チェック・ポイント・リサーチ、ロシアの国営防衛機関を標的とした中国の高度標的型攻撃（APT）による諜報活動「Twisted Panda」についての調査結果を公開

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2022年05月30日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

主要な調査結果：
・チェック・ポイント・リサーチ（以下CPR）は、ロシア国営の防衛コングロマリットRostec傘下の少なくとも２つの研究機関を標的としたスパイ活動が行われていることを確認しました。
・今回のスパイ活動は、ロシアと関係のある企業に対して2021年７月頃から繰り返し行われている、一連の長期的諜報活動の続きであると見られています。最近では2022年４月にも同様の動きが確認されており、この作戦は現在も進行中の可能性があります。
・このスパイ活動は中国の攻撃アクターによるものであると見られ、高度かつ熟練した国家支援型の攻撃アクター「Stone Panda」（別名 APT10）や、中国に拠点を置くもう一つのサイバー諜報グループ「Mustang Panda」が関与している可能性があります。観測されたツールの精巧さや中国に拠点を置いているという点から、この作戦行動は通称「Twisted Panda」と呼ばれています。
・このハッカーたちは、これまでに報告されていない新たなツールである複雑なマルチレイヤー型ローダーと「SPINNER」と呼ばれるバックドアを使用しています。これらのツールは、マルチレイヤー型のインメモリローダーやコンパイラレベルの難読化など、高度な検知回避技術や分析回避技術を使用しています。

背景
過去２ヵ月にわたり、CPRは、ロシアとウクライナの紛争とそれに伴うロシア企業への制裁を諜報活動のおとりとして利用しようとしている複数のAPT攻撃グループを観測しました（詳細 < https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/ > ）。ロシア企業それ自体が魅力的なターゲットとして、西側諸国によるロシアへの制裁を悪用したスピアフィッシング攻撃に狙われるようになったことは、驚くに当たりません。こうした制裁はロシア経済、とりわけロシア国内の複数の業界内の組織に対して、非常に大きな圧力を与えています。
調査の結果、このスパイ活動はロシアと関連する企業に対して数ヵ月前から行われている、中国の大規模な諜報活動の一部であるとされています。研究者らは強い確信をもって、この作戦を実行しているのは中国政府に支援された熟練のAPT攻撃グループであると推測しています。本レポートでは攻撃アクターが使用した戦術や手口を明らかにし、複数の検知回避・分析回避技術を搭載した未知のローダーやバックドアなど、今回観測された悪意あるステージやペイロードについての技術的な分析結果を提供します。

スピアフィッシング攻撃
スピアフィッシング攻撃とは、その名が示すとおり、より高度に標的を定めたフィッシング攻撃 < https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/ > です。他のフィッシング攻撃と同様に、電子メール、SMSメッセージ、SNSなどの様々なメディアを用いて実行されますが、スピアフィッシングでは特に電子メールを利用したものが最も一般的です。フィッシングの一種であるスピアフィッシングは、他のタイプのフィッシング攻撃と非常によく似た動作をしますが、フィッシングメッセージが作成されるプロセスは少し異なります。

３月23日、ロシア国内の複数の防衛研究機関をターゲットとした悪質な電子メールが確認されました。「ウクライナ侵攻を理由に米国から制裁を受けている＜研究機関名＞の職員リスト」という件名のこの電子メールには、実際には攻撃者が管理するサイトにつながっている、ロシア保健省のURL（minzdravros[.]com）を模倣したリンクが貼られており、悪意ある文書ファイルが添付されていました。

図１: ロシアの研究機関に送信されたスピアフィッシングのメール

添付されたファイルはロシア保健省の公式文書に見えるよう精巧に作られており、本物の紋章や肩書が記されていました。

図２:ロシアの研究機関に送信された偽造文書のスクリーンショット

同じ日に「米国がベラルーシに致死性の病原体を拡散」という件名で、同様のタイプのフィッシングメールがベラルーシの首都ミンスクの企業にも送信されています。

中国を拠点とした活動
このスパイ活動のTTPs（戦術、手口、手順）を考慮した結果、この作戦は中国のAPT攻撃アクターによって実行されている、と研究者たちは確信しています。一般に、中国のグループはツールを再利用し、共有することで知られています。それに加えて、SPINNERに見られる制御フローの難読化がかつて中国のAPT10 < https://www.virusbulletin.com/virusbulletin/2020/03/vb2019-paper-defeating-apt10-compiler-level-obfuscations/ > 名義の犯行で使われたことや、最近のMustang Panda < https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/ > による諜報活動でも再登場したことなど、今回のTwisted Pandaには長年に渡って観測されてきた中国の高度なサイバー諜報グループと複数の共通点があります。しかしながら、特定の中国のグループの名前を上げるには、インフラ面のつながりなどの点において、十分な証拠がありません。

「中国製造2025」< https://en.wikipedia.org/wiki/Made_in_China_2025 > 計画は、中国が技術・経済大国になるための目標を定め、ロボット、医療機器、航空産業など、世界のリーダーとなるべき分野を設定しています。今回の攻撃のターゲットとされた防衛研究機関は、いずれもロシア国営の防衛コングロマリットRostec傘下の持株会社の子会社です。この持株会社は無線工学の分野ではロシアで最大の企業であり、ターゲットとなった研究機関は、電子戦システム、軍用の特殊無線電子機器、対空レーダー装置、国の身分識別手段などの開発と製造に焦点を当てています。また、これらの研究機関は、民間航空機向けのアビオニクスシステムや、医療機器、エネルギー・交通・エンジニアリング産業向けの制御システムなど、様々な民生品の開発にも関わっています。今回のスパイ活動は、主にソーシャルエンジニアリングとスピアフィッシングの手法を用いて行われています。この諜報活動は、ロシアのハイテク防衛産業の内部のターゲットから情報を窃取し、中国の技術的進歩や前述の長期計画を支援することが目的とみられます。

今回の調査報告の全文は、こちらをご覧ください。 < http://research.checkpoint.com >

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ：https://research.checkpoint.com/
Twitter：https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan