APT41
関与が疑われる国家 / 組織: 中国
標的とされる部門: APT41 は、早くも 2012 年から 14 か国以上の組織を直接標的にしてきました。このグループのエスピオナージ キャンペーンは、医療、通信、ハイテク部門を標的としており、これまでは知的財産の窃盗も行ってきました。サイバー犯罪への加担は、仮想通貨を操作する、またはランサムウェアの展開を試みるなど、ビデオゲーム業界を標的とする攻撃で最も顕著です。APT41 の標的は高等教育機関、旅行サービス、ニュース / メディア企業であることから、このグループが個人の追跡と監視行為も行っていることを示しています。
概要: APT41 は、中国政府が支援するスパイ活動に加え、国家の管理が及ばないと考えられる金銭目的の活動も行っている活発なサイバー脅威グループです。
関連するマルウェア: APT41 は、少なくとも 46 種類の異なるコード ファミリーとツールを使用したことが確認されています。
攻撃ベクトル: APT41 は頻繁に、コンパイル済み HTML(.chm)ファイルなどのファイルを添付したスピア フィッシング メールを利用して、標的組織への最初の侵入を行います。被害者の組織に侵入すると、APT41 はより高度な TTP を活用して、別のマルウェアを展開できます。たとえば、ほぼ 1 年にわたって実施されたある一連の攻撃では、APT41 はバックドア、認証情報窃取、キーロガー、およびルートキットなど、150 近くのマルウェアを使用し、数百のシステムを侵害しました。また、APT41 はルートキットとマスター ブートレコード(MBR)ブートキットを限定的に展開して、マルウェアを隠匿し、特定の感染システム上で常駐化しています。
補足資料
APT40
関与が疑われる国家 / 組織: 中国
標的とされる部門: APT40 は、一帯一路構想にとって戦略的に重要な国を一般的に標的とする中国のサイバー エスピオナージ グループです。このグループはグローバル組織、特にエンジニアリングと防衛に重点を置いている組織を標的としていますが、これまで東南アジアなどの地域の地方組織に対する攻撃も実行してきました。遅くとも 2013 年 1 月から、同グループは、海運、防衛、航空機産業、化学、研究 / 教育、政府、技術機関など、さまざまな業種に対してキャンペーンを実施しています。
概要: Mandiant Intelligence は、APT40 の活動は、中国の海軍能力を近代化させる取り組みに対抗するサイバー活動であると考えています。これは、大学での広範な研究プロジェクトを標的とし、海洋機器や船舶の設計を入手することにも表れています。同グループの攻撃は、政府が支援するプロジェクトを標的とし、提案、会合、財務データ、出荷情報、計画と図面、元データなど、そのようなプロジェクトに特有の情報を大量に引き出そうとします。
関連するマルウェア: APT40 は、少なくとも 51 種類の異なるコード ファミリーを使用したことが確認されています。そのうち 37 種類は非公開です。この非公開ツールのうち少なくとも 7 つ(BADSIGN、FIELDGOAL、FINDLOCK、PHOTO、SCANBOX、SOGU、WIDETONE)は、中国と関連が疑われる他のオペレーターと共有されています。
攻撃ベクトル: APT40 は通常、標的が関心を持つと思われる著名な人物になりすましてスピア フィッシング メールを送信します。これには、ジャーナリスト、業界誌の関係者、関連する軍事組織や非政府組織(NGO)の関係者になりすますことが含まれます。過去に侵害したメール アドレスを利用してスピア フィッシング メールを送信するケースも見られます。
補足資料
APT31
関与が疑われる国家 / 組織: 中国
標的とされる部門: 官公庁や国際金融機関、航空宇宙 / 防衛関連企業、ハイテク、建設 / エンジニアリング、通信、メディア、保険など複数の部門。
概要: APT31 は中国が関与するサイバー エスピオナージ攻撃者です。中国政府や国有企業に政治的、経済的、軍事的な優位性をもたらす情報の取得に重点を置いています。
関連するマルウェア: SOGU、LUCKYBIRD、SLOWGYRO、DUCKFAT
攻撃ベクトル: APT31 は、Java や Adobe Flash などのアプリケーションの脆弱性を悪用して、標的の環境を侵害します。
APT30
関与が疑われる国家 / 組織: 中国
標的とされる部門: 東南アジア諸国連合(ASEAN)の加盟各国
概要: APT30 は、長期にわたって継続的に活動しているだけでなく、遅くとも 2005 年以降、同じツール、戦術、インフラを維持するために、ソースコードを適切に改変、適応させた点でも知られています。このグループは標的に優先順位を付け、おそらくは交代制で協力しながら作業を進め、一貫した開発計画に基づいてマルウェアを構築している証拠が見られます。このグループは、2005 年からエアギャップのあるネットワークに感染させる能力を有しています。
関連するマルウェア: SHIPSHAPE、SPACESHIP、FLASHFLOOD
攻撃ベクトル: APT30 は、ダウンローダー、バックドア、中央コントローラに加え、リムーバブル ドライブとエアギャップのあるクロスネットワークに感染してデータを窃取する複数のコンポーネントを使用します。APT30 は、マルウェアによる CnC アクティビティを目的として、独自の DNS ドメインを頻繁に登録しています。
APT27
関与が疑われる国家 / 組織: 中国
標的とされる部門: APT27 は、南北アメリカ、ヨーロッパ、中東など、世界中に本部を置く複数の組織を標的としています。これらの組織は、ビジネス サービス、ハイテク、官公庁、エネルギーなど、さまざまな業種に分類されます。ただし、航空宇宙、運輸、旅行業界の業種が顕著な割合を占めています。
概要: APT27 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常は、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: PANDORA、SOGU、ZXSHELL、GHOST、WIDEBERTH、QUICKPULSE、FLOWERPOT
攻撃ベクトル: APT27 は多くの場合、最初の侵入方法としてスピア フィッシングを使用します。APT27 の脅威アクターは、独自のゼロデイ エクスプロイトを使用することは知られていませんが、公開されているエクスプロイトを利用する可能性はあります。少なくとも 1 つの事例で、APT27 の攻撃者は、侵害したアカウントを被害者の組織で使用して、類似の業種の他の標的に対してスピア フィッシング メールを送信しています。また、初期の足がかりを得るために、APT27 は脆弱なウェブ アプリケーションを侵害する可能性もあります。
