東に目を向けるSofacy APT

Kaspersky Labは、ロシア語話者のサイバー犯罪集団Sofacyの2017年における活動について新たな情報を公開しました。

Kaspersky Labは、多数のサイバー犯罪組織を監視し、その活動について報告し、その脅威から人々を保護しています。中には、国際的な知名度があり、時折メディアに取り上げられる犯罪組織もあります。こういったサイバー犯罪組織がどの言語を使っているかは、問題ではありません。その組織について知り、調査し、その魔の手からお客様を守るのが当社の務めです。

活発な動きを見せているサイバー犯罪組織の一つに、Sofacy(英語)と呼ばれるロシア語話者のAPT集団があります。APT28、Fancy Bear、Tsar Teamの別名を持つSofacyは、スピアフィッシングを使った攻撃とサイバースパイ活動がよく知られています。

当社は2011年からSofacyの観測を続けており、このサイバー犯罪組織が使用するツールおよび戦術を詳しく把握しています。このたび当社の調査チームは、Sofacyの2017年の動向をまとめました(英語記事)。Sofacyは年初、NATO加盟国に向けてスピアフィッシング攻撃を盛んに仕掛けていましたが、同年第2四半期には、その矛先を中東や中央アジアの国々、そしてさらに東へと移しています。なお、これに先立つ2016年終盤には、オリンピックや世界ドーピング防止機構(WADA)、スポーツ仲裁裁判所(CAS)をターゲットとしていました。

Sofacyはターゲットに応じて使用するツールを変えています。2017年初めに見られた、NATO加盟国とウクライナの軍事組織や外交機関を主なターゲットとする「Dealer’s Choice」作戦では、Flashエクスプロイトが使われました。科学研究所や技術センター、広報サービスなどの企業を狙った攻撃では、「Zebrocy」および「SPLM」という2種類のツールを使っています。ZebrocyとSPLMは昨年、大幅に改造されました。SPLM(別名「Chopsticks」)はモジュール化され、暗号通信を使用するようになっています。

感染は通常、スピアフィッシングメールで始まります。メールの添付ファイルには、ペイロードをダウンロードするスクリプトが含まれています。Sofacyゼロデイ脆弱性を発見して悪用し、ペイロードを拡散することで知られています。Sofacyは運用上のセキュリティを高いレベルに保っており、マルウェアを検出しにくくすることにかなりの重点を置いています。当然ながら、捜査も難しくなります。

Sofacyのような高度に洗練された標的型攻撃の場合、インシデントの徹底的な捜査が不可欠です。徹底した調査により、犯人たちの狙う情報を突き止め、その動機を理解し、休眠状態のマルウェアの存在を検知することができるのです。

そのためには、高度な保護ソリューションだけでなく、脅威を早い段階で検知し、インシデント発生前のイベントを分析できるようなセキュリティシステムが求められます。

2017年のSofacyの活動と技術的な詳細については、Securelist(英語)をご覧ください。また、当社の調査チームは、今年に入ってSofacyの活動に興味深い変化を認めました。これについては、Kaspersky Security Analyst Summit 2018(英語)で取り上げます。

ヒント