Risks and Incidents

サイバー、フィジカル空間のインシデント、セキュリティ情報についてまとめています。その他、情報系の学習記録など。

PLA支援の攻撃者集団Naikonによる東南アジア諸国への攻撃(2021.4)

〇 インシデント:APT Naikonが東南アジア諸国政府・軍等機関への攻撃
 
〇 被害の概要
  攻撃の経緯(文献1及び2より)
 ・ 2019.7から2021.3にかけて、Aria-Body 及び Neblaeと呼ばれるバックドアを利用しターゲットの情報システムに侵入
 ・ 2020.9頃から、新たなバックドアであるRainy Dayを追加し、情報収集を実施
   現時点で各国の具体的被害についての情報はなし
  ※ 各国軍が攻撃対象となっていることから、詳細については公表されない可能性が高い。
  ・ 攻撃対象:東南アジア諸国の軍機関
        南シナ海の領有権問題で対立した国とされている。
 
〇 インシデントハンドリング
  対象諸国がどのような対応をとったかについては現時点では不明(報道無し)
 
〇 解 析
 ・ 攻撃手法及び成功の要因
   DLLハイジャッキングによるマルウェア挿入
   また、これまでのNaikonの攻撃とは異なり、Rainy Dayが用いられていた。
   バックドアRainy Dayは、攻撃キルチェーンにおいて複合的な機能を提供している。(文献2pp5)
 ・ 予想されるリスク
   各国の機密情報の窃取
   攻撃対象国となった国は経済、政治両面で日本と関係の深い国も多く、また日本自体がAPEC加盟国でもある。
   そのため、日本も同様の攻撃対象となる、また本インシデントによる被害が間接的に日本の国益を損なう可能性も否定できない。
 ・ 見積もられる攻撃者・攻撃企図
   各国の機密情報の窃取による外交、戦略上の自国の優位化 
 
 〇 じ後の再発防止策
 
   本攻撃者集団は、PLAが支援していると特定されているが、他にも同様の部隊、攻撃者集団が存在している可能性がある。
   またこれらの集団は、昨年話題となったSunburstや、未知のマルウェアが用いられたStuxnetの事案でも見られたようにゼロデイ脆弱性を利用して長期間にわたり、攻撃のための
  一連のキャンペーンを行う。
   攻撃そのものを特定、対処するだけでなく、それらの集団とPLAとの関係性、平素の活動を解明するとともに戦術を特定し、ゼロデイ攻撃のキルチェーンに早期から対処して
  いく必要がある。
 
● 関連知識
 ・ 攻撃者集団Naikon及びそのバックドア、また同名のマルウェアFoundCore
 ・ PLAのAPT関連部隊
 
 
● 関連情報・資料
 ・ 今回の攻撃を特定したセキュリティ企業Bitdefender の記事
  ・ その他、同インシデントについての記事
   基本的にすべて、上の記事を出展元としている。
   The Hacker News
   BleepingComputer
   Security Week
 
   
 ・ 攻撃者集団Naikonについて
   セキュリティ企業Kasperskyの記事では、「中国語話者の攻撃者」であり、「東アジアで最も活発な攻撃者集団」であると言及している。
 
   また、2020年に幾つかの記事でNaikon の活動に触れられている。
   (編集中)
   元々は2015年に特定された攻撃者集団であったが、その後新たなエビデンスが報告されてこなかったが、2020年3月頃にAPEC諸国をターゲットにした攻撃で再び脚光を浴びる。
  今回は上記のセキュリティ企業が攻撃のエビデンスをつかみ、公開されたものである。