南シナ海で地政学データを盗むNaikon APT

Naikonという新たなAPT集団が、南シナ海周辺諸国から情報を盗んでいます。このAPTも、感染はスピアフィッシングメールから始まります

Naikonは中国語話者のAPT(Advanced Persistent Threat)集団であり、南シナ海周辺地域の軍事組織、政府機関、民間企業を攻撃対象としています。東南アジア諸国の間で、この海域の領有権をめぐる対立が緊迫化しています。

NaikonはAPT-30という別名でも知られています。Kaspersky Labのグローバル調査分析チーム(GReAT)が先ごろ発表したレポートでは、Naikonの標的は、フィリピン、マレーシア、カンボジア、インドネシア、ベトナム、ミャンマー、シンガポール、ネパールなどとされています。

Naikon-map_01_ja

APT攻撃の例に漏れず、Naikonの感染手段もスピアフィッシングメールです。このメールには、悪意ある実行ファイルが一見関連のありそうな文書を装って添付されています。こうした悪意ある添付ファイルを開くと、偽の文書が実行ファイルとして表示され、古いMicrosoft Officeの脆弱性を悪用して、標的マシンにマルウェアがインストールされます。

このAPT集団は5年間にわたって、標的各国の文化的な事情を利用してきました。たとえば、個人のメールアドレスが仕事にも使われるという慣習を悪用するのです。Naikonは、実際に使われているメールアドレスとよく似たアドレスを作成し、もっと効果的なフィッシングメッセージを送信していました。

また、指揮統制(C&C)インフラストラクチャの一部を標的国に設置して、リアルタイムの接続やデータ窃盗を常時サポートできるようにしていました。さらに、標的ネットワーク全体で通信を傍受できるほか、48種類のリモートコマンドを送信することもできます(システムファイルの完全なインベントリの取得、データのダウンロードとアップロード、アドオンモジュールのインストール、コマンドラインやプロンプトでの操作など)。

この48種類のコマンドを組み合わせれば、Naikonに感染したマシンを完全に乗っ取ることができます。Naikonの最終的な目的は、地政学的な情報を集めることです。

Naikon攻撃の背後にいる犯罪者は、どんな標的国にも設置できる極めて柔軟なインフラストラクチャを考案

Kaspersky Labのプリンシパルセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)は次のように説明しています。「Naikon攻撃の背後にいる犯罪者は、どんな標的国にも設置できる極めて柔軟なインフラストラクチャを考案し、標的のシステムからコマンドセンターに情報を送っていました。他国の別の組織をターゲットにする場合は、新しい接続をセットアップするだけです。また、標的のグループをそれぞれ専任のオペレーターに担当させて、スパイ活動を円滑に進められるようにしています」

名前は伏せておきますが、ある国では、大統領官邸、軍隊、内閣官房、国家安全保障会議、訟務長官室、国家情報調整局、民間航空局、司法省、連邦警察、大統領秘書室がNaikonのハッカーの侵入を受けました。

Kaspersky Labのエキスパートは、知らない差出人から届いた添付ファイルを開かない、高度なアンチマルウェア製品を使用する、OSにパッチを適用して最新の状態にする、といった対策を呼びかけています。

 

ヒント