APT26
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙、防衛、エネルギーの各部門など
概要: APT26 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常は、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: SOGU、HTRAN、POSTSIZE、TWOCHAINS、BEACON
攻撃ベクトル: このグループは頻繁に戦略的なウェブ侵害を用いて、標的とするネットワークへのアクセス権を獲得し、標的の環境内に侵入するとカスタムのバックドアにアクセスします。
APT25
別名: Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国およびヨーロッパの防衛産業基盤、メディア、金融サービス、運輸の各部門
概要: APT25 は、データの窃取を目的とするサイバー攻撃を展開しています。
関連するマルウェア: LINGBO、PLAYWORK、MADWOFL、MIRAGE、TOUGHROW、TOYSNAKE、SABERTOOTH
攻撃ベクトル: APT25 はこれまで、不正な添付ファイルや不正なハイパーリンクを含むメッセージなど、スピア フィッシングを使用してきました。APT25 の脅威アクターは通常、ゼロデイ エクスプロイトは使用しませんが、公開されているエクスプロイトを利用する可能性があります。
APT24
別名: PittyTiger
関与が疑われる国家 / 組織: 中国
標的とされる部門: APT24 は、官公庁や医療、建設 / エンジニアリング、鉱業、非営利団体、通信など、幅広い業種を標的にしています。
概要: このグループは、米国や台湾などの国に本部を置く組織を標的としていることが知られています。APT24 はこれまでに、RAR アーカイブ ユーティリティを使用して盗んだデータの暗号化と圧縮を行い、ネットワークから取り出しています。この攻撃者によるデータ窃盗は、主に政治的重要性を持つ文書に重点を置いていることから、その意図は、中国が現在進行している領土問題や主権紛争に関連する問題について、さまざまな国家の立場を監視することにあると示唆されます。
関連するマルウェア: PITTYTIGER、ENFAL、TAIDOOR
攻撃ベクトル: APT24 は、軍事、再生可能エネルギー、ビジネス戦略といった内容のおとり文書を用いたフィッシング メールを使用します。さらに、APT24 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
APT23
関与が疑われる国家 / 組織: 中国
標的とされる業種: 米国とフィリピンのメディアおよび行政機関
概要: APT23 は、知的財産ではなく、政治的および軍事的に重要性の高い情報を窃取しています。これは、APT23 が伝統的なスパイ活動を支援するためにデータを窃取している可能性を示唆しています。
関連するマルウェア: NONGMIN
攻撃ベクトル: APT23 は、教育関連のフィッシングのおとりなど、スピア フィッシング メッセージを使用して、標的のネットワークを侵害します。APT23 の攻撃グループがゼロデイ エクスプロイトを使用することは知られていませんが、このグループは公開されているエクスプロイトを利用しています。
APT22
別名: Barista
関与が疑われる国家 / 組織: 中国
標的とされる部門: 東アジア、ヨーロッパ、米国の幅広い政治、軍事、経済団体
概要: APT22 は中国と関係があり、遅くとも 2014 年初頭から活動しており、反体制派を含む公共および民間機関に対して侵入と攻撃活動を実行していると考えられます。
関連するマルウェア: PISCES、SOGU、FLATNOTE、ANGRYBELL、BASELESS、SEAWOLF、LOGJAM
攻撃ベクトル: APT22 の脅威アクターは、戦略的ウェブ侵害を使用して、標的を受動的に侵害します。APT22 の攻撃者はまた、標的とするネットワーク上の脆弱な一般向けウェブサーバーを特定し、ウェブシェルをアップロードして標的のネットワークへのアクセス権を取得します。
APT21
別名: Zhenbao
関与が疑われる国家 / 組織: 中国
標的とされる部門: 官公庁
概要: APT21 は、おとり文書の国家の安全保障問題をテーマにした戦略的なロシア語による添付ファイルを利用します。従来、ソーシャル エンジニアリングのコンテンツは、ロシアの国家安全保障に関する秘匿特権対象情報への不正アクセスを試みるサイバー エスピオナージ活動を示唆していました。APT21 の手法を解析したところ、このグループが重点を置くもう一つの領域は、自治権の拡大や中国からの独立を求めるチベットや新疆をはじめとする反体制グループであると考えられます。
関連するマルウェア: SOGU、TEMPFUN、Gh0st、TRAVELNET、HOMEUNIX、ZEROTWO
攻撃ベクトル: APT21 は、不正な添付ファイルや不正なファイルへのリンク、ウェブページを含むスピア フィッシング メール メッセージを利用します。また、潜在的な標的を狙った戦略的なウェブ侵害(SWC)も利用しています。APT21 は、TRAVELNET と TEMPFUN と呼ばれる 2 種類のバックドアを頻繁に使用しています。重要な点として、APT21 は通常、独自のバックドアを主に使用しており、一般に入手可能なツールを使用することはほとんどありません。
APT20
別名: Twivy
関与が疑われる国家 / 組織: 中国
標的とされる部門: 建設 / エンジニアリング、医療、非営利団体、防衛産業基盤、化学研究、製造業界の企業
概要: APT20 は、データの窃取を目的とするサイバー攻撃を展開しています。APT20 は知的財産の窃盗を行っていますが、特定の政治的関心を持つ個人からのデータの窃取や、活動のモニタリングにも関心があると見られます。入手可能なデータから、この攻撃者は中国を拠点とする、なんらかの国家支援を受けたフリーランサーのグループであると考えられます。
関連するマルウェア: QIAC、SOGU、Gh0st、ZXSHELL、Poison Ivy、BEACON、HOMEUNIX、STEW
攻撃ベクトル: APT20 は戦略的なウェブ侵害を仕掛けているところから、考えられる一連の第 2 の標的に関する手がかりが得られます。APT20 の SWC の多くは、民主主義、人権、報道の自由、中国の少数民族などの問題を取り扱うウェブサイト(中国語のウェブサイトを含む)でホストされています。
APT19
別名: Codoso Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: 法律、投資
概要: 中国政府からある程度の支援を受けている、フリーランサーで構成されると思われるグループ。
関連するマルウェア: BEACON、COBALTSTRIKE
攻撃ベクトル: 2017 年、APT19 は 3 つの異なる手法を用いて標的の侵害を試みました。5 月上旬、フィッシングのおとりは RTF 添付ファイルを利用し、CVE 2017-0199 に記述されている Microsoft Windows の脆弱性を悪用しました。5 月末にかけて、APT19 はマクロ対応の Microsoft Excel(XLSM)文書を使用するように変更されました。最新バージョンでは、APT19 は XLSM 文書にアプリケーションの許可リスト登録をバイパスする機能を追加しています。観察された少なくとも 1 つのフィッシングのおとりが、Cobalt Strike ペイロードを配信していました。
APT18
別名: Wekby
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙 / 防衛、建設 / エンジニアリング、教育、医療 / バイオテクノロジー、ハイテク、通信、運輸
概要: このグループについての情報は、ほとんど公開されていません。
関連するマルウェア: Gh0st RAT
攻撃ベクトル: ゼロデイ エクスプロイトを頻繁に開発または改変して攻撃活動を行うものであり、事前に計画されていたものと考えられます。Hacking Team から流出したデータを利用して、同グループは新たにエクスプロイトの流出といった予期せぬ機会を利用するためにリソースをシフト(標的の選定、インフラの準備、メッセージの作成、ツールの更新など)できることが実証されました。
その他のリソース: ブログ - Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak
APT17
別名: Tailgator Team、Deputy Dog
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国の官公庁 / 国際的な法律事務所、インフォメーション テクノロジー企業
概要: 標的の組織に対してネットワーク侵入を実行します。
関連するマルウェア: BLACKCOFFEE
攻撃ベクトル: この脅威グループは、プロファイルを作成し、フォーラムに投稿する機能を利用して、エンコードされた CnC をマルウェアの亜種で使用するために埋め込みます。この手法では、ネットワーク セキュリティ担当者が CnC の実際の場所を特定することが困難になり、CnC インフラストラクチャを長期間稼働し続けることができます。
APT16
関与が疑われる国家 / 組織: 中国
標的とされる部門: 日本および台湾のハイテク、行政サービス、メディア、金融サービス業界の組織
概要: 台湾の政治と報道についての問題に関心を持つ中国を拠点とするグループです。
関連するマルウェア: IRONHALO、ELMER
攻撃ベクトル: 台湾のメディア事業者やウェブメールのアドレス宛てにスピア フィッシング メールを送る。おとり文書には、台湾のオークション ウェブサイトに登録して商品を出品するための手順が記載されていました。
APT15
関与が疑われる国家 / 組織: 中国
標的とされる部門: 中国政府の利益を支援する、世界中の貿易、経済 / 金融、エネルギー、軍事の各部門が標的となっています。
概要: APT15 は、ヨーロッパ諸国や米国、南アフリカなど、複数の場所に本部を置く組織を標的としています。APT15 の攻撃者は、バックドアやインフラなどのリソースを、中国の他の APT と共有しています。
関連するマルウェア: ENFAL、BALDEAGLE、NOISEMAKER、MIRAGE
攻撃ベクトル: APT15 は通常、中国政府が関心を持つ世界中のさまざまな業種の標的に対する初期段階の攻撃に高度な開発がなされたスピア フィッシング メールを使用します。重要な点として、APT15 はグループに固有のバックドアやインフラを使用していないため、帰属先の特定が困難です。
APT14
関与が疑われる国家 / 組織: 中国
標的とされる部門: 官公庁、通信、建設 / エンジニアリング
概要: APT14 は、データの窃取を目的とするサイバー攻撃を展開しており、軍事および船舶用の機器、作戦、ポリシーに焦点を合わせている可能性があります。盗んだデータ、特に暗号化と衛星通信の機器の仕様は、軍事用の衛星通信ネットワークの信号傍受や干渉など、軍事オペレーションの強化に利用される可能性があると考えられます。
関連するマルウェア: Gh0st、POISONIVY、CLUBSEAT、GROOVY
攻撃ベクトル: APT14 の脅威アクターは、ゼロデイ エクスプロイトを使用しない傾向がありますが、公開されているエクスプロイトを利用する可能性があります。また、カスタムの SMTP メーラーツールを利用してスピア フィッシング メッセージを送信するケースも考えられます。APT14 のフィッシング メッセージは多くの場合、信頼の置ける組織から送信されたものであるかのように偽装されています。
APT12
別名: Calc Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: ジャーナリスト、行政機関、防衛産業基盤
概要: APT12 は、中国人民解放軍とつながりのあるサイバー エスピオナージ グループであると考えられています。APT12 の標的はより大規模な中華人民共和国(PRC)の目標と整合しています。このグループによって行われる侵入と軍事行動は、PRC の目標と台湾における自己利益に合致しています。
関連するマルウェア: RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT
攻撃ベクトル: Mandiant は、APT12 が有効ではあるものの不正使用されたアカウントからフィッシング メールを通じてエクスプロイト文書を送りつけていたことを確認しています。APT12 の過去の活動から、同グループは今後も、マルウェアの送付手段としてフィッシングを利用すると考えられます。
補足資料
APT10
別名: Menupass Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国、ヨーロッパ、日本の建設 / エンジニアリング、航空宇宙、通信業界の企業と官公庁
概要: APT10 は、Mandiant が 2009 年から追跡している中国のサイバー エスピオナージ グループです。これまで、米国、ヨーロッパ、日本の建設 / エンジニアリング、航空宇宙、通信業界の企業や官公庁を標的としてきました。これらの業界を標的とする攻撃は、価値のある軍事や諜報関連の情報の入手、中国企業を支援するための機密性の高いビジネスデータの窃取など、中国の国家安全保障上の目標を支持するものだと考えています。
関連するマルウェア: HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT
攻撃ベクトル: APT10 の最近の活動には、従来のスピア フィッシングと、マネージド サービス プロバイダを介した被害者のネットワークへのアクセスの両方があります(サービス プロバイダを通じた感染の詳細については、『M-Trends 2016』を参照してください)。APT10 のスピア フィッシングは比較的単純なものであり、アーカイブ内の.lnk ファイル、二重の拡張子を持つファイル(例: [Redacted]_Group_Meeting_Document_20170222_doc_.exe)が利用されており、一部のケースでは同じアーカイブ内の同じ名前のおとり文書や不正なランチャーが利用されています。Mandiant Threat Intelligence では、スピア フィッシング攻撃に加え、APT10 がグローバルなサービス プロバイダ経由で標的にアクセスしていることも確認しています。
補足資料
補足資料
APT9
関与が疑われる国家 / 組織: 入手可能なデータによると、この攻撃者は、おそらく中国と思われる、国家によるなんらかの支援を受けたフリーランサーのグループであると考えられます。
標的とされる部門: 複数の国に本部を置く、医療 / 製薬、建設 / エンジニアリング、航空宇宙 / 防衛などの業種の組織
概要: APT9 は、データの窃取を目的とするサイバー攻撃を展開しており、通常は、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: SOGU、HOMEUNIX、PHOTO、FUNRUN、Gh0st、ZXSHEL
攻撃ベクトル: APT9 はこれまで、製薬およびバイオテクノロジー業界で非常に活発に活動しています。この攻撃者は初期アクセスに、スピア フィッシング、有効なアカウント、リモート サービスを利用していることが確認されています。Mandiant は少なくとも 1 回、バイオテクノロジー業界の 2 社で APT9 を観察しており、APT9 の攻撃グループが 2 社間の信頼関係を利用して、一方の企業への初期アクセス権を取得した可能性があると見ています。APT9 はさまざまな種類のバックドアを利用しています。一般に入手可能なバックドアのほか、独自のバックドアと考えられるもので、複数の APT グループが利用しているバックドアもあります。
APT 8
関与が疑われる国家 / 組織: 中国
標的とされる部門: メディア / エンターテイメント、建設 / エンジニアリング、航空宇宙 / 防衛など、幅広い業種
概要: APT8 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、その分野で組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。この攻撃者は、なんらかの国家支援を受けた中国を拠点とするフリーランサーのグループであると考えられます。APT8 は、米国、ドイツ、英国、インド、日本など、複数の国に本部を置く組織を標的としています。
関連するマルウェア: HASH、FLYZAP、GOLFPRO、SAFEPUTT
攻撃ベクトル: APT8 の攻撃者は、不正な添付ファイルやリンクを含むスピア フィッシング メール メッセージを使用する、またはインターネット接続の脆弱なウェブサーバーを悪用して標的の組織を侵害します。さらに、複数の侵害において、APT8 の攻撃者はチャットやインスタント メッセージ プログラム経由で潜在的な標的に不正なリンクを送信しています。
APT 7
関与が疑われる国家 / 組織: 中国
標的とされる部門: 建設、エンジニアリング、航空宇宙、防衛産業基盤
概要: APT7 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、その分野で組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。このグループは、米国と英国に本部を置く組織を標的としていることが知られています。
関連するマルウェア: DIGDUG、TRACKS
攻撃ベクトル: APT7 の脅威アクターは、ある組織へのアクセスを利用して、親会社が同じ別の組織に侵入しています。これは一種のラテラル ムーブメントですが、このケースでは、2 番目の組織の最初の侵害方法でもありました。
APT6
関与が疑われる国家 / 組織: 中国
標的とされる部門: 運輸、自動車、建設 / エンジニアリング、通信、エレクトロニクス、建設 / 資材
概要: APT6 は、データの窃取を目的とするサイバー攻撃を展開しており、大部分のケースでそれらのデータは該当する分野で組織に競争力を持たせるデータやプロジェクトであると考えられます。APT6 は、米国と英国に本部を置く組織を標的としています。
関連するマルウェア: BELUGA、EXCHAIN、PUPTENT
攻撃ベクトル: APT6 は、他の APT グループが使用している一部のバックドアと、APT6 に固有のものを含め、いくつかの独自のバックドアを利用しています。
APT 5
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国、ヨーロッパ、アジアの地域通信事業者、アジアに拠点を置く国際的な通信 / テクノロジー企業の従業員、ハイテク製造業、軍事応用技術
概要: APT5 は、遅くとも 2007 年から活動しています。APT5 は、複数の業種の組織を標的にしたり、侵害活動を展開したりしていますが、重視しているのが、通信事業者やテクノロジー企業で、特に衛星通信に関する情報を標的にしていると推測されます。早くも 2014 年の時点で、Mandiant のインシデント対応チームは、APT5 が別のテクノロジー プラットフォームに組み込まれたオペレーティング システムのファイルに対して、不正なコード変更を行った事実を発見しました。2015 年、APT5 は民間企業や行政機関にサービスやテクノロジーを提供している米国の通信事業者を攻撃しました。この侵害では、攻撃者は同社のネットワーク ルーターに関連するルーター イメージの一部をダウンロードして、改ざんしました。同じ時期に、APT5 は南アジアの防衛組織から軍事技術関連のファイルを窃取しました。観察されたファイル名から、攻撃者は製品仕様、技術製品に関するメール、調達の入札単価と提案、無人航空機(UAV)に関する文書に関心があったことがうかがえます。
