コンピュータプログラムの脆弱性を利用した攻撃が深刻化している。普段はこうしたサイバー攻撃は水面下で行われているが、セキュリティ企業のPositive Technologiesが、大規模攻撃を可視化し、その手口から侵入経路、ハッカーグループの活動地域までをあぶりだしたようだ。

Positive Technologiesは今年3月に、ハッカーグループCalypso APTの活動を発見し、少なくとも2016年から政府機関の機密データを盗み取っていたことを見出した。

対象となっていたのは、ブラジル、インド、カザフスタン、ロシア、タイ、トルコの6カ国の政府機関だ。

・リモートアクセスにてWebサーバに侵入

Positive Technologiesの詳細なレポートには、Calypso APTが最初、リモートアクセスの認証情報を推測してWebサーバに侵入。その後、Windows XPやWindows Server 2003の脆弱性を利用してネットワーク内にマルウェアを拡散したことが示されている。

利用されたマルウェアは、ハッカーグループの開発したCalypso RATをはじめ、アジアのハッキング行為でよく利用されるPlugXやByebyトロイの木馬が含まれていたようだ。

またレポートでは、実行ファイルを組み合わせて、ファイルの保存や設定の書き換えなどを行ったプロセスが説明されている。

・プロキシサーバの設定ミスによりIPアドレスが発覚

サイバー攻撃は匿名化されたプロキシサーバを経て行なわれ、身元が割れないように行うのが普通だが、Positive Technologiesの調べによって、Calypso APTによるいくつかの設定ミスが発覚。China Telecomなど中国に属するIPアドレスがログに残っていたようだ。

レポートでは、検出されたIPアドレスをはじめ、スクリプトや通信コマンド、利用されたツールなどが掲載されており、Calypso APTの手口が明るみに出たかたち。

EternalBlueやEternalRomanceなんかの、おそらく聞き覚えのある名前も登場し、生々しいサイバー攻撃の痕跡が確認できる。こうした事案は人ごとではなく、レポートを見て手口をさらっておくことで、心構えや対策に役立つかもしれない。

参照元：Calypso APT: new group attacking state institutions/Positive Technologies