Cicada：中国のAPTグループが最近のスパイ活動で標的の範囲を拡大

国の支援を受けた中国のAPT（持続的標的型攻撃）グループが、スパイ目的と思われる数か月に及ぶキャンペーンで、世界中の組織を攻撃しているようです。

このCicada（別名APT10）のキャンペーンの被害者には、ヨーロッパ、アジア、北米を含む世界各国の政府機関、司法組織、宗教組織、非政府組織（NGO）が含まれます。このキャンペーンで標的とされた組織の業種や地域が多岐に渡っていることは興味深いことです。数年前のCicadaの最初の活動は、日本に関連した企業を重点的に狙ったものでしたが、最近では、よりグローバルに活動するマネージドサービスプロバイダ（MSP）に対する攻撃と関連しています。しかし、今回のキャンペーンはCicadaの標的がさらに拡大したことを示しているように見えます。

これがCicadaの活動であると特定された根拠は、このAPTグループだけが使っているカスタムローダーとカスタムマルウェアが被害者のネットワーク上に存在していたことです。

Cicadaは2009年までさかのぼるスパイ活動的な作戦に関連していますが、今回のキャンペーンにおける最も古い活動は2021年半ばに発生し、最新の活動は2022年2月に確認されていることから、これは長期にわたる攻撃キャンペーンであり、現在も継続している可能性があるとBroadcomの一事業部であるシマンテックの研究者が明らかにしました。

感染したネットワーク上での活動

いくつかのケースで、被害を受けたネットワーク上での攻撃者の最初の活動は、Microsoft Exchange Serverに対するものでした。これは、Microsoft Exchangeの既知の未パッチの脆弱性が、一部のケースで被害者のネットワークへのアクセスに使用された可能性を示唆するものです。

攻撃者は、被害者マシンへのアクセスに成功すると、カスタムローダーやSodamasterバックドアなど、さまざまなツールを展開することが確認されています。この活動で展開されたローダーは、Cicadaによる以前の攻撃でも展開されました。

SodamasterはCicadaの既知のツールであり、使用しているのはこのグループだけであると考えられています。Sodamasterはファイルレス型のマルウェアで、レジストリキーのチェックや実行の遅延によるサンドボックス内での検知回避、標的システムのユーザー名、ホスト名、オペレーティングシステムの列挙、実行中のプロセスの検索、追加のペイロードのダウンロードと実行など、複数の機能を備えています。また、コマンドアンドコントロール（C&C）サーバーに送り返すトラフィックを難読化および暗号化することも可能です。Sodamasterは、Cicadaが少なくとも2020年から使用している強力なバックドアです。

このキャンペーンでは、攻撃者がカスタムMimikatzローダーを使うなどして資格情報をダンプしたこともわかっています。このバージョンのMimikatzは、mimilib.dllをドロップして、侵害されたホストにアクセスしているあらゆるユーザーの資格情報をプレーンテキストで取得し、再起動後も持続的に提供します。

攻撃者はさらに、VLC Exports機能を介してカスタムローダーを起動することにより、正規のVLC Media Playerを悪用し、WinVNCツールを使って被害マシンを遠隔制御します。

この攻撃キャンペーンで利用された他のツールは以下の通りです。

• RARアーカイブツール - おそらくデータを持ち出すために、ファイルの圧縮、暗号化、またはアーカイブに利用できます。
• システム/ネットワーク検出 -  感染したマシンに接続されているシステムまたはサービスを攻撃者が特定する方法です。
• WMIExec - Microsoftのコマンドラインツールで、リモートコンピュータ上でコマンドを実行するために利用できます。
• NBTScan - オープンソースのツール。AAPTグループが侵害されたネットワーク内で内部偵察を行うために使用されていることが確認されています。

被害企業

このキャンペーンの主な被害者は、政府関連機関やNGOであるようです。その中には教育や宗教の分野で活動しているNGOもありました。また、通信、司法、製薬の分野でも被害者が出ています。