関連するマルウェア: BRIGHTCREST、SWEETCOLA、SPIRITBOX、PALEJAB、WIDERIM、WINVAULT、HAPPYSAD、BIRDWORLD、FARCRY、CYFREE、FULLSILO、HELLOTHEWORLD、HAZELNUT、GIF89A、SCREENBIND、SHINYFUR、TRUCKBED、LEOUNCIA、FREESWIM、PULLTAB、HIREDHELP、NEDDYHORSE、PITCHFORK、BRIGHTCOMB、ENCORE、TABCTENG、SHORTLEASH、CLEANACT、BRIGHTCYAN、DANCEPARTY、HALFBACK、PUSHBACK、COOLWHIP、LOWBID、TIGHTROPE、DIRTYWORD、AURIGA、KEYFANG、Poison Ivy
攻撃ベクトル: この攻撃グループは、複数の下位グループで構成される大規模な脅威グループであると見られ、多くの場合、異なる戦術やインフラを使用しています。このグループは、キーロガー機能を備えたマルウェアを使用して、通信会社の企業ネットワーク、従業員、経営幹部を標的としています。APT5 は、ネットワーキング デバイスを侵害し、これらのアプライアンスをサポートする基盤となるソフトウェアを操作することに強い関心を示しています。
APT 4
別名: Maverick Panda、Sykipot Group、Wisp
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙 / 防衛、産業用エンジニアリング、エレクトロニクス、自動車、行政機関、通信、運輸
概要: APT4 は、その他の民間企業よりも高い頻度で防衛産業基盤(DIB)を標的にしていると見られます。しかし、APT4 の過去の標的型侵入は、その範囲が多岐にわたります。
関連するマルウェア: GETKYS、LIFESAVER、CCHIP、SHYLILT、SWEETTOOTH、PHOTO、SOGO
攻撃ベクトル: APT4 の攻撃者は、多くの場合、米国政府や国防総省、軍需産業の基地をテーマとしたスピア フィッシング メッセージを利用します。APT4 の攻撃者は、信憑性を持たせるために、メッセージ本文に行政機関や米国国防総省のウェブサイトの有効なコンテンツを再利用することがあります。
APT 3
別名: UPS Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙 / 防衛、建設 / エンジニアリング、ハイテク、通信、運輸
概要: Mandiant が APT3 として追跡している中国を拠点とする脅威グループは、Mandiant Threat Intelligence が追跡しているより高度な脅威グループの一つであり、ブラウザベースのエクスプロイトをゼロデイとして使用してきた経歴があります(Internet Explorer、Firefox、Adobe Flash Player など)。このグループは、標的ホストの侵害に成功すると、直ちに認証情報をダンプして他のホストに対して横方向に移動し、独自のバックドアをインストールします。APT3 のコマンド&コントロール(CnC)インフラストラクチャは、複数のキャンペーンに共通する部分が非常に少ないため、追跡が困難です。
関連するマルウェア: SHOTPUT、COOKIECUTTER、SOGU
攻撃ベクトル: APT3 が使用するフィッシング メールの多くは汎用的な内容であり、ほぼスパムのように見えます。攻撃では、Adobe Flash Player による Flash 動画(FLV)ファイルの解析方法に存在するパッチ未公開の脆弱性を悪用します。このエクスプロイトは、一般的なベクトル破壊手法を使用してアドレス空間配置のランダム化(ASLR)を回避し、戻り指向プログラミング(ROP)を使用してデータ実行防止(DEP)を回避します。ROP の手法に巧妙なトリックがあると、悪用が容易になり、一部のROP の検知手法を回避できるようになります。シェルコードは、復号に使用された鍵とともにパッケージ化された Adobe Flash Player のエクスプロイト ファイルに保存されています。ペイロードは、XOR エンコードされて画像内に隠されています。
補足資料
補足資料
APT 2
関与が疑われる国家 / 組織: 中国
標的とされる部門: 軍事 / 航空宇宙
概要: このグループが最初に確認されたのは 2010 年です。APT2 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、その分野で組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: MOOSE、WARP
攻撃ベクトル: CVE-2012-0158 を悪用するスピア フィッシング メール。
APT 30
関与が疑われる国家 / 組織: 中国
標的とされる部門: 東南アジア諸国連合(ASEAN)の加盟各国
概要: APT30 は、長期にわたって継続的に活動しているだけでなく、遅くとも 2005 年以降、同じツール、戦術、インフラを維持するために、ソースコードを適切に改変、適応させた点でも知られています。このグループは標的に優先順位を付け、おそらくは交代制で協力しながら作業を進め、一貫した開発計画に基づいてマルウェアを構築している証拠が見られます。このグループは、2005 年からエアギャップのあるネットワークに感染させる能力を有しています。
関連するマルウェア: SHIPSHAPE、SPACESHIP、FLASHFLOOD
攻撃ベクトル: APT30 は、ダウンローダー、バックドア、中央コントローラに加え、リムーバブル ドライブとエアギャップのあるクロスネットワークに感染してデータを窃取する複数のコンポーネントを使用します。APT30 は、マルウェアによる CnC アクティビティを目的として、独自の DNS ドメインを頻繁に登録しています。
APT 27
関与が疑われる国家 / 組織: 中国
標的とされる部門: APT27 は、南北アメリカ、ヨーロッパ、中東など、世界中に本部を置く複数の組織を標的としています。これらの組織は、ビジネス サービス、ハイテク、官公庁、エネルギーなど、さまざまな業種に分類されます。ただし、航空宇宙、運輸、旅行業界の業種が顕著な割合を占めています。
