JSAC2025 開催レポート~DAY 1~
JPCERT/CCは、2025年1月21日、22日にJSAC2025を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。 今回が8回目となるJSACですが、前年度と同様にオフライン形式のみで開催しました。 講演については、2日間で18件の講演、3件のワークショップおよび2件のLightning Talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。 JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。
第1回は、DAY 1 Main Trackの講演についてです。
The Anatomy of China's Hacker Ecosystem: Espionage, Black Markets, and Financially Motivated Attacks
講演者:Google Mandiant Steve Su、Aragorn Tseng、Chi-Yu You
Steve氏、Aragorn氏、Chi-Yu氏は、高度な諜報活動と金銭目的の活動の双方を行う中国のAPTグループが実施したキャンペーンの分析結果について発表しました。
はじめに、キャンペーンの全体のタイムラインを説明した後、以下の三つのキャンペーンと使用された「GRAYRABBIT」「BLACKSTUDIO」「CROSSWALK」などのマルウェアについて詳解しました。
- 「GRAYRABBIT」マルウェアが使用されたキャンペーン
- 地域的緊張とアメリカ大統領選挙が契機となったキャンペーン
- 「BLACKSTUDIO」マルウェアが使用された東南アジアを標的とするキャンペーン
次に、SEOポイズニングを使用したバックドアの拡散キャンペーンやフィッシングサイトを通じて商用マルウェアを展開したキャンペーンについても説明しました。SEOポイズニングを使用したキャンペーンにおける主なターゲットは中国語圏のユーザーで、VPNソフトウェアやチャットアプリなどが主に標的にされたと言及しました。加えて、フィッシングサイトを通じて「Zxshell」や「REMCOS」「Rhadamanthys」などの商用マルウェアを展開するキャンペーンについても解説し、そのキャンペーンではDNS Fast-Fluxing サービスやプロキシサービス、さらにはLLMを利用して攻撃を高度化していたとのことです。
最後に、キャンペーンに対する分析を通して、本APTグループは効率的でLLMなどの新技術に対する適用能力が高く、さらに自作の高度なバックドアや商用マルウェアを使い分けるなどさまざまな戦術に精通していると総括しました。
Stealth in the Shadows: Dissecting Earth Freybug's Recent Campaign and Operational Techniques
講演者:TrendMicro Theo Chen、Leon Chang
Theo氏とLeon氏は、中国のAPTグループ「Earth Freybug」が実施したキャンペーンの分析結果について講演を行いました。
「Earth Freybug」は、少なくとも2012年から活動を続けているAPTグループであり、近年はアジア太平洋地域、特に台湾や日本を含む化学、製造、運輸業界を主な標的としているとのことです。また、「Earth Freybug」は、「APT41」や「Winnti Group」などのAPTグループとの関連が指摘されていると言及しました。
次に、二つのキャンペーンについて解説しました。最初のキャンペーンにおいて、攻撃者はIBM Lotus Dominoの設定不備を利用して初期侵害を行ったと推測され、その後「DEATHLOTUS」と呼ばれるCGIバックドアを展開し、横展開のために情報収集を行ったと説明しました。そして、「CUNNINGPIGEON」バックドアが横展開後に使用されたと説明し、その展開方法やプロキシ設定について解説しました。また、2024年6月に実施されたキャンペーンでは、「CUNNINGPIGEON」や「WINDJAMMER」などのマルウェアによりすでに侵害されていた組織に対して調査を開始し、調査後に再び脆弱なExchangeサーバーを通じて「SHADOWGAZE」を展開する攻撃者の行動を観測したと言及しました。その後、キャンペーンで使用された「WINDJAMMER」「SHADOWGAZE」「NETSHATTER」に関して特徴的な展開方法や機能について詳解しました。
最後に、キャンペーンで観測された攻撃者による侵害後の行動を共有した後、「Earth Freybug」のような高度な攻撃者に対する対策として、横展開による被害の拡大を最小限に抑えるため、ネットワークのセグメンテーションと最小特権の原則の適用が重要であると強調しました。
IoC LIGHT - Lifecycle of Indicators: Gathering, Handling, and Termination -
講演者:株式会社NTTデータグループ 中島 佑允
中島氏は、NTTDATA-CERTが直面したIoCの管理に関する課題とその解決方法について講演を行いました。
直面していたIoC管理における主要な課題として、セキュリティデバイスに登録できるIoCの登録上限と、古いIoCを保持することによる誤検知の増加を挙げました。IoCの登録上限により、新たな脅威に対応するリソースが不足し、古いIoCを維持することで誤検知が増え、SOCチームの負担が増大するという問題が生じていたとのことです。これらの課題に対する解決策として、収集するIoCを減らすIoCの優先度基準と登録した古いIoCを削除するIoCのライフサイクルモデルにもとづくIoCの削除基準の策定を実施したと言及しました。
IoCの優先度基準は、ポート番号、Pyramid of Pain、および攻撃者の洗練度を示すリスクスコアに基づき、組織の環境に適したIoCを優先して収集する方針で策定したと説明しました。この優先度基準を用いて、自社の環境に適したIoCを収集することに焦点を当てることで、ある脅威インテリジェンスサービスから収集するIoCの数を大幅に削減できたと共有しました。また、IoCライフサイクルモデルにもとづき、古いIoCを削除するための定量的な削除基準を設定したと解説しました。この削除基準は、定量的なデータを用いた仮説検証の結果から作成されたとのことです。また、2024年度末にはこのIoCの削除基準を用いたIoC管理の運用を開始する予定であると述べました。
最後に、このIoCの優先度基準や削除基準を策定したことで、組織が直面していたIoC管理に関する問題が軽減しつつあると総括しました。
Evolution of Huapi Malware: Growing Focus on Edge Devices
講演者:TeamT5 Yi-Chin Chuang、Yu-Tung Chan
Yi-Chin氏とYu-Tung氏は、中国のAPTグループ「Huapi」が実施したキャンペーンに関する分析結果について講演を行いました。
「Huapi」は「BlackTech」や「PLEAD」としても知られるAPTグループで、2007年から活動を続けており、日本や台湾などの東アジアを中心に政府、テクノロジー、通信業界を標的にしているとのことです。「Huapi」は直近のキャンペーンにおいて、ルーターやセキュリティソリューション製品などのエッジデバイスを標的にした攻撃を強化しており、Unix系のマルウェアを高度化したり、侵害したエッジデバイスをC2インフラの一部として利用したりすることが、近年のキャンペーンの共通点であると分析しました。
次に、キャンペーンで使用されたマルウェアとインフラストラクチャについて解説しました。2019年から確認されている「SSHTD」は、WindowsおよびLinuxを対象とするマルウェアであり、近年の「SSHTD」の特筆すべき変更点として、標的である台湾に近いDNSサーバーを使用して名前解決を行うように変更された点や、ヘッダーの順序やペイロードの暗号化方式、またC2サーバーに送信する被害端末の情報の追加などカスタム通信プロトコルにおいて変更された点を挙げました。続いて、キャンペーンで使用された「Mabackdoor」や「Bifrost」についても解説しました。また、「Huapi」が使用したC2インフラストラクチャについて言及し、侵害したエッジデバイスに対して設定変更を行ったケースについて詳細に解説しました。その際に使用されたドメインは、パッシブDNSサービスによる記録を避けるため、短期間のドメイン解決のみ可能であったと言及しています。
最後に、これらの分析結果により、「Huapi」は継続的にバックドアやハッキングツールを高度化しており、かつ検知回避のため侵害したエッジデバイスを含んだ多層的で高度なC2インフラストラクチャを形成していることが判明したと言及しました。
Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions
講演者:Trend Micro Leon Chang、Theo Chen
Leon氏とTheo氏は、中国のAPTグループ「Earth Estries」が実施したキャンペーンに関する分析結果について講演を行いました。
「Earth Estries」は、少なくとも2019年から諜報活動を目的として活動をしていると考えられており、政府機関や通信業界など多岐にわたる業界を標的として、台湾やタイをはじめとする10カ国以上を対象としていると解説しました。また、「GhostEmperor」や「FamousSparrow」と呼ばれるAPTグループの活動と「Earth Estries」の活動の一部が重複していることが確認されているとのことです。
次に、「Earth Estries」の活動について、Campaign AlphaとCampaign Betaの2つのキャンペーンとそのアトリビューションについて解説しました。Campaign Alphaでは、攻撃者はアジア太平洋地域の政府機関や化学、輸送業界をターゲットにしており、公開サーバーの脆弱性を通じて侵害し、「DEMODEX」や「SNAPPYBEE」などのツールを展開したとのことです。キャンペーンに対する解説の中で、「DEMODEX」の感染チェーンについて説明した後、「SNAPPYBEE」の使用および侵害後の行動や情報窃取の手口について解説しました。さらに、Campaign Betaでは、攻撃者はアジア太平洋地域や米国の通信会社をターゲットとしており、公開サーバーの脆弱性やサプライチェーンを通じて侵害し、「DEMODEX」や「GHOSTSPIDER」などのマルウェアを展開したと共有しました。続いて、「GHOSTSPIDER」と「DEMODEX」や「CobaltStrike」との共通点について説明し、感染フローから通信プロトコルに関して解説しました。その後、キャンペーンのアトリビューションを行い、TTPsからCampaign AlphaとCampaign Betaは「Earth Estries」によるキャンペーンである可能性が高いとしつつ、同一のwhoisレジストラー情報やツールセットの重複などから「Earth Estries」と「UNC4841」が同じC2インフラストラクチャを共有している可能性があると言及しました。
最後に、「Earth Estries」の特徴として、エッジデバイスから侵害を行い、諜報活動を隠蔽するために多様な手法を駆使してネットワークを構築していると総括しました。
Follow the Clues: Everyday is lazarus.day
講演者:FSI Jeonggak Lyu
Jeonggak氏は、北朝鮮関連のインテリジェンスを集約している「lazarus.day」を通じて得た脅威インテリジェンスに対する洞察について講演を行いました。
はじめに、脅威アクターの動機に基づく分類について説明した後、CTIライフサイクルモデルとPyramid of Painの概念について解説しました。Pyramid of Painの概念から、脅威インテリジェンスにおいて単純なIoCによる検出や生成は容易であるが回避も簡単であり、TTPsを用いた検出や生成は困難であるが回避も難しいことを説明しました。また、CTIレポートの構造やCTIのエンリッチメントやピボッティングについてCTIライフサイクルの各段階で有用なCTIプラットフォームなどを紹介しました。その際に、CTIレポートの整形やCTIのエンリッチメントなどを効率化するためには、ツールや脅威インテリジェンス関連のサービスにより提供されるAPIを使用するなどの自動化が欠かせないと述べました。
さらに、「lazarus.day」が行ってきた脅威インテリジェンスの活用手法について言及しました。その中で、今後の予定として「lazarus.day」にIoCの関係をグラフ化する新機能を導入する予定であると共有しました。そして、これまでの経験から、組織における脅威インテリジェンスの活用を促進するためには、すべてのサイバー攻撃に対応するのではなく明確な目標を設定することが重要であり、またCTIライフサイクルを効率的に実行するために自動化や最新技術であるAIの活用が重要であると述べました。
最後に、各組織のCTIの活用状況について評価するために、CTI成熟度モデルを活用することを推奨しました。
Analysis of Attack Strategies Targeting Centralized Management Solutions
講演者:KrCERT/CC Dongwook Kim、Seulgi Lee
Dongwook氏とSeulgi氏は、「Lazarus」のサブグループとして知られる「Andariel」が使用したレンタルサーバー上で発見された活動の痕跡と韓国の企業を標的にしたキャンペーンで観測されたTTPsについて講演を行いました。
はじめに、アメリカの病院がMauiランサムウェアによって侵害されたインシデントについて言及しました。そのインシデントで使用されたランサムノートに記載されたメールアドレスが、韓国のレンタルサーバーのアクセスに使用されていたことが判明し、そのことが本調査の契機となったと説明しました。
次に、特定されたレンタルサーバー上で「Andariel」が行った活動に関する分析内容を共有しました。インターネットの検索履歴や残存したファイルから、Golangを使用した開発の割合が増えていることに言及し、さらに遠隔操作マルウェアや脆弱性スキャンコードの開発、ゼロデイ脆弱性の研究を行っていることを確認したとのことです。また、被害組織で確認されたTTPsについて事例を紹介しました。紹介された事例では、初期侵害の手口としてサードパーティーソリューションに存在する脆弱性を突かれてマルウェアの展開などが行われたとのことです。
最後に、「Andariel」が集中管理ソリューションに対するゼロデイ攻撃を得意としていることから、導入時にサードパーティーソリューションのセキュリティの信頼性に着目し、導入後も定期的な監査を行う必要があることや関連組織との情報共有が重要であることに言及しました。
Kimsuky Wanna Be Your Social Network Friend
講演者:NSHC Security Hankuk Jo、Sangyoon Yoo、Jeonghee Ha
Hankuk氏、Sangyoon氏、Jeonghee氏は、北朝鮮のアクター「Kimsuky」が実施したキャンペーンについて、その手口を赤ずきんの物語に例えて講演を行いました。
本キャンペーンの中で、「Kimsuky」は韓国の海軍士官学校を卒業した韓国海軍の関係者を標的とし、LinkedInを通じて被害者の情報を収集したとのことです。そして軍歴のある実在の人物をベースに偽のペルソナを作成し、ターゲットとの信頼関係を築いたと共有しました。また、攻撃に使用したインフラストラクチャは、個人情報を提供せずに契約できるVPS/VDSサーバープロバイダーを通じて構築され、支払いは仮想通貨で行われたと解説しました。
次に、キャンペーンで「Kimsuky」が行った初期侵害やマルウェアの展開方法や侵害後の手口について説明しました。初期侵害は、スピアフィッシングメールにより行われたと言及し、Googleドライブのリンクを通じて悪意のあるJavaScriptやPEファイルが含まれるZIPファイルやEGGファイルが送信されたとのことです。また、スピアフィッシングメールに添付されたJavaScriptを実行すると、おとりファイルの開封と同時に偽のPDFヘッダーに埋め込まれたPEファイルの復号と、PowerShellを使用してPEファイルが実行される仕組みになっていたとのことです。その後、侵害に成功した攻撃者はLiving off the Landの戦術を用いて、正規ツールを使って情報を収集し、PDFドキュメントに偽装して外部に持ち出したと共有しました。
さらに、本キャンペーンのアトリビューションとして、攻撃者が使用したマルウェアやC2サーバーのIPアドレスやドメインが過去の「Kimsuky」のキャンペーンで使用されたものと重複していることなどから、このキャンペーンが「Kimsuky」によるものである可能性が高いと述べました。
最後に、講演者は「Kimsuky」の高度なスピアフィッシングについて調査した本講演を、将来の脅威に対する対応戦略の一助として活用して欲しいと述べました。
Behind the scenes of recent DarkPlum operations
講演者:NTT Security Holdings Amata Anantaprayoon、小池 倫太郎
Amata氏と小池氏は、北朝鮮のアクター「DarkPlum」について観測したキャンペーンとC2インフラストラクチャを特定するために実施した調査とその成果について講演を行いました。「DarkPlum」は、「APT43」や「Kimsuky」としても知られる攻撃グループであり、主な標的は韓国やアメリカであるが、日本もターゲットになることがあると言及しました。また、「DarkPlum」は4つのサブグループに分類することが可能であり、そのうち日本を主な標的とするグループは「Baby Shark」と呼ばれるサブグループであると共有しました。
次に、2024年3月から観測された「DarkPlum」が日本の学術機関や安全保障に関わるシンクタンクを標的とした3つのキャンペーンについて解説しました。最初のケースは2024年3月に観測されたキャンペーンで、二重拡張子がついたおとり文書を開くと、VBScriptやPowerShellを通じて「RandomQuery」ダウンローダーやキーロガーが展開・実行される流れになっていたとのことです。第二のケースは、2024年4月に観測された研究者をターゲットにしたキャンペーンであり、Facebook Messengerやメールを通じて関係者にMSCファイルを悪用したファイルが送付されたとのことです。このキャンペーンがMSCファイルを悪用した初めての事例であった可能性があると述べ、攻撃者が使用したMSCファイルの悪用方法について詳解しました。最後のケースは2024年5月に観測されたキャンペーンで、日本語で記述されたフィッシングサイトを通じて「KimaLogger」とみられるマルウェアを配信した可能性があると言及しました。
さらに、C2インフラを特定するためにOSINTを活用し、韓国を標的とした暗号通貨取引や学術機関を狙ったフィッシングサイトを発見したと共有しました。また、フィッシングサイトから入手したEメールアカウントをさらなる攻撃活動に利用した可能性があると言及しました。
最後に、大規模なネットワーク情報を分析した結果について共有し、「DarkPlum」の攻撃インフラストラクチャとオペレーションの実態について詳しく解説しました。
おわりに
今回はJSAC2025の1日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、2日目に行われた講演について紹介します。
インシデントレスポンスグループ 亀井 智矢
