チェック・ポイント・ソフトウェア・テクノロジーズ/チェック・ポイント・リサーチ、中国拠点のAPT活動「SmugX」の傾向の変化に関する調査結果を公開 ヨーロッパの政府機関が主な標的となっていることが明らかに

  • このエントリーをはてなブックマークに追加

ハイライト:

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、中国に拠点を置くAPT作戦「SmugX」について、その標的がヨーロッパの外交及び内政を主務とする政府機関へと変化したことを示す新たな調査結果を公開しました。

エグゼクティブサマリー 

過去約2カ月にわたり、CPRはヨーロッパの外交及び内政機関や大使館を標的とする中国の脅威アクターの活動を追跡してきました。CPRが過去に報告した他の中国拠点のグループによる活動と考え合わせると、今回の動きは中国の脅威アクターのエコシステムにおけるより大きな傾向の変化、すなわち標的が対国外政策に重点を置くヨーロッパの組織へと変化したことを示唆しています。今回のキャンペーンの主要な標的は、イギリスに加え、チェコ、スロバキア、ハンガリーなど東欧諸国となっており、CPRはその目的を標的国の外交政策に関する機密情報の入手にあると見ています。

本レポートによると、この活動はHTMLスマグリングを利用し、東欧を中心としたヨーロッパの外交機関を標的としています。HTMLスマグリングとは、攻撃者が正常なHTML文書内に悪意あるペイロードを隠す手法です。

 当該のキャンペーンは少なくとも2022年12月から実施されており、過去に報告されたRedDelta(及び一部はMustang Panda)キャンペーンの延長線上にあると見られます。

このキャンペーンでは、新たな攻撃手法(特に顕著なのはHTMLスマグリング)を用いて、一般に中国のさまざまな脅威アクターと関連付けられているインプラントであるPlugXの新たな亜種を拡散しています。ペイロード自体は旧型のPlugX亜種で見られるものと類似していますが、その拡散手法は検知率が低く、検知を上手に回避してしまうため、つい最近までこのキャンペーンは気づかれることなく進行していました。

 
SmugXの電子メールキャンペーンで用いられるHTMLスマグリングでは、結果としてJavaScriptまたはZIPファイルがダウンロードされます。これにより長い感染チェーンが始まり、被害者はPlugXに感染することになります。

ルアーとターゲット 

CPRが特定した今回のキャンペーンのルアー文書はヨーロッパの外交および内政に主眼を置くものとなっており、主に東欧・中欧の政府機関を標的にしています。しかし、ルアー文書の中では他の西欧諸国も言及されています。

大半の文書は外交に関連する内容を含んでおり、中国や中国における人権問題に直接関係する内容も複数ありました。

さらに、アーカイブされたファイルの名称自体が、狙われた被害者がこうした政府機関に属する外交官や公務員であったことを強く示唆しています。以下は、CPRが確認したファイル名の一部の例です。

  • Draft Prague Process Action Plan_SOM_EN
    (プラハ プロセス行動計画 草案_SOM_EN)

  • 2262_3_PrepCom_Proposal_next_meeting_26_April
    (2262_3_PrepCom_提案書_次回ミーティング_4月26日)

  • Comments FRANCE – EU-CELAC Summit – May 4
    (フランスコメント – EU-CELACサミット – 5月4日)

  • 202305 Indicative Planning RELEX
    (202305 指示計画書 RELEX)

  • China jails two human rights lawyers for subversion
    (中国が人権派弁護士2名を国家転覆罪で投獄)

結論 

今回の調査における最近の攻撃キャンペーンに対する分析結果は、中国のAPTアクターの狙いがヨーロッパの政府機関に対する持続的なものへと移行したことを強調しています。

CPRは、PlugXのペイロードの展開につながるHTMLスマグリング手法を用いた複数の感染チェーンを確認しました。 「SmugX」と名付けられたこのキャンペーンは、中国の脅威アクターがヨーロッパの組織、特に政府機関にその関心を移しているという大きな傾向の一端を示しています。

CPRは、今後もこの動向を注視し、随時報告する予定です。

チェック・ポイントは本レポートで報告された脅威に対し、お客様への保護を提供します

チェック・ポイントのThreat Emulation < https://www.checkpoint.com/infinity/zero-day-protection/ >(ゼロデイに対応するサンドボックス)とHarmony Endpoint < https://www.checkpoint.com/jp/harmony/advanced-endpoint-protection/ > は、攻撃の手口やファイルタイプ、オペレーティングシステムまでを包括的にカバーし、本レポートで報告されたものと同種の下記のような攻撃や脅威に対する防御を提供します。

チェック・ポイントの脅威エミュレーション

・APT.Wins.MustangPanda.AP

Harmony Endpoint

・APT.Win.PlugX.O

・APT.Win.PlugX.Q

・APT.Win.PlugX.R

 本プレスリリースは、米国時間2023年7月3日に発表されたブログ記事(英語) < https://blog.checkpoint.com/securing-user-and-access/smugx-unveiling-a-chinese-based-apt-operation-targeting-european-governmental-entities-check-point-research-exposes-a-shifting-trend/ > をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >  に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_


チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・Twitter: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp

 

 

注目記事:MVNOとは?初心者にもわかりやすく解説 「本当に安くなるの?」

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。