概要: APT27 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常は、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: PANDORA、SOGU、ZXSHELL、GHOST、WIDEBERTH、QUICKPULSE、FLOWERPOT
攻撃ベクトル: APT27 は多くの場合、最初の侵入方法としてスピア フィッシングを使用します。APT27 の脅威アクターは、独自のゼロデイ エクスプロイトを使用することは知られていませんが、公開されているエクスプロイトを利用する可能性はあります。少なくとも 1 つの事例で、APT27 の攻撃者は、侵害したアカウントを被害者の組織で使用して、類似の業種の他の標的に対してスピア フィッシング メールを送信しています。また、初期の足がかりを得るために、APT27 は脆弱なウェブ アプリケーションを侵害する可能性もあります。
APT 26
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙、防衛、エネルギーの各部門など
概要: APT26 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常は、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: SOGU、HTRAN、POSTSIZE、TWOCHAINS、BEACON
攻撃ベクトル: このグループは頻繁に戦略的なウェブ侵害を用いて、標的とするネットワークへのアクセス権を獲得し、標的の環境内に侵入するとカスタムのバックドアにアクセスします。
APT 25
別名: Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国およびヨーロッパの防衛産業基盤、メディア、金融サービス、運輸の各部門
概要: APT25 は、データの窃取を目的とするサイバー攻撃を展開しています。
関連するマルウェア: LINGBO、PLAYWORK、MADWOFL、MIRAGE、TOUGHROW、TOYSNAKE、SABERTOOTH
攻撃ベクトル: APT25 はこれまで、不正な添付ファイルや不正なハイパーリンクを含むメッセージなど、スピア フィッシングを使用してきました。APT25 の脅威アクターは通常、ゼロデイ エクスプロイトは使用しませんが、公開されているエクスプロイトを利用する可能性があります。
APT 24
別名: PittyTiger
関与が疑われる国家 / 組織: 中国
標的とされる部門: APT24 は、官公庁や医療、建設 / エンジニアリング、鉱業、非営利団体、通信など、幅広い業種を標的にしています。
概要: このグループは、米国や台湾などの国に本部を置く組織を標的としていることが知られています。APT24 はこれまでに、RAR アーカイブ ユーティリティを使用して盗んだデータの暗号化と圧縮を行い、ネットワークから取り出しています。この攻撃者によるデータ窃盗は、主に政治的重要性を持つ文書に重点を置いていることから、その意図は、中国が現在進行している領土問題や主権紛争に関連する問題について、さまざまな国家の立場を監視することにあると示唆されます。
関連するマルウェア: PITTYTIGER、ENFAL、TAIDOOR
攻撃ベクトル: APT24 は、軍事、再生可能エネルギー、ビジネス戦略といった内容のおとり文書を用いたフィッシング メールを使用します。さらに、APT24 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
APT 23
関与が疑われる国家 / 組織: 中国
標的とされる業種: 米国とフィリピンのメディアおよび官公庁
概要: APT23 は、知的財産ではなく、政治的および軍事的に重要性の高い情報を窃取しています。これは、APT23 が伝統的なスパイ活動を支援するためにデータを窃取している可能性を示唆しています。
関連するマルウェア: NONGMIN
攻撃ベクトル: APT23 は、教育関連のフィッシングのおとりなど、スピア フィッシング メッセージを使用して、標的のネットワークを侵害します。APT23 の攻撃グループがゼロデイ エクスプロイトを使用することは知られていませんが、このグループは公開されているエクスプロイトを利用しています。
APT 12
別名: Calc Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: ジャーナリスト、官公庁、防衛産業基盤
概要: APT12 は、中国人民解放軍とつながりのあるサイバー エスピオナージ グループであると考えられています。APT12 の標的はより大規模な中華人民共和国(PRC)の目標と整合しています。このグループによって行われる侵入と軍事行動は、PRC の目標と台湾における自己利益に合致しています。
関連するマルウェア: RIPTIDE、HIGHTIDE、THREBYTE、WATERSPOUT
攻撃ベクトル: Mandiant は、APT12 が有効ではあるものの不正使用されたアカウントからフィッシング メールを通じてエクスプロイト文書を送りつけていたことを確認しています。APT12 の過去の活動から、同グループは今後も、マルウェアの送付手段としてフィッシングを利用すると考えられます。
補足資料
APT 10
別名: Menupass Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国、ヨーロッパ、日本の建設 / エンジニアリング、航空宇宙、通信業界の企業と官公庁
概要: APT10 は、Mandiant が 2009 年から追跡している中国のサイバー エスピオナージ グループです。これまで、米国、ヨーロッパ、日本の建設 / エンジニアリング、航空宇宙、通信業界の企業や官公庁を標的としてきました。これらの業界を標的とする攻撃は、価値のある軍事や諜報関連の情報の入手、中国企業を支援するための機密性の高いビジネスデータの窃取など、中国の国家安全保障上の目標を支持するものだと考えています。
関連するマルウェア: HAYMAKER、SNUGRIDE、BUGJUICE、QUASARRAT
