標的型攻撃キャンペーンの急増

標的型攻撃 - 大量のデータと大きな影響力を持つ重要な情報システムを標的としたAPT攻撃は、これまでも、そして現在も、多くのハッカーグループが選択する攻撃トレンドの一つです。多くの組織や企業が業務をデジタル環境に移行し、データ資産がますます大規模化している中で、この傾向はますます増加しています。

実際、今年最初の数か月における世界およびベトナムのネットワーク情報セキュリティの状況は、エネルギー、通信などの主要分野で事業を展開する企業のシステムを標的とした標的型攻撃の増加傾向を明確に示しています。具体的には、ベトナムでは、2024年上半期に、VNDIRECT、PVOILなどのシステムに対するランサムウェアを使用した標的型攻撃により、これらの企業の業務が中断され、物質的およびイメージ的な損害が発生したほか、国家のサイバー空間のセキュリティを確保するための活動にも影響が出ました。

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
今年初めにマルウェアを用いてVNDIRECTのシステムにデータを暗号化する意図的な攻撃が行われたことは、ベトナムの部隊にとって情報セキュリティ確保に関する大きな教訓となった。写真:DV

情報セキュリティ部門傘下の国家サイバーセキュリティ監視センター(NCSC)は新たに共有された情報の中で、最近、サイバー攻撃、情報窃盗、システム破壊を主な目的として、複雑なマルウェアや高度な攻撃手法を意図的に使用して組織や企業の重要な情報システムに侵入するサイバー攻撃キャンペーンに関する情報を同部門が記録したと述べた。

情報セキュリティ部門は、省庁、支局、地方自治体のITおよび情報セキュリティ部門、国有企業、一般企業、通信、インターネット、デジタルプラットフォームサービスプロバイダー、金融および銀行組織に送信された9月11日の警告で、Mallox Ransomware、Lazarus、Stately Taurus(別名Mustang Panda)の3つの攻撃グループによるAPT攻撃キャンペーンに関する詳細な情報を提供しました。

具体的には、情報セキュリティ局は、Malloxランサムウェア関連の攻撃キャンペーン、 ビデオ会議プラットフォームを偽装してWindowsアプリケーションを使用し、多くの種類のマルウェアを拡散するLazarusグループのキャンペーン、VSCodeを悪用してアジアの組織を攻撃するStately Taurusグループのキャンペーンなど、重要な情報システムを標的とした3つの標的型攻撃キャンペーンにおける攻撃グループの攻撃行動を総合的に分析するとともに、全国の機関、組織、企業がサイバー攻撃のリスクを早期に検討し検出できるように、サイバー攻撃指標IoCも公開しました。

その直前の2024年8月には、情報セキュリティ局は、次のような他の危険な標的型攻撃キャンペーンについても継続的に警告を発していました。APT 41グループとの関連性が確認され、ベトナムを含むアジア太平洋地域の組織に影響を与えている、「AppDomainManagerインジェクション」手法を使用してマルウェアを拡散するキャンペーン、インターネットサービスプロバイダーを標的とし、ユーザーのmacOSおよびWindowsシステムにマルウェアを配布して制御を奪い、重要な情報を盗むことを目的としているAPT StormBambooグループによるサイバー攻撃キャンペーン、金融機関、研究機関、製造業者を「ターゲット」としたAPT MirrorFace攻撃グループによるサイバー攻撃キャンペーンなどです。

攻撃ステップモデル1.jpg
2024年8月6日に情報セキュリティ局が警告した、インターネットサービスプロバイダーを標的としたAPT StormBambooグループの攻撃手順の図。写真:NCSC

ベトナムの大規模な組織や企業を狙った標的型攻撃グループに関する情報も、Viettel Cyber​​ Securityが今年上半期のベトナムの情報セキュリティ状況に関するレポートで重点的に分析し、共有しているトピックです。

具体的には、Viettel Cyber​​ Securityの専門家による分析によると、2024年前半において、APT攻撃グループは攻撃キャンペーンで使用するツールとマルウェアをアップグレードしています。そのため、APTグループの主な攻撃手法は、偽の文書やソフトウェアを用いてユーザーを騙し、マルウェアを実行させることです。また、多くのグループでよく使用される手法は、DLLサイドローディングです。これは、クリーンな実行ファイルを利用して悪意のあるDLLをロードしたり、CVEセキュリティ脆弱性を悪用したりするものです。

Viettel Cyber​​ Securityの技術システムによって、2024年の最初の数か月間にベトナムの企業や組織に大きな影響を与えると評価されたAPTグループには、Mustang Panda、Lazarus、Kimsuky、SharpPanda、APT32、APT 28、APT27が含まれます。

APTによるシステム攻撃リスクを早期に防ぐ対策

情報セキュリティ庁は、APT攻撃に関する警告の中で、政府機関、組織、企業に対し、攻撃の影響を受ける可能性のある情報システムの点検と見直しを求めています。同時に、サイバー攻撃に関連する情報を積極的に監視し、攻撃を早期に防ぎ、攻撃を受けるリスクを回避するよう求めています。

W-情報システムセキュリティ-1-1.jpg
国内の機関、組織、企業は、サイバー攻撃や搾取の兆候を検知した場合、監視を強化し、対応計画を策定することが推奨される。写真:LA

同時に、各部隊は監視を強化し、サイバー攻撃や搾取の兆候を検知した場合には対応計画を策定し、当局や大規模な情報セキュリティ組織の警告チャネルを定期的に監視して、サイバー攻撃のリスクを迅速に検知することも推奨されます。

世界的にもベトナムでも標的型攻撃を含むサイバー攻撃が絶えず増加している状況において、情報セキュリティの専門家は、国内の組織や企業に対し、リスクを最小限に抑え、継続的な生産・事業活動を維持するために注力すべきいくつかの対策を推奨しています。

これらは、顧客データと内部データを管理するためのプロセスとシステムのレビュー、システムへの侵入の兆候を積極的にレビューし、標的型攻撃グループを早期に検出して対応する、重大な影響のあるセキュリティの脆弱性を含むソフトウェアとアプリケーションのバージョンをレビューしてアップグレードするなどです...

アジア太平洋諸国の技術スタッフがAPT攻撃への対応訓練を実施。「APT攻撃への対応:困難な問題への解決策の探求」をテーマにした国際演習「APCERT 2024」が8月29日に開催され、ベトナムをはじめとするアジア太平洋諸国の技術スタッフが参加した。