マクニカネットワークスは、Team T5と、2020年度に日本に着弾した標的型攻撃に関する調査レポート「標的型攻撃の実態と対策アプローチ」を昨年に引き続き共同著書し、公開したことを発表した。
2020年度の攻撃動向は、前年度の観測と比較すると、2019年度に比較的活発であった国内の組織を標的としたTickとBlackTech攻撃グループの活動が低下し、LODEINFOマルウェアを使うAPT10攻撃グループ、A41APT攻撃キャンペーンの報告されたAPT10攻撃グループの攻撃が活発に観測されたという。
[画像クリックで拡大]
これまでの観測同様、上期にDarkHotel攻撃グループと思われる攻撃活動の観測があり、新たにCloudDragon(Kimsuky)やDarkSeoul攻撃グループのVSingleマルウェアを使う攻撃が日本に対して行われていたと分析されている。また年間を通して、LODEINFOマルウェアを使うAPT10攻撃グループのメディア、シンクタンクを標的とした攻撃が活発に見られたという。一方、APT10攻撃グループの同種のローダー(DES_Loader)からいくつかの異なるペイロード(SodaMaster,P8RAT,Cobalt Strike Stager Shellcode,xRAT)をメモリに展開して攻撃するA41APT攻撃キャンペーンも観測されている。
A41APT攻撃キャンペーンが観測された標的は、複数の製造業やITサービスと多く、A41APT攻撃キャンペーンの公開情報では、その他に政府、医療、衣料品関連などの業種も標的になっていたとされており、日本を標的とした攻撃グループとしては、最も活発に攻撃活動を行っていたと分析しているという。
[画像クリックで拡大]
標的組織としては、年間を通してAPT10のLODEINFOマルウェアを使った攻撃がメディア、シンクタンクを標的として行われたため、割合が大きくなっているという。APT10のA41APT攻撃キャンペーンは、製造業の観測が多くあるが、標的型攻撃の中でもかなり検出が困難な部類であり、ここに含まれていない政府、医療、衣料品といった業種も注意する必要があるとしている。
この攻撃は、スピアフィッシュメールからの侵入はなく、マルウェアに感染した端末は国内企業の海外含む関連企業のサーバOSが大半で感染台数が少なく、C2サーバのIPアドレスは各感染ホストで異なる。そのため、国内企業の本社ネットワークと比べて対策が手薄な拠点への侵入だけでなく、ハッシュ値やIPアドレスといった静的なIOCでの検出も困難だという。
【関連記事】
・マクニカネットワークス、Splunk Enterpriseを活用した一貫的なセキュリティ支援へ
・マクニカネットワークス、Sansanへ次世代エンドポイント保護製品を提供 テレワーク環境適応にも活用
・マクニカネットワークスがData Theoremと代理店契約、モバイルアプリのセキュリティ診断を提供