攻撃ベクトル: APT10 の最近の活動には、従来のスピア フィッシングと、マネージド サービス プロバイダを介した被害者のネットワークへのアクセスの両方があります(サービス プロバイダ経由の感染の詳細については、『M-Trends 2016』を参照してください)。APT10 のスピア フィッシングは比較的単純なものであり、アーカイブ内の.lnk ファイル、二重の拡張子を持つファイル(例: [Redacted]_Group_Meeting_Document_20170222_doc_.exe)が利用されており、一部のケースでは同じアーカイブ内の同じ名前のおとり文書や不正なランチャーが利用されています。Mandiant Threat Intelligence では、スピア フィッシング攻撃に加え、APT10 がグローバルなサービス プロバイダ経由で標的にアクセスしていることも確認しています。
補足資料
補足資料
APT 9
関与が疑われる国家 / 組織: 入手可能なデータによると、この攻撃者は、おそらく中国と思われる、国家によるなんらかの支援を受けたフリーランサーのグループであると考えられます。
標的とされる部門: 複数の国に本部を置く、医療 / 製薬、建設 / エンジニアリング、航空宇宙 / 防衛などの業種の組織
概要: APT9 は、データの窃取を目的とするサイバー攻撃を展開しており、通常は、該当する分野で特定の組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: SOGU、HOMEUNIX、PHOTO、FUNRUN、Gh0st、ZXSHEL
攻撃ベクトル: APT9 はこれまで、製薬およびバイオテクノロジー業界で非常に活発に活動しています。この攻撃者は初期アクセスに、スピア フィッシング、有効なアカウント、リモート サービスを利用していることが確認されています。Mandiant は少なくとも 1 回、バイオテクノロジー業界の 2 社で APT9 を観察しており、APT9 の攻撃グループが 2 社間の信頼関係を利用して、一方の企業への初期アクセス権を取得した可能性があると見ています。APT9 はさまざまな種類のバックドアを利用しています。一般に入手可能なバックドアのほか、独自のバックドアと考えられるもので、複数の APT グループが利用しているバックドアもあります。
APT 8
関与が疑われる国家 / 組織: 中国
標的とされる部門: メディア / エンターテイメント、建設 / エンジニアリング、航空宇宙 / 防衛など、幅広い業種
概要: APT8 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、その分野で組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。この攻撃者は、なんらかの国家支援を受けた中国を拠点とするフリーランサーのグループであると考えられます。APT8 は、米国、ドイツ、英国、インド、日本など、複数の国に本部を置く組織を標的としています。
関連するマルウェア: HASH、FLYZAP、GOLFPRO、SAFEPUTT
攻撃ベクトル: APT8 の攻撃者は、不正な添付ファイルやリンクを含むスピア フィッシング メール メッセージを使用する、またはインターネット接続の脆弱なウェブサーバーを悪用して標的の組織を侵害します。さらに、複数の侵害において、APT8 の攻撃者はチャットやインスタント メッセージ プログラム経由で潜在的な標的に不正なリンクを送信しています。
APT 7
関与が疑われる国家 / 組織: 中国
標的とされる部門: 建設、エンジニアリング、航空宇宙、防衛産業基盤
概要: APT7 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、その分野で組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。このグループは、米国と英国に本部を置く組織を標的としていることが知られています。
関連するマルウェア: DIGDUG、TRACKS
攻撃ベクトル: APT7 の脅威アクターは、ある組織へのアクセスを利用して、親会社が同じ別の組織に侵入しています。これは一種のラテラル ムーブメントですが、このケースでは、2 番目の組織の最初の侵害方法でもありました。
APT 6
関与が疑われる国家 / 組織: 中国
標的とされる部門: 運輸、自動車、建設 / エンジニアリング、通信、エレクトロニクス、建設 / 資材
概要: APT6 は、データの窃取を目的とするサイバー攻撃を展開しており、大部分のケースでそれらのデータは該当する分野で組織に競争力を持たせるデータやプロジェクトであると考えられます。APT6 は、米国と英国に本部を置く組織を標的としています。
関連するマルウェア: BELUGA、EXCHAIN、PUPTENT
攻撃ベクトル: APT6 は、他の APT グループが使用している一部のバックドアと、APT6 に固有のものを含め、いくつかの独自のバックドアを利用しています。
APT 5
関与が疑われる国家 / 組織: 中国
標的とされる部門: 米国、ヨーロッパ、アジアの地域通信事業者、アジアに拠点を置く国際的な通信 / テクノロジー企業の従業員、ハイテク製造業、軍事応用技術
概要: APT5 は、遅くとも 2007 年から活動しています。APT5 は、複数の業種の組織を標的にしたり、侵害活動を展開したりしていますが、重視しているのが、通信事業者やテクノロジー企業で、特に衛星通信に関する情報を標的にしていると推測されます。早くも 2014 年の時点で、Mandiant のインシデント対応チームは、APT5 が別のテクノロジー プラットフォームに組み込まれたオペレーティング システムのファイルに対して、不正なコード変更を行った事実を発見しました。2015 年、APT5 は民間企業や行政機関にサービスやテクノロジーを提供している米国の通信事業者を攻撃しました。この侵害では、攻撃者は同社のネットワーク ルーターに関連するルーター イメージの一部をダウンロードして、改ざんしました。同じ時期に、APT5 は南アジアの防衛組織から軍事技術関連のファイルを窃取しました。観察されたファイル名から、攻撃者は製品仕様、技術製品に関するメール、調達の入札単価と提案、無人航空機(UAV)に関する文書に関心があったことがうかがえます。
関連するマルウェア: BRIGHTCREST、SWEETCOLA、SPIRITBOX、PALEJAB、WIDERIM、WINVAULT、HAPPYSAD、BIRDWORLD、FARCRY、CYFREE、FULLSILO、HELLOTHEWORLD、HAZELNUT、GIF89A、SCREENBIND、SHINYFUR、TRUCKBED、LEOUNCIA、FREESWIM、PULLTAB、HIREDHELP、NEDDYHORSE、PITCHFORK、BRIGHTCOMB、ENCORE、TABCTENG、SHORTLEASH、CLEANACT、BRIGHTCYAN、DANCEPARTY、HALFBACK、PUSHBACK、COOLWHIP、LOWBID、TIGHTROPE、DIRTYWORD、AURIGA、KEYFANG、Poison Ivy
