアのミャンマーを標的とするキャンペーンを実施したことを報告しました。さらにその 2 か月後には、Mustang Panda がロシア・ウクライナ戦争に対する世界的な関心を利用して、ヨーロッパやアジア太平洋地域に攻撃を仕掛けている様子を報告しました。
この APT グループは 2017 年に初めて確認されましたが、2014 年から活動していた可能性があります。これまで、米国、欧州連合、モンゴル、ミャンマー、パキスタン、ベトナムをはじめとする世界各地で、政府機関、非営利団体、宗教団体、非政府組織(NGO)などのさまざまな組織が標的となっています。
このグループの活動で多用されるのは PlugX と China Chopper です。PlugX はモジュール型の RAT で、構成によってHTTP と DNS の両方を利用してコマンドアンドコントロール(C2)活動を行えます。China Chopper はWebサーバー上でホストされる悪意あるソフトウェアで、感染デバイスとリモート C2 サーバーの通信を必要とせずに、組織ネットワークへの不正アクセスを可能にします。
APT29(別名 Dukes)は、豊富な資金を持ち高度に組織化されたサイバー犯罪グループです。少なくとも 2008 年から、ロシア政府の意図を受けサイバー諜報活動を積極的に行っていると考えられています。このグループの主な標的は北米とヨーロッパの政府機関や NGO であると見られますが、攻撃の範囲はアジア、アフリカ、中東にも及んでいます。APT29 が多く悪用するランサムウェアには、Cobalt Strike、Mimikatz、AdFind が含まれます。APT29の特に危険な点として、ハッキングキャンペーンのために独自のカスタムツール群を開発することが知られています。
5. TA542
TA542 は Emotet マルウェアの拡散に関係しており、研究者の見解では、Emotet の開発においても大きな役割を担ったと見られます。Emotetは2014 年半ばに初めて確認され、モジュール型の設計と、強化されたバンキング型トロイの木馬 Bugat(別名 Feodo)と同様の特徴を持ちます。基本的なウイルス対策プログラムを妨害することでも知られ、マシンへの感染後にはネットワーク内の他のコンピューターへの侵害を試みます。
通常、このマルウェアはフィッシングメールを介して拡散します。本物そっくりのメールには悪意のあるリンクや感染済みの文書が含まれ、それらがクリックまたはダウンロードされると、追加のマルウェアがマシンに自動的にドロップされます。現在、Emotet の運営者は MaaS(Malware-as-a-Service)サービスを提供し、Emotet に感染したコンピューターへのアクセス権を他の脅威アクターに貸し出しています。多くの場合は TrickBot や QBot などのマルウェアが追加的に使用され、さらに被害を拡大します。
TA542 は通常、短期間の攻撃実施後に数か月にわたる活動中断期間を置き、その後マルウェアの新バージョンや亜種とともに活動を再開します。TA542 のキャンペーンの標的は、教育、金融、小売、医療業界などです。
TA505 は金銭を目的とする活発なサイバー犯罪グループで、2014 年から活動しています。フィッシングやマルスパムを拡散するグループとして、世界最大とは言えないまでも最大級の集団の一つと考えられており、これまでに 侵害した組織は米国で3,000 以上、グローバルでは8,000 以上と推定されています。TA505 はサイバー犯罪コミュニティにおいて多種多少な役割を担っています。すなわち、RaaS の運営者、他の強力な RaaS 運営者のアフィリエイト、また自ら初期アクセスブローカー(IAB)となったり他の IAB の顧客となって侵害済みの企業ネットワークへのアクセス権を販売するといった役割です。金融詐欺やフィッシング攻撃に特化した大規模なボットネットを運営していたこともあります。
TA505 はグローバルなサイバー犯罪の世界で重要な役割を果たし、サイバー犯罪の裏社会における世界的トレンドを牽引してきました。このグループは全世界にわたり教育、金融、医療、接客、小売業界を標的としており、サイバー犯罪のライフサイクルが長いことでも知られています。時には数週間から数か月にわたり検知を回避しながら標的ネットワーク内を偵察し、長い時間をかけて被害環境における最も価値ある標的を見つけ出すこともあります。このグループは主要なサイバー攻撃ツールとして Locky ランサムウェアを使用していますが、別種のマルウェアを実験的に用いることでも知られています。TA505のツールセットには、Clop ランサムウェア、FlawedAmmyy RAT、そして Dridex のようなバンキング型トロイの木馬が含まれます。
.png)
