[レポート]金儲けかカモフラージュか？ APT41によるランサムウェア活動の解析 – CODE BLUE 2023 #codeblue_jp

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2023で行われた以下のセッションのレポートです。

金儲けかカモフラージュか？ APT41によるランサムウェア活動の解析

APT41は、最も多作で洗練された中国国家支援グループの一つであると言っても過言ではありません。米国の2020年の起訴は、APT41の新たな攻撃の開始を妨げたり、遅らせることはなく、その標的範囲と攻撃手法が拡大し続けていることが観測されています。APT41は、中国のAPTグループでは珍しく、金銭目的のサイバー犯罪を行うことで知られています。特筆すべきは、APT41が2019年の早い段階からランサムウェア攻撃に積極的に関与しているということを、私たちの調査で示唆しているということです。

本発表では、APT41のランサムウェア攻撃への関与に関する最新の調査結果を紹介します。過去3年間にわたり、アジア、ヨーロッパ、アメリカの11カ国、少なくとも10の業界に対するAPT41のランサムウェアキャンペーンの痕跡を発見しました。

また、「APT41 はなぜランサムウェアを運用に導入し始めたのか?」という質問にも答えていきます。偽装でしょうか？金儲けのためでしょうか？

APT41のスパイ活動とランサムウェアキャンペーンを比較すると、C2と戦術は重複しているにもかかわらず、マルウェアの使用状況と洗練度の点でいくつかの違いがあることがわかりました。特に、痕跡（Technical indicators）からは、APT41 が Hades ランサムウェア ギャングに関連している可能性を示唆しています。

APT41が中国当局に代わって活動する民間請負業者のグループであることを考慮すると、APT41 は異なる目標、つまりランサムウェア使用の異なる目的を持った複数のチームで活動している可能性があると考えられます。

彼らの最新の活動は、このグループが依然として世界中の組織に重大なリスクをもたらしていることを改めて証明しています。我々は、脅威インテリジェンスとアトリビューションが、APT41が再び攻撃を仕掛ける前に、防御側がより良い戦略を立てるために役立つと考えています。