攻撃ベクトル: この攻撃グループは、複数の下位グループで構成される大規模な脅威グループであると見られ、多くの場合、異なる戦術やインフラを使用しています。このグループは、キーロガー機能を備えたマルウェアを使用して、通信会社の企業ネットワーク、従業員、経営幹部を標的としています。APT5 は、ネットワーキング デバイスを侵害し、これらのアプライアンスをサポートする基盤となるソフトウェアを操作することに強い関心を示しています。
APT 4
別名: Maverick Panda、Sykipot Group、Wisp
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙 / 防衛、産業用エンジニアリング、エレクトロニクス、自動車、官公庁、通信、運輸
概要: APT4 は、その他の民間企業よりも高い頻度で防衛産業基盤(DIB)を標的にしていると見られます。しかし、APT4 の過去の標的型侵入は、その範囲が多岐にわたります。
関連するマルウェア: GETKYS、LIFESAVER、CCHIP、SHYLILT、SWEETTOOTH、PHOTO、SOGO
攻撃ベクトル: APT4 の攻撃者は、多くの場合、米国政府や国防総省、軍需産業の基地をテーマとしたスピア フィッシング メッセージを利用します。APT4 の攻撃者は、信憑性を持たせるために、メッセージ本文に政府機関や米国国防総省のウェブサイトの有効なコンテンツを再利用することがあります。
APT 3
別名: UPS Team
関与が疑われる国家 / 組織: 中国
標的とされる部門: 航空宇宙 / 防衛、建設 / エンジニアリング、ハイテク、通信、運輸
概要: Mandiant が APT3 として追跡している中国を拠点とする脅威グループは、Mandiant Threat Intelligence が追跡しているより高度な脅威グループの一つであり、ブラウザベースのエクスプロイトをゼロデイとして使用してきた経歴があります(Internet Explorer、Firefox、Adobe Flash Player など)。このグループは、標的ホストの侵害に成功すると、直ちに認証情報をダンプして他のホストに対して横方向に移動し、独自のバックドアをインストールします。APT3 のコマンド&コントロール(CnC)インフラストラクチャは、複数のキャンペーンに共通する部分が非常に少ないため、追跡が困難です。
関連するマルウェア: SHOTPUT、COOKIECUTTER、SOGU
攻撃ベクトル: APT3 が使用するフィッシング メールの多くは汎用的な内容であり、ほぼスパムのように見えます。攻撃では、Adobe Flash Player による Flash 動画(FLV)ファイルの解析方法に存在するパッチ未公開の脆弱性を悪用します。このエクスプロイトは、一般的なベクトル破壊手法を使用してアドレス空間配置のランダム化(ASLR)を回避し、戻り指向プログラミング(ROP)を使用してデータ実行防止(DEP)を回避します。ROP の手法に巧妙なトリックがあると、悪用が容易になり、一部のROP の検知手法を回避できるようになります。シェルコードは、復号に使用された鍵とともにパッケージ化された Adobe Flash Player のエクスプロイト ファイルに保存されています。ペイロードは、XOR エンコードされて画像内に隠されています。
補足資料
補足資料
APT 2
関与が疑われる国家 / 組織: 中国
標的とされる部門: 軍事 / 航空宇宙
概要: このグループが最初に確認されたのは 2010 年です。APT2 は、知的財産の窃盗を目的とするサイバー攻撃を展開しており、通常、その分野で組織に競争力を持たせるデータやプロジェクトに焦点を合わせています。
関連するマルウェア: MOOSE、WARP
攻撃ベクトル: CVE-2012-0158 を悪用するスピア フィッシング メール。
APT 1
別名: Unit 61398、Comment Crew
関与が疑われる国家 / 組織: 中国人民解放軍(PLA)の総参謀部(GSD)第 3 部(总参三部二局)。一般的には部隊の秘匿番号(MUCD)がユニット 61398(61398 部队)であることで知られています。
標的とされる部門: 情報技術、航空宇宙、行政、衛星 / 通信、科学研究 / コンサルティング、エネルギー、輸送、建設 / 製造、エンジニアリング サービス、ハイテク電子機器、国際組織、法務サービス、メディア、広告 / エンターテイメント、ナビゲーション、化学、金融サービス、食品 / 農業、医療、金属 / 鉱業、教育
概要: APT1 は、少なくとも 141 の組織から数百テラバイトのデータを計画的に窃取し、数十の組織から同時に窃取する能力と意図を示しています。このグループは、英語圏のさまざまな業種の組織を侵害することに焦点を合わせています。APT1 のインフラの規模は、少なくとも数十人、場合によっては数百人の人間のオペレーターを抱える大規模な組織であることを表しています。
関連するマルウェア: TROJAN.ECLTYS、BACKDOOR.BARKIOFORK、BACKDOOR.WAKEMINAP、TROJAN.DOWNBOT、BACKDOOR.DALBOT、BACKDOOR.REVIRD、TROJAN.BADNAME、BACKDOOR.WUALESS
攻撃ベクトル: 最も一般的に見られる初期侵入の方法は、スピア フィッシングです。スピア フィッシング メールには、不正なファイルが添付されているか、不正なファイルへのハイパーリンクが記載されています。通常、件名とメール本文のテキストは、受信者との関連性が高い内容になっています。APT1 はまた、実在の人物の名前を使用して、ウェブメールのアカウントを作成します。APT1 の侵入者は、Poison Ivy や Gh0st RAT などの一般に入手可能なバックドアを使用することがありますが、大半のケースでは、独自のカスタム バックドアと思われるものを使用しています。ネットワーク滞在期間(数年に及ぶ場合があります)中、APT1 は通常、環境内の他のシステムに侵入しながら新しいバックドアを設置します。その結果、1 つのバックドアが検知、削除されても、引き続き使用可能な別のバックドアを確保できます。APT1 が数週間以上滞在しているネットワークでは、通常、複数の種類の APT1 バックドアが被害者のネットワーク内に分散していることが確認されています。
