4つの脆弱性ソードによる攻撃

curt

投稿者:Curt Wilson
投稿アーカイブ:持続的標的型攻撃、分析、バックドア、攻撃コード、フォレンジック、インシデント対応、マルウェア、フィッシング、リバース・エンジニアリング、脅威分析、脅威概要、トロイの木馬、脆弱性.

チベット、香港、台湾の問題に従事している人々に対するAPT攻撃が進行中

Arbor ASERTは、「4つの脆弱性ソードによる攻撃(完全レポート)」の中で、チベット、香港、台湾の問題に関心を持つ人権活動家に対する長期にわたる脅威キャンペーンに関連する可能が高いAPTアクティビティが、現在行われていることを明らかしました。Four Element Sword Builder (4脆弱性ソード・ビルダー)と呼ばれる不正コードが存在しており、これらのキャンペーンでRTF(リッチテキスト形式)の文書を武器化するために使用され始めています。以下に、(大量のアクティビティの中から抽出された) 12の異なる標的型攻撃インシデントの1例を、以前に記録された脅威キャンペーンとのつながりを示す情報とともに示しています。

four-element-sword-engagement-1017x1024

侵害の痕跡(IOC)の一覧はCSV形式で入手できます。

2015年12月末までには、Microsoftのリッチ・テキスト・ファイル(RTF)の構文解析に関連する4つの脆弱性(CVE-2012-0158、CVE-2012-1856、CVE-2015-1641、CVE-2015-1770)を悪用する高度な攻撃が、チベット人コミュニティ、香港と台湾のジャーナリスト、人権活動家を標的にして実行されています。これらの脆弱性の1つであるCVE-2015-1641は、2015年以降にサイバー犯罪で一般的に悪用されていますが、最近まで、APTアクターによって悪用されることはほとんどありませんでした。現在これらの脆弱性は、Grabber、T9000、Kivars、PlugX、Gh0StRAT、Agent.XSTなど、中国関連のマルウェア・ペイロードを配信するために使用されています。

マルウェア・ペイロード、マルウェア・メタデータ、アクター・グループTTP (戦略、テクニック、手順)を調査しているアナリストは、マルウェア、標的の選択、過去の脅威アクター・インフラとのつながりに関する有益な洞察を提供しています。また、痕跡の類似性から、世界ウイグル会議(WUC)に対して2009年から2014年にかけて行われ、2014年のUsenixセキュリティ・シンポジウムで報告された攻撃キャンペーンとのつながりが明らかになっています。別の痕跡は、Trend Microによって特定された「Operation Shrouded Crossbow」の背後にいるアクターの存在を示唆しています。

ASERTによって明らかにされたこの最近の攻撃の標的パターンは、中国政府の支配への脅威として認識されている組織や個人の総称である「5つの毒」に対する攻撃の標的パターンと一致しています。「5つの毒」とは、ウイグル人、チベット人、法輪功信者、民主運動の活動家、台湾独立支持者のことを指します。この標的選択スキームは、検出されたさまざまなマルウェアや、付随するメタデータとともに、この攻撃での脅威アクターが、中国とつながりがあることを示唆しています。

このレポートの記述後に、前述したパターンと同じ種類の別のマルウェアが発見されており、武器化したRTFドキュメントを使用するこれらの汎用化された脅威キャンペーンは、依然として続いていることが推測されます。

Citizen Labは学際的な研究所で、トロント大学(カナダ)のMunk School of Global Affairsを拠点にしており、主に、情報と通信のテクノロジ(ICT)、人権、グローバル・セキュリティにまたがる高度な研究や開発を行っています。また、ここに記述されている脅威活動に関連するコンテンツも発行しています。この研究所の記事は、https://citizenlab.org/2016/04/between-hong-kong-and-burma/で参照できます。