見出し画像

(解説・S2W独自)警察庁が注意喚起した「APT10」及び「MirrorFace(aka Earth Kasha)」について

Darkpedia: サイバー犯罪のダークトレンド

1月8日(水)に警察庁が中国系ハッカー集団「Mirror Face」に関して発表しましたが、この度S2Wのアナリストチーム「Talon Team」では、同グループに関するプロファイリング情報を独自にまとめました。以下がその内容になります。

警察庁は8日、内閣サイバー保安センターと共に2019年から2024年まで日本政府機関、企業、個人を対象にサイバー 攻撃を遂行した中国の国家支援型ハッキンググループ「Mirror Face」に対する詳細資料を発表しました。

Source: The National Police Agency of Japan

調査結果によると、彼らは「Earth Kasha」としても活動しており、中国の国家支援型ハッキンググループ「APT10」とも関連性があるものと推定されます。

 日本警察は「Mirror Face」が日本の安全保障と新技術関連情報を盗むことを目標に活動していると説明しています。

今回の記事では、S2Wの脅威分析チームTalonが過去に作成した「Mirror Face」(Earth Kasha)ハッキンググループと中国の国家支援ハッキンググループ「APT10」に関する簡易プロファイリング内容をまとめました。


■脅威アクター:「Mirror Face」(Earth Kasha)

Source: S2W Talon Report “APT Threat Trends in Nov 2024”

■攻撃技法に変化を与えた「MirrorFace(Earth Kasha)」の最近のキャンペーン

「Earth Kasha」はTrendMicroが命名した中国ベースのグループで、 マルウェア「LODEINFO」を使うグ ループです。
「LODEINFO」はまた、「APT10」が使うマルウェアとしても知られていることから、 (「Earth Kasha」を事実上)「APT10」と見ることができますが、 TrendMicroでは「APT10」グループであるという根拠が足りないと判断し、「独自にEarth Kasha」と命名し、混乱を避けるために「APT10」と関連 のあるグループをまとめて「APT10 Umbrella」と命名しました。

かつてフィッシングメールを通じて攻撃を試みた「Earth Kasha」は、最近のキャンペーンでVPNやファイル保存サービスのようなアプリケーションの脆弱性を活用しました。
ArrayAG(CVE-2023-28461)、 Proself(CVE-2023-45727)、FortiOS/FortiProxy(CVE-2023-27997)の脆弱性を状況に合わせて悪用したことが確認されました。
攻撃者はアクセス権限を獲得した後、「csvde.exe」、「nltest.exe」、 「quser.exe」のようなツールを介してAD構成及びドメインユーザ情報を獲得した後、攻撃者のカスタムマルウェアである「MirrorStealer」を通じてブラウザー、メールプログラムなどをターゲットにし て資格証明をダンプし、「vssadmin」を悪用してレジストリハイブ及び「ntds.dit」をコピーしました。

攻撃者 は、当該資格証明を使ってドメイン管理者( DCにアクセスを試みた後、管理者アカウントを通じて作業スケジューラー及びSMBを通じて側面移動を試み、「LODEINFO」及び新たに登場した 「NOOPDOOR」を配布しました。
攻撃者は収集したデータを「makecab」コマンドを通じて一つに圧縮し、 RDPセッションを通じてファイルを盗み出しました。

Noopdoor Malware CTI Map Source: S2W QUAXAR

■脅威アクター:「APT10」

APT10 CTI Map Source: S2W QUAXAR

■「APT10」の新しいマルウェア使用と攻撃技法の変化

「Cuckoo Spear」キャンペーンは2021年から日本とアジア諸国をターゲットにしている継続的なサイ バー攻撃キャンペーンです。
過去に当該キャンペーンは「APT10」の主要なマルウェアである 「LODEINFO」を使用していましたが、 2024年には「NOOPDOOR」と「NOOPLDR」という新しいマルウェアを使用して攻撃を行っています。
「 NOOPLDR」はC#とDLLバージョンに分離され、それぞれC2サーバー 通信を通じて「NOOPDOOR」バックドアをロードします。「NOOPDOOR」は、DGAベースのC2通信を使用するのが特徴です。
この他にも「LODEINFO」をダウンロードするダウンローダーである「 DOWNJPIT」と「Cobalt Strike」をロードするGo言語基盤の「GOSIC Loader」が使われたりもしました。
該当キャンペーンは過去にはスピアフィッシングを通じて初期アクセスを試みましたが、最近は「FortiOS」と 「Array AG」、「Proself」の公開された脆弱性を悪用する方法に転換しました。

攻撃グループは、継続性を維持するためにスケジュールされた作業、 WMI、Windowsサービスなどを悪用して「NOOPDOOR」を被害者のシステムにインストールしました。
また、内部ネットワーク間の通信を通じて外部C2サーバーが遮断されても内部でコマンドを伝送できるように特定ポート (5984、47000、8532)を使用するように構成されました。
その後、攻撃者は作業スケジューラーを通じて他のシステムに側面移動を行った後、イベントログ削除で探知を回避し、「net」、「ping」、「nslookup」のようなコマンドを通じてターゲットシステムの情報を収集する行為を行いました。