リサーチャーが徹底分析 脅威アクターAmoeba（アメーバ）の実態とその手口を解き明かす：CODE BLUE 2023レポート（1/2 ページ）

TeamT5は中国の後ろ盾を得て全世界で攻撃を展開している脅威アクター「APT41」（通称：Amoeba）を詳細に分析した。彼らの攻撃手段や戦術、細かな工夫からその狙いを解説しよう。

[高橋睦美，ITmedia]

　台湾のセキュリティ企業TeamT5は、さまざまな脅威アクターの動向をウォッチし、手口を掘り下げて分析してきた。その対象の一つが、中国の政府や軍から支援を受けているとされる脅威アクター「APT41」だ。CODE BULE 2023の「金儲けかカモフラージュか？ APT41によるランサムウェア活動の解析」では、同社のリサーチ結果の一端が紹介された。

本稿は「CODE BLUE 2023」（2023年11月8〜9日）におけるチェ・チャン氏、チャールズ・リー氏の講演「金儲けかカモフラージュか？ APT41によるランサムウェア活動の解析」を編集部で再構成した。

正規のツールを悪用し、世界中で攻撃活動を続けるAPT41こと「Amoeba」

　一口に「サイバー攻撃」といっても、いたずら半分のものに始まり、犯罪組織による金銭目的の攻撃、ハクティビストによる意見の主張、そして国家やそれに近い組織、いわゆるAPTによるスパイ・金銭獲得行為に至るまで、さまざまな主体による多様な動機のものが入り交じっている。以前は比較的明確に分類できた金銭目的のサイバー犯罪、特にランサムウェア攻撃とAPTのサイバー攻撃の垣根が徐々に低くなり、時には協業するケースもあることが近年報告されている。

　TeamT5のチャン氏らはその傾向を踏まえた上で、「APTとランサムウェアのアクターが協業するとして、どんな目的で、どの程度手を組んでいるのかというシンプルな疑問から、私たちのリサーチは始まりました」と述べた。

　そこで対象にしたのがAPT41だ。APT41は中国本土に拠点を置くサイバーセキュリティ企業を母体とした脅威アクターで、中国の軍や諜報機関との関係も指摘され、すでに米国はもちろん、日本や台湾など、全世界で攻撃活動が観測されている。日本ではおそらく「Winnti」という名称が最も知られているが、セキュリティベンダーによっては「Barium」や「Lead」「Wicked Panda」などさまざまな名称で呼ばれている。TeamT5ではこの脅威アクターを「Amoeba」と名付けて活動を調査してきた。

　このAmoebaは2019年以降、ランサムウェアを武器の一つとして使うようになった。

　「彼らがランサムウェアを使う理由は2つあると考えられています。一つはお金もうけ、もう一つは捜査の妨害で、自分たちの痕跡を消すためにこれを使っていると考えられます」（チャン氏）

　Amoebaは日本の半導体企業や台湾の製油所、米国政府関連機関などにはじまり、全世界で攻撃を展開しており、今後はランサムウェアを使った活動をますます広げていくとみられる。

　チャン氏らのリサーチによると、Amoebaが使うマルウェアは以下の4つに分類できる。

• 公開鍵暗号ツール
• ランサムウェア
• バックドア
• その他のハッキングツール（権限昇格やラテラルムーブメントなどに使用）

　Amoebaは「BestCrypt」や「BitLocker」など、合法的な目的で使われる公開鍵暗号ツールを利用してデータを暗号化するが、同時に「ColdLock」と呼ばれる、「.NETフレームワーク」で書かれてカスタマイズを加えたランサムウェアを使用することもある。

　これらを送り込むバックドアやRAT（遠隔操作ウイルス）には、ペネトレーションテストツール「Cobalt Strike Beacon」が使われているが、たまに「FindingBest」も使われるという。そしてその他に、「ProcDump」「SecretsDump」といったハッキングツールによって侵入後の権限昇格やラテラルムーブメントを展開する。

　Amoebaは広範な攻撃活動を展開しているが、その中でも主に4つの攻撃キャンペーンがよく知られているとチャン氏は説明した。

　1つ目は2019〜2021年にかけてグローバルで大規模に展開された「FindingBest」キャンペーンだ。統合エンドポイント管理（UEM）ソフトウェア「Zoho ManageEngine Desktop Central」に存在する脆弱（ぜいじゃく）性（CVE-2020-10189）が悪用されて日本の半導体企業や欧州の企業、グローバルなNPOなどがターゲットになった。

　日本企業に対する攻撃は、まず中国支社が侵害され、Cobalt Strike Beaconを使ったラテラルムーブメントを展開後に日本の本社に侵入し、FindingBestで暗号化ツールをダウンロードし、被害を及ぼすというプロセスで実行された。

　2つ目は製油所をはじめとした台湾の重要インフラをターゲットにした「ColdLock」キャンペーンだ。Webシェル経由で「Active Directory」の管理者権限が奪取され、ColdLockランサムウェアが実行された。「この結果、複数のガソリンスタンドが閉鎖せざるを得ない事態に陥りました」（チャン氏）

　3つ目は2021年8月から始まり今も継続している「DeepBlueMagic」キャンペーンで、イスラエルの医療センターをはじめとした複数の組織が標的になっている。Pulse SecureのVPN製品の脆弱性を悪用し、BitLockerとBestCryptを暗号化に使用する手口だが、データを暗号化した後に表示される脅迫文（ランサムノート）が、不自然な英文も含めてほぼ同じであるなど、ColdLockキャンペーンとの類似も見られる。このことからTeamT5は、同キャンペーンもAmoebaに関連するものと判断している。

　4つ目はドイツの金融機関の調査報告書で判明した「FailedEncrypt」キャンペーンだ。「Microsoft Exchange Server」に存在するProxyLogonの脆弱性を悪用し、Webシェルの「ChinaChopper」を埋め込む。最終的に成功はしなかったものの、最初の侵入から1年をかけて再び侵害を試みるなど、時間をかけて執拗（しつよう）に標的を狙うケースだ。

　チャン氏は最近のリサーチ結果を踏まえて「Amoebaはまだメキシコやスペイン、グアテマラなど全世界で製造業をターゲットに活動を展開しています」と警告した。