2023 Activities Summary of SectorB groups (JPN)
SectorB グループの活動
2023年、合計36個のSectorBグループによるハッキング活動が確認された。このグループは世界中をターゲットにして各国の政府機関の政治、外交活動などの政府活動に関した機密情報を収集することを目的としており、それぞれのグループがハッキング活動のためにマルウェアや脆弱性などを共有する傾向が見られている。
2023年の1年間にわたって発生したSectorBグループの活動量を分析した結果、合計36件のサブグループが確認され、最も多く活動を行っていたハッキンググループはSectorB22グループであった。
[図1:2023年に確認されたSectorBグループのサブハッキンググループの活動量]
SectorBグループの主要なターゲットとなった業界を見ると、政府機関に努めている関係者やシステムが最も多く狙われており、次は製造、教育業界の順番に確認されている。
[図 2: 2023年にターゲットとなった業界の統計]
次は2023年SectorBグループのターゲットであった国家の情報を地図に表示したものであり、赤色が濃いほど攻撃の回数が多かったことを示している。
これにより、SectorBグループはアