Recorded Futureは9月19日(米国時間)、「Multi-year Chinese APT Campaign Targets South Korean Academic, Government, and Political Entities|Recorded Future」において、韓国の学術機関、政治機関、政府機関を標的とした複数年にわたる中国国家支援のサイバースパイ活動の分析結果を伝えた。脅威者は韓国の南北協力、南北統一、特定の学術機関に高い関心を持って活動している可能性があると見られている。

Multi-year Chinese APT Campaign Targets South Korean Academic, Government, and Political Entities|Recorded Future

Recorded Futureによると、中国国家支援の脅威活動グループ「TAG-74」は、中国の軍事情報機関とのつながりが公になっている組織で諜報活動が任務とされる。主な標的は韓国の学術機関、政治機関、政府機関とみられ、日本、ロシアの学術、航空宇宙、防衛、政府、軍事、政治組織にも脅威を与えている可能性があるという。TAG-74のキャンペーンで使用される戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)には、.chmファイルを開く際にDLLハイジャッキングを行うことでVBScriptのバックドア「ReVBShell」のカスタマイズされたバージョンをロードさせる手法が含まれる。

TAG-74のキャンペーンで観察される典型的な感染経路 引用:Recorded Future

キャンペーンで用いられる戦術、技術、手順については、分析レポートで詳しく解説されている。Recorded Futureは、これら攻撃に対して、次のような対策を講じることを推奨している。

侵入検知システム(IDS: Intrusion Detection System)、侵入防御システム(IPS: Intrusion Prevention System)などのネットワーク防御メカニズムを設定し、分析結果のAppendix Aで記載しているセキュリティ侵害インジケータ(IoC: Indicator of Compromise)の外部IPアドレスとドメインを警告し、そのアドレスとの接続をブロックすることを検討する

-電子メールゲートウェイやアプリケーション拒否リストで、可能な限り .chmファイルやその他の利用されることの少ない添付ファイルをブロックすることを検討する

Recorded Futureは本件の脅威を含むコマンド&コントロール(C2: Command and Control)サーバのリストを記録している。これらサーバからの侵入を検出してブロックする

DDNSドメインおよびそのサブドメインの全てのTCP/UDPネットワークトラフィックをブロックする

Recorded FutureのBrand Intelligence moduleのようなセキュリティソリューションを導入して、タイポスクワッティングドメインなどのドメインの不正使用を監視する

Recorded Futureは、TAG-74が今後も韓国および日本、ロシアを戦略的目標として長期的に情報収集を行う可能性が高いと警告している。また、上記の対策でも触れたように、環境内で.chmファイルがあまり利用されていないようであれば、監視を検討するよう重ねて推奨している。.chmファイルのような一般的ではないファイルの悪用が2022年から2023年にかけて増加しているとして特に注意を促している。