APT43: 北朝鮮の攻撃グループ、サイバー犯罪でスパイ活動資金を確保
Mandiant
※この投稿は米国時間 2023 年 3 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。
本日、Mandiantは北朝鮮のために活動する大規模な脅威グループで、スパイ活動の資金源としてサイバー犯罪に関与していることが確認されているAPT43に関するレポートを公開しました。
Mandiantは年間を通じて大量の脅威活動を追跡していますが、特定のグループへのアトリビューションを行うのに十分な証拠を得られるとは限りません。しかし、時間をかけてより多くの活動を観察し続け、関連する脅威クラスターに関する知識が成熟してくると、特定の脅威グループへのアトリビューションを行うことができるようになります。
APT43はまさにそのようなケースです。このレポートは、Mandiantの複数の組織にまたがって膨大な時間が費やされた研究と、点と点を結ぶ作業の集大成であり、Google Cloudの新しい同僚とのコラボレーションも特筆すべき点です。また、Mandiantが2022年9月にAPT42についての公式な発表を行って以来の、脅威グループのアトリビューションとなります。
APT43の標的やTTPに関する詳細な分析、活動例、マルウェアやIOCの補足については、レポートをご覧ください。ここでは、その一部をご紹介します。
- アトリビューション: Mandiantは2018年からこのグループを追跡しており、APT43の調査優先順位は、北朝鮮の主要な対外情報機関である偵察総局(RGB)のミッションと一致しています。
- 活動内容: APT43は、北朝鮮の自立を掲げる主体思想に基づいて、運用インフラを調達するのに十分な暗号通貨を盗み、洗浄することで、中央政府の財政負担を軽減しています。
- 標的: スパイ活動のターゲットは、韓国、日本、欧州、米国といった地域に絞られ、特に政府、業務サービス、製造業、および地政学や核政策に関連する教育、研究、シンクタンクといった分野に集中しています。2021年の大半は、パンデミック対策として、医療関連に焦点を移しました。
- 戦術:ソーシャルエンジニアリングで使用するために、なりすましや詐欺的な(しかし説得力のある)ペルソナを多数作成し、ターゲット領域(外交や防衛など)における重要人物になりすまし、盗んだ個人情報(PII)を活用してアカウントの作成とドメインの登録を行っています。また、APT43は、運用ツールやインフラを購入するための偽装IDを作成しました。
- 手順:APT43は、ハッシュパワーを確保するためにハッシュレンタルとクラウドマイニングサービスを購入し、そのハッシュパワーを使って、購入者の元の支払いとブロックチェーンベースで関連付けることなく、購入者が選択したウォレットに暗号通貨をマイニングしています。つまり、盗んだ暗号を使ってクリーンな暗号をマイニングしています。
APT43は、スパイ活動をサイバー犯罪で支援する能力を持ち、長期間の活動を厭わず、他の北朝鮮のスパイ活動者たちと複数の作戦で協力しています。これは、APT43が政権のサイバー体制において大きな役割を果たしていることを明確に示しています。
詳細については、レポートを(日本語)ご覧ください。
[Webセミナー]APT43: 北朝鮮政権とつながる大規模なサイバー攻撃活動に関する考察
APT43に関する新たなレポートの内容を踏まえ、Mandiantのインテリジェンス・アナリストが以下の詳細についてご説明します。
- APT43が使用するツールキットと、その活動を特徴づけるテクニック
- APT43の活動を特徴づける独自のターゲティング活動
- APT43が北朝鮮のサイバー能力にどう位置づけられるか?また、他のグループとの関係は?
登録・視聴は こちら から
その他のリソース:
- APT43についてのポッドキャスト(英語)
-Mandiant, 作成者: Fred Plan, Van Ta, Michael Barnhart, Jeff Johnson, Dan Perez, Joe Dobson