APT32

APT32とは?

APT32(別名オーシャン・ロータス、APT-C-00、シーロータス、コバルト・キティ)は、2014年(またはそれ以前)から活動しているベトナムのサイバー軍事的脅威行為者で、ベトナムの国家主義的利益に敵対すると考えられる様々な主体を標的としている。APT32は、ベトナムでビジネスを展開する外国企業、ベトナム政府批判者、地元および元ベトナムの人権活動家、そしてライバル関係にある東南アジアの外国政府、特にフィリピンとカンボジアを標的としています。APT32の攻撃は、外国企業とベトナム政府との間の重要な契約や法的交渉と重なることが多い。

注目されるApt32の活動年表

2014: ベトナムのセキュリティ会社、在ベトナムの外国企業、ベトナム人駐在員を標的としたサイバーキャンペーンを開始。

2016: フィリピンのテクノロジー企業とベトナムの中国系ホスピタリティ・デベロッパーを狙う

2017: オーストラリアのベトナム人、フィリピン政府、ベトナムの現地警備会社、ベトナムで合法的に活動するドイツ企業を標的にした。

2018-2020: 国内外のベトナム人権活動家が対象

2020: APT32の作戦は、サイバーワン・グループというベトナムの会社にリンクしている。

APT32攻撃の仕組み

APT32攻撃は、完全な機能を備え、明確でありながら洗練されていないコレクションマルウェアや市販のツールを利用して、サイバースパイ活動を行います。APT32 の攻撃は、高度にカスタマイズされたスピアフィッシング・キャンペーンによって開始されます。このキャンペーンには、.doc.exeなどの二重の拡張子を持つファイルが添付されており、被害者は、実際には APT32 ポータブル実行可能ファイル (PE) ペイロードを実行しているにもかかわらず、Office ドキュメントを開いているかのように騙されます。APT32は、その長い歴史の中で、macOS、Android、およびWindowsベースのデバイスに感染し、情報を盗むことができるカスタムスパイウェアツールキットも開発してきました。

共通APT32戦術・技術・手順(TT&P)

  • 敵のウェブサイトをハッキングして情報を収集し、ユーザーベースを追跡する。
  • 二重拡張技術を利用したカスタムmacOSマルウェア、またはPerlプログラミング言語で書かれた悪意のあるOfficeマクロ
  • Facebookのソーシャル・ネットワーキングを利用したソーシャル・エンジニアリング攻撃によるマルウェア拡散
  • 正規の侵入テストツールCobalt Strikeをコマンド&コントロール(C2)スパイウェアとして使用。

APT32に限定または密接に関連するマルウェア感染株

METALJACK: 2020年に初めて使用されたAPT32専用の比較的新しいファーストステージのマルウェアで、感染チェーンを開始し、セカンドステージのマルウェアをロードすることができる。

Denis(別名DenisRAT):2017年に初めて発見されたDenisは、キー入力をキャプチャし、ログイン認証情報を盗み、スクリーンショットを撮り、機密情報を盗み、追加のマルウェアをダウンロードし、横方向に移動して他のシステムに感染させることができる

Kerrdown:APT32専用で2018年から使用されているKerrdownは、スパイウェアをインストールするために使用されるダウンローダー型マルウェアモジュールである。

Windshield: シンプルなTCPベースのバックドア型リモート・アクセス・トロイの木馬(RAT)で、被害ホストのファイル・システムと相互作用し、システム情報を流出させ、ホスト・システムのプロセスを停止させる。

Komprogo:APT32専用のバックドアRATで、リモート・コマンドの実行、ホスト・システム情報の流出、Windows Management Instrumentation (WMI) クエリの実行をサポートします。

Soundbite:APT32 が独占的に使用するフル機能の RAT で、C2 オペレーションのために DNS プロトコルを使用して感染したホスト上でファイルをアップロードし、コマンドを実行することができます。

APT32攻撃の兆候

過去の APT32 攻撃に関連する IP アドレス、ドメイン、およびペイロード・ハッシュ・シグネチャは、既知の APT32 ペイロード・ホストや C2 サーバーへのアクセスをブロックし、防御的な IT セキュリティ製品が潜在的な APT 攻撃を識別するのに役立ちます。しかし、APT32攻撃は、ソーシャルエンジニアリングの手口を用いて被害者を誘い、悪意のあるファイルを開かせたり、悪意のあるリンクにアクセスさせたりします。このような攻撃では、解凍するとOffice文書や二重拡張子の実行ファイルになるZIPアーカイブなどの圧縮形式で投稿されたファイルや、実際の宛先URLを隠すように設計されたURL短縮リンクがよく使用されます。

APT32攻撃を防ぐには

APT32の攻撃を防ぐ最も効果的な方法は、信頼できないソースからのファイルを開くよう誘うソーシャル・エンジニアリング攻撃に対する警戒意識です。ベトナム政府が関与する活動に従事している場合は、公共のソーシャル・ネットワーキング・フォーラムに投稿された文書やリンクに特に注意する必要があります。企業にとっては、ドキュメントの評価や取り扱いに関する適切な手順について社内スタッフを教育するためのユーザー意識向上トレーニングと、本格的なDefense-in-Depthベースのサイバーセキュリティ・プログラムの両方が、APT32攻撃の成功を防ぐ最善の方法です。

CylanceGATEWAYがソーシャル・エンジニアリング攻撃を防ぐ

ZTNA(Zero Trust Network Access)は、ソーシャル・エンジニアリング攻撃を防ぐことができますCylanceGATEWAY™は、脅威者がネットワークにアクセスして横方向に移動し始める前に、ネットワークを保護します。
詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース