Threat Hunter TeamSymantec
Posted: 3 Min ReadJapanese
Original Post: English

Blackfly: 材料技術を標的とするスパイグループ

グループの標的はアジアの単一のコングロマリットに属する複数の子会社

サイバースパイグループBlackfly(別名APT41、Winnti Group、Bronze Atlas)がアジア地域の標的に対して攻撃を続けており、最近ではアジアのコングロマリットの子会社2社を標的としました。この2社はどちらも材料・複合材料産業に属しており、Blackflyの目的は知的財産の窃取であると見られます。

Blackflyの現在のツールセット

2022年の終わりから2023年の初めにかけて観測された攻撃では、以下のツールが使用されていました。

  • Backdoor.Winnkit
    SHA256: caba1085791d13172b1bb5aca25616010349ecce17564a00cb1d89c7158d6459
    SHA256: cf6bcd3a62720f0e26e1880fe7ac9ca6c62f7f05f1f68b8fe59a4eb47377880a
    SHA256: e1e0b887b68307ed192d393e886d8b982e4a2fd232ee13c2f20cd05f91358596
    SHA256: a3078d0c4c564f5efb1460e7d341981282f637d38048501221125756bc740aac
    SHA256: 714cef77c92b1d909972580ec7602b0914f30e32c09a5e8cb9cb4d32aa2a2196
    SHA256: 192ef0dee8df73eec9ee617abe4b0104799f9543a22a41e28d4d44c3ad713284
    Blackflyとの関連がわかっているルートキットドライバ
     
  • 資格情報ダンプツール
    SHA256:  100cad54c1f54126b9d37eb8c9e426cb609fc0eda0e9a241c2c9fd5a3a01ad6c
    C:\windows\temp\1.binにあるlsass.exeから資格情報のダンプを作成します。
     
  • スクリーンショット化ツール
    SHA256:  452d08d420a8d564ff5df6f6a91521887f8b9141d96c77a423ac7fc9c28e07e4
    開いているすべてのウィンドウのスクリーンショットを撮って、.jpgファイルとして保存します。
     
  • プロセスホローイングツール
    SHA256:  1cc838896fbaf7c1996198309fbf273c058b796cd2ac1ba7a46bee6df606900e
    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestrictedにシェルコードを注入します。このシェルコードは、単純な「Hello World」警告メッセージです。
     
  • SQLツール
    SHA256:  4ae2cb9454077300151e701e6ac4e4d26dc72227135651e02437902ac05aa80d
    SQLデータベースへのクエリに使用されるSQLクライアントツール。
     
  • Mimikatz
    SHA256: b28456a0252f4cd308dfb84eeaa14b713d86ba30c4b9ca8d87ba3e592fd27f1c
    一般に公開されている資格情報ダンプツール。
     
  • ForkPlayground
    SHA256: a3acb9f79647f813671c1a21097a51836b0b95397ebc9cd178bc806e1773c864
    ForkLibを使って任意のプロセスのメモリダンプを作成するための、概念実証用のアプリケーション
     
  • プロキシ構成ツール
    SHA256:  5e51bdf067e5781d2868d97e7608187d2fec423856dbc883c6f81a9746e99b9f
    SHA256: d4e1f09cb7b9b03b4779c87f2a10d379f1dd010a9686d221c3a9f45bda5655ee
    SHA256: f138d785d494b8ff12d4a57db94958131f61c76d5d2c4d387b343a213b29d18f
    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestrictedへの注入によってプロキシ設定を構成します。
     
  • プロキシ構成ツール
    SHA256:  88113bebc49d40c0aa1f1f0b10a7e6e71e4ed3ae595362451bd9dcebcf7f8bf4
    SHA256: 498e8d231f97c037909662764397e02f67d0ee16b4f6744cf923f4de3b522bc1
    このツールを正しく動作させるには、conf.datというファイルが必要です(場所はc:\users\public\conf.dat)。Conf.datには、プロキシ設定をセットアップするための構成が含まれています。

長期にわたり活動しているAPTグループ

Blackflyは、中国の既知の持続的標的型攻撃(APT)グループの中で最も長く活動を続けているグループの1つで、少なくとも2010年から活動しています。初期の攻撃は、PlugX/Fast(Backdoor.Korplug)、Winnti/Pasteboy(Backdoor.Winnti)、Shadowpad(Backdoor.Shadowpad)というマルウェアファミリーを使用していたことで知られています。このグループは最初、コンピュータゲーム業界に対する攻撃で有名になりました。その後、攻撃の対象は多様化していき、標的となった組織の業界は、半導体、通信、材料製造、製薬、メディア、広告、接客、天然資源、フィンテック、食品など多岐にわたりました。

Blackflyは、Grayflyとして知られる第2の中国APTグループと密接に関連しており、一部のベンダーはこの2つのグループを1つの攻撃グループAPT41として追跡しているほどです。この2つのグループが実施した数百件のサイバー攻撃に関与した罪で2020年に7人の男が起訴されたことで、2つのグループのつながりが明らかになりました。訴状では、2人の中国人が両方のグループで活動したとされています。同じ人物が両方のグループに関わっていることが、2つのグループが似ている原因である可能性もあります。

活動に影響はない

米国で起訴されたにもかかわらず、Blackflyは世間の注目を浴びてもなお、攻撃を続けているようです。このグループは、最初はゲーム業界への攻撃で有名になりましたが、現在はさまざまな分野の知的財産を標的にしているようです。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。

cf6bcd3a62720f0e26e1880fe7ac9ca6c62f7f05f1f68b8fe59a4eb47377880a – Backdoor.Winnkit

e1e0b887b68307ed192d393e886d8b982e4a2fd232ee13c2f20cd05f91358596 – Backdoor.Winnkit

a3078d0c4c564f5efb1460e7d341981282f637d38048501221125756bc740aac – Backdoor.Winnkit

714cef77c92b1d909972580ec7602b0914f30e32c09a5e8cb9cb4d32aa2a2196 – Backdoor.Winnkit

192ef0dee8df73eec9ee617abe4b0104799f9543a22a41e28d4d44c3ad713284 – Backdoor.Winnkit

caba1085791d13172b1bb5aca25616010349ecce17564a00cb1d89c7158d6459 – Backdoor.Winnkit

452d08d420a8d564ff5df6f6a91521887f8b9141d96c77a423ac7fc9c28e07e4 – スクリーンショット化ツール

1cc838896fbaf7c1996198309fbf273c058b796cd2ac1ba7a46bee6df606900e – プロセスホローイングツール

4ae2cb9454077300151e701e6ac4e4d26dc72227135651e02437902ac05aa80d – SQLツール

560ea79a96dc4f459e96df379b00b59828639b02bd7a7a9964b06d04cb43a35a – DCSync

b28456a0252f4cd308dfb84eeaa14b713d86ba30c4b9ca8d87ba3e592fd27f1c – Mimikatz

a3acb9f79647f813671c1a21097a51836b0b95397ebc9cd178bc806e1773c864 – ForkPlayground

5e51bdf067e5781d2868d97e7608187d2fec423856dbc883c6f81a9746e99b9f – プロキシ構成ツール

d4e1f09cb7b9b03b4779c87f2a10d379f1dd010a9686d221c3a9f45bda5655ee – プロキシ構成ツール

f138d785d494b8ff12d4a57db94958131f61c76d5d2c4d387b343a213b29d18f – プロキシ構成ツール

88113bebc49d40c0aa1f1f0b10a7e6e71e4ed3ae595362451bd9dcebcf7f8bf4 – プロキシ構成ツール

498e8d231f97c037909662764397e02f67d0ee16b4f6744cf923f4de3b522bc1 – プロキシ構成ツール

100cad54c1f54126b9d37eb8c9e426cb609fc0eda0e9a241c2c9fd5a3a01ad6c – 資格情報ダンプツール

Symantec Enterprise Blogs
You might also enjoy
6 Min Read

アジア各国政府を標的としたスパイ活動の新潮流

著名な脅威アクターの最新の標的は、政府および国有組織。

Symantec Enterprise Blogs
You might also enjoy
2 Min Read

Cicada:中国のAPTグループが最近のスパイ活動で標的の範囲を拡大

政府機関やNGOなど、広範囲かつ持続的なキャンペーンで被害が発生。

About the Author

Threat Hunter Team

Symantec

The Threat Hunter Team is a group of security experts within Symantec whose mission is to investigate targeted attacks, drive enhanced protection in Symantec products, and offer analysis that helps customers respond to attacks.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.