FireEyeの中国を拠点とするサイバー攻撃グループのレポート。

APT 30のマルウェアを分析した結果、彼らは既存のテクノロジー企業のように、組織的にソフトウェアの開発を行っており、侵害対象となる外交・政治・報道機関や民間企業のさまざまな環境と密に連動した手段をとることが判明しています。ターゲットにされた組織が持つ情報は、東南アジア地域の政府・経済・軍事に関する重要問題や、紛争地域、中国共産党の正当性に関する議論など、中国政府にとって重要と思われる情報となっています。
本レポートの主な調査結果の内容は、以下の通りです。
10年以上に及ぶ長期的なサイバースパイ活動
APT30による統合型ツールセットの開発・改良や、10年以上に及ぶインフラストラクチャの再利用の状況から、これが一貫性のある長期的なミッションに基づくことがうかがえます。このツール群は、ダウンローダ、バックドア、中央コントローラ、複数のコンポーネントで構成されており、リムーバブルドライブに感染し、エアギャップ型ネットワークを横断して、情報を窃取できるようになっています。APT30は、マルウェアのコマンド&コントロール（C2）で利用するために、自らのDNSドメインを頻繁に登録しています。マルウェア・サンプルの存在を見ると、ドメインの一部は長年にわたって使用されています。
体系化・組織化されたワークフロー
APT30の組織はワークフローが体系化・組織化され、チームによる協業環境が整っており、マルウェアも、首尾一貫した開発姿勢を反映したものとなっています。APT30（あるいは彼らを支援する開発者）は、マルウェアのバージョニングについて、体系的なラベル付けを行い、継続的な追跡を実施しています。マルウェアは、ミューテックスとイベントを使用することで、いかなる場合でも単一のコピーのみが実行される状態を保証しており、マルウェアのバージョン情報は、バイナリ内に組み込まれています。マルウェアのC2通信ではバージョンチェックが行われており、マルウェアは最新版のコピーへとアップデートすることで、継続的なアップデート管理が可能となっています。
優先順位付けされたターゲット
APT30の「Lecna」（BACKSPACE）バックドアの制御ソフトウェアからは、脅威グループがターゲットの優先順位を決定しつつ、交代制で作業を行っている可能性が示唆されています。APT30のバックドアは通常、2段階のC2プロセスを使用しており、攻撃対象のホストは、最初のC2サーバーに接続すると、攻撃者のメインコントローラに接続すべきか否かを判断します。コントローラはGUIインターフェイスを使用しており、攻撃者は、ホストの優先順位を決定し、攻撃対象にノートを追加、特定のホストがオンライン状態になった時のためにアラートを設定することが可能です。最後に、コントローラ内では、未使用のダイアログボックスが、最新の「アテンダント」向けのログインプロンプトを表示します。
APT30の主なターゲット
彼らの主な目的は、政冶上のスパイ活動を目的とした機密情報の窃取にあると思われます。APT30のマルウェアは、（特定のファイルタイプなどの）情報の窃取を狙いにしたもので、一部のケースでは、リムーバブルドライブの感染が可能で、エアギャップをジャンプする可能性もあります。一部のマルウェアに含まれるコマンドでは、「Hide」モード内に自らを置くことで、攻撃対象のホスト上でステルス状態を保持しており、おそらくこれによって長期の潜伏が可能となっています。
APT30の主なターゲットは、政府の情報収集要件を満たすと思われる組織です。APT30の攻撃対象は、その大部分が東南アジアに位置しています。そのソーシャル・エンジニアリング活動の大半からは、グループの主な関心事が、地域の政治・軍事・経済に関する問題や領土紛争、そして中国および中国政府の正当性に関するトピックを扱う報道機関・報道関係者にあることがうかがえます。

【プレスリリース】ファイア・アイ、中国を拠点としたサイバー攻撃グループ「APT30」の詳細情報を公開 - INTERNET Watch