中国のサイバー犯罪組織「APT10」、今度はベトナムやマレーシアの医療関連施設を標的に

　中国のサイバー犯罪組織「APT10」が、マレーシアおよびベトナムなどの東南アジア地域を拠点とする企業・組織に対して新たな攻撃を仕掛けていたことが、カスペルスキーの調査で判明した。

　APT10（別名：MenuPass、StonePanda、ChessMaster、Cloud Hopper、Red Apollo）は、中国政府の支援を受けた中国語話者で構成されるサイバー犯罪組織として知られている。2009年以降、政府および防衛、教育、医療など異なる業界に対して機密情報の窃取を目的とした攻撃を仕掛けてきた。主に「Poison Ivy」「PlugX」「ChChes」「Redleaves」など、複数の種類のリモートアクセスツール（RAT）が攻撃に使用されている。

　日本を標的とした攻撃では、メモリ上で実行されるファイルレスマルウェアのRedleavesとその亜種である「Himawari」や「Lavender」などが、2016年10月から2018年4月まで使用されていた。

　今回、カスペルスキーの調査で観測した攻撃は、2018年10月から12月にマレーシア、2019年2月から5月にベトナムで確認されており、医療関連施設を標的にしている可能性があることが分かった。マレーシアとベトナムの企業・組織を狙った攻撃では、メインに使用するRATをRedleavesから「ANEL」と呼ばれるバックドアに変更していた。

　APT10は攻撃隠ぺいのために、セキュリティ製品やマルウェア解析に対抗する技術を、ANELとそのモジュールに組み込んでいた。例えば、リバースエンジニアリングを妨げる強力な難読化や、DLLサイドローディング、マルウェアのデータ構造の暗号化、C&C（指令）サーバーとの通信には複数の暗号化技術を用いたほか、ファイルレスマルウェアなどを利用している。

　カスペルスキーでは、過去の調査結果とAPT10の攻撃行動パターンにより、同グループが現在も医療・ヘルスケア業界を標的にしていると説明する。