サイバーセキュリティ企業Mandiantが米国時間3月8日に公開したレポートによると、活発に活動し、おそらく国家の支援を受けているハッキンググループのAPT41は、米国における複数の州政府を繰り返し標的にしてきているという。そのために同グループは、ウェブアプリケーションに存在するソフトウェア脆弱性を悪用し、「Apache Log4j」の脆弱性が明らかにされて数時間もたたないうちからこの脆弱性をスキャンすることで自らのアクセスを維持しようとしていたという。
同社の研究者らは、中国の支援を受けて諜報活動に従事するAPT41が2021年5月から2022年2月までの間に、少なくとも米政府の6つのネットワークや、その他の組織に、時には繰り返して侵入した際の手段について解説した。
米司法省は2020年9月にAPT41のハッカーら数人を起訴したが、同グループによる持続的な攻撃は影響を受けていないようだ。
これら攻撃の分析によると、初期攻撃の多くは2021年6月に発生しており、その際にはセキュアでないウェブアプリケーションが標的にされていた。
そして2021年12月になり、広く普及しているJavaのログ出力ライブラリーであるLog4jのゼロデイ脆弱性が明らかにされた。Mandiantの研究者らによると、APT41はほぼ即座にこの脆弱性を悪用し始めたという。
Mandiantは、「(この脆弱性の)アドバイザリーが公開されて数時間もしないうちに、APT41は同脆弱性を悪用し始め、保険業界や電気通信業界といった従来からの標的とともに、米国の少なくとも2つの州政府に対する攻撃を成功させた」と記している。
同脆弱性が明らかにされた際には修正パッチがリリースされたものの、Log4jが広く普及しているが故に、多くの組織はこれが自らのITインフラの一部になっていることを認識していなかった。
APT41は、どの脆弱性を悪用するかにかかわらず、いったんネットワークに侵入した後は、マルウェアを被害者の環境に適応させ、攻撃の効果をできる限り高めようとしていた。悪用可能な脆弱性が新たに出てきた際、APT41はそれまでの攻撃手法を放棄することなく、ネットワーク内でのさらなる永続性を獲得するために、その新たな脆弱性を悪用していた。
このキャンペーンは米国政府のネットワークを侵害することを中心としていたが、APT41は保険や電気通信などの他の業界も標的にしていた。
APT41のハッカーらは、個人の利益を目的とするサイドビジネスとして攻撃を実行することも多いため、このキャンペーンの総合的な目的はいまだ分かっていない。
レポートには、「APT41による米国の州政府に対する最近の攻撃には、新たな攻撃ベクターから侵入後のツールやテクニックに至るまでの、新しい武器が大量に取り入れられている。APT41はさまざまな攻撃ベクターを通じて標的とする環境への再侵入を果たすことで、あるいは見つかったばかりの脆弱性をすぐさま採用することで、初期アクセステクニックを迅速に適応できる」と記されている。
Mandiantで主席脅威アナリストを務めるGeoff Ackerman氏はこのキャンペーンについて、米国の国家レベルのシステムが、中国やロシアなど国家のアクターによる脅威にさらされていることを再認識させるものだと述べた。
同氏は「APT41の、公開されているウェブアプリケーションを標的とするためにウェブエクスプロイトを活用するという傾向と、利用可能な武器に基づいて迅速に標的を変更するという能力は、同グループが今後も世界中の公共組織と民間組織などにとって大きな脅威となり続けることを示している」と付け加えた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。