被害者は、米国、カナダ、香港、トルコ、イスラエル、インド、モンテネグロ、イタリアなど、多くの地域に分散しています。また、日本での被害はわずか1件ですが、これはCicadaがが以前から日本の関連企業に強い関心を寄せていたため、注目されるところです。

攻撃者は、一部の被害者のネットワークに9か月という長い時間をかけて侵入しています。

標的にされた被害者、このキャンペーンで展開されたさまざまなツール、そしてCicadaの過去の活動について当社が知っている事実のすべてが、このキャンペーンの最終目的が諜報であることを示しています。Cicadaの活動は、2018年に米国政府関係者によって中国政府に関連付けられました。

この活動の重大性

これは、洗練され経験豊富な国民国家をバックにした活動家による長期的なキャンペーンであり、このキャンペーンで私たちが見た直近の活動は2022年2月であったことから、まだ進行中である可能性があります。異なる地域に存在する複数の大規模組織を同時に標的にするには、一般的に国家支援を受けたグループにしか見られない多くのリソースとスキルが必要であり、Cicadaがサイバー活動に関してはまだ多くの脅威を秘めていることを示しています。

保護

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡（IOC）

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。

01b610e8ffcb8fd85f2d682b8a364cad2033c8104014df83988bc3ddfac8e6ec

056c0628be2435f2b2031b3287726eac38c94d1e7f7aa986969baa09468043b1

062ce400f522f90909ed5c4783c5e9c60b63c09272e2ddde3d13e748a528fa88

0b452f7051a74a1d4a544c0004b121635c15f80122dc6be54db660ceb2264d6f

0ec48b297dd1b0d6c3ddd15ab63f405191d7a849049feedfa7e44096c6f9d42a

20fc3cf1afcad9e6f19e9abebfc9daf374909801d874c3d276b913f12d6230ec

2317d3e14ab214f06ae38a729524646971e21b398eda15cc9deb8b00b231abc3

2417da3adebd446b9fcb8b896adb14ea495a4d923e3655e5033f78d8e648fcc8

37f56127226ce96af501c8d805e76156ca6b87da1ba1bb5d227100912f6c52d9

3aa54e7d99b69a81c8b25ab57aeb971644ed0a206743c9e51a80ec1852f03663

3ff2d6954a6b62afb7499e1e317af64502570181fd49ac5a74e2f7947e2e89db

4f6a768841595293146ca04f879efa988e4e95ce0f2bc299cb669fea55e78b65

5269db6b19a1d758c75e58ee9bbf2f8fd684cfedbfe712d5b0182d7bbd3a1690

5bc68df582c86c884b563b15057cc223f2e9bc1022ebb297e32a9a7e3036228b

6b4692029f05489ecda10e11cfacfc3b19097856b88647d3695f3bdc7dd83ce9

7b581c0305c78f28bad60028c63e852dc34fc9e28f39e4b0af73d80c1d9680c9

83030f299a776114878bcd2ade585d97836ef4ddb6943cb796be2c88bcb83a83

90a03dabfc4e56a12cc3bac5cbe991db044b900a01ec341803c864506e467ffa

9917a2213f114e87745867e5fea6717efd727d7c08fdc851969224be2f0e019b

9b5f9ff82ed238bcbd83628ed3ec84988dc05f81cec9e45a512fbd2c8ac45c33

adfe177ade7d9bfe4df251a69678102aec1104a4ba9f73032dd90aba76d8bdd9

b76fde584f87c88bdd21fab613335ce7fc05788aa4bb3191d1517ec16ef4d11a

ce45af43dd2af52d6034e981515474147802efdfe036e00078fee29a01694fd6

d461347388ccf0c2008332a1674885a41f70b94b2263bddef44e796d3b1b43b5

df993dca434c3cd2da94b6a90b0ae1650d9c95ea1d5f6a5267aca640d8c6d00e

ee46e714660f7652502d5b3633fae0c08c8018f51cfb56a487afd58d04dd551a

fe33fdd5a63fee62362c9db329dde11080a0152e513ef0e6f680286a6a7b243f

88[.]198.101[.]58

168[.]100.8[.]38