Presented by : チェ・チャン - Che Chang チャールズ・リー - Charles Li

レポート

• TeamT5はサイバー脅威を調査する会社
• これまでAPT41が様々な悪意のある攻撃を行ってきた
• 中国政府にバックアップされているこの組織にどう対応すればいいか
• なぜこの研究を始めたのか
  • 研究は最初はシンプルな疑問でした
  • APTとランサムウェアは一緒に活動するものなのか？
  • 多くの研究者はYesという
  • しかし本当に？
  • なので我々も調査することにした
  • アジア圏について調査し、とても中国について調査している
  • APT41はAmoebaともいう
    • 他にもいろんな呼び方がある
    • 中国の中では一番脅威であるグループ
    • 中国政府から支援を受けている
    • 中国の軍隊と諜報機関と深い関係があるとされている
  • 2019年以降Amoebaは様々なランサムウェアを利用してきた
  • 理由は2つ
    • お金を稼ぎたい
    • 操作を妨害したい
      • 自分たちの足跡を消す
    • Amoebaは特に金銭目的
  • そして活動は広がってきている
  • 世界各国で活動している
    • 日本でも、台湾でも、EUでも、グアテマラでも
  • アジア太平洋地域から1次情報を得ている
  • それ以外のものは他のところから情報を収集している
  • 彼らのマルウェアについて
    • 暗号化ツール
      • BestCryptを好んで使う
      • WindowsのBitLockerも使う
      • カスタムしたものはColdLock
        • AESで暗号化
        • RSA-2048鍵を生成している
    • Backdoor/RAT
      • CobaltStrike Beaconをよく使う
      • FindingBest
        • 情報をC2に送る
      • Hacking Tools
        • 権限の昇格とラテラルムーブに利用する
• APT41ランサムウェアアクティビティ
  • 有名な攻撃について
  • 大きく4つ
  • FindingBestキャンペーン
  • ColdLockキャンペーン
    • 台湾がターゲット
  • DeepBlueMagicキャンペーン
    • 現在も継続して行われている
  • FailedEncryptキャンペーン
    • これは成功しなかったが興味深い事例
  • 詳細
  •  FindingBestキャンペーン
    • 日本の半導体産業やグローバルなNPOなど
    • 2019-2021の期間
    • CVE-2020-10189が使われた
    • 日本の事例
      • アクターは中国のローカルから日本にある本社にラテラルムーブした
    • グローバルNPOの事例
      • TTPはほぼ同じ
  • ColdLockキャンペーン
    • 台湾がターゲット
    • 国立の製油所を標的とした
    • 台湾の国立機関が公表している情報
      • Webshellが設置された
  • DeepBlueMagicキャンペーン
    • 2021年から開始している
    • イスラエルのメディカルセンターがターゲットになった
    • まだ継続していると思われる
    • Pulse Secure VPNの脆弱性を使っている
    • BitlockerとBestCryptを使っている
    • ほぼ同じランサムノートを利用している
    • ColdLockキャンペーンとほぼ同じ
    • 北米に対しても展開している
  • FailedEncryptキャンペーン
    • ドイツの金融機関の報告書で判明している
    • Exchangeサーバーに埋め込んでしばらくして仕込もうとした
    • 暗号化ツールの展開までで失敗した
  • その他
    • 製造業をターゲットにしているようだ
    • メキシコやスペインの工場がターゲットになっている
• TTPの比較
  • 彼らは金銭目的の攻撃と収集を同時に行っているのも特徴
  • ランサムウェア作成はシンプル
    • 初期アクセス
      • Zoho managementやProxyLogon、Webの脆弱性やPulse Scureの脆弱性などを使う
      • 標的としているサービスの情報を収集して素早く侵入する
    • マルウェア設置
      • 独自のレートを導入している
      • バックドアは最低限のコントロール機能で設計されている
      • 長期的なアクセスを維持することには関心がなく、素早く次に移りたいと考えられる
    • ラテラルムーブメント
      • LoLBins
      • プロセスが合法的であればEDRなどで見つかりづらいから
      • RDPなどカスタマイズされていない製品を使う
    • 暗号化
      • ColdLockを元々使っていた
      • BitLockerやBestCryptなど合法のツールを利用しだした
      • EDRがブロックできないから
  • いくつかのバッチを入手した
    • instal.bat
    • getstatus.bat
    • copys.bat, lock.bat
    • だいたい同じような形
    • スクリプトは事前に用意されていて、おそらく手順が用意されている
    • 中には変わったメッセージのものがあった
      • ロシアのセンテンスがあった
      • 意図的に入れられたもの
      • それがロシアから来たものだと解析者に思わせようとしたのではないか
    • スパイ活動も行っている
      • 人の対応が入っている
      • スピアフィッシングのEメールもある
      • C2を隠すためにCDNを使ったり
      • 高度な活動をしている
  • ランサムウェアの活動は洗練されていない
    • 初心者のミスがあった
    • Hadesというランサムウェアギャングの話
    • 2020年から散見された
    • ProxyShellを攻撃している
    • 研究者の中では別のグループと繋がっていると考えていた
      • REvilやContiなどを利用していたため
    • 出自を隠して操作を撹乱しようとしていたのではないか
  • Hadesのツールには共通性が見られる
    • Hadesの使っているインフラはGikdWinterのものを利用している
    • そしてAmoebaとも繋がっていると推測している
  • HadesとAmoebaの共通点
    • ProxyLogonを公開される前から活用している
    • VSS Adminの利用
    • BitlockerとBestCryptも使っている
    • 同じサーバーを使っている
  • Hadesはもしかしたらあまり経験が無いのではないか
    • 盗まれたデータの名前を使って脅迫をする
    • しかしうまく行かなかった
    • 重要な機密文章を盗んだと言っているが、実際には重要ではない情報を漏洩した
    • うまく行ってないことから別の資金源があるのではないか
    • そしてレスポンスが遅い
  • 我々はHadesはAmoebaと繋がっていると考えている
    • 決定的な結論は出せない
    • ロシアやルーマニアになりすまそうとしているが、あんまり上手くない
• 結論
  • Amoebaの動機
    • 2020年にアメリカがAmoebaのメンバーを訴追している
    • その起訴状には中国企業も書かれていた
    • MSSからサービスを請け負ってる
  • 複数のチームを持っている
  • 世界中で活動している
  • 脅威アクターは金銭的に困っているのかも
  • 政府からの支援がカットされているかも
  • 他の活動は調査
  • ここでは4つのキャンペーンについて紹介した
  • ステルスで持続的な調査活動
  • 商業の正規のツールを使って攻撃に対応することを難しくしている

感想

実際にどのようにAPT41が活動しているのか、目的は何なのかを考えるのに役立つ内容でした。

利用している手法には0dayもありますし、既知の脆弱性もありますので、対策も大事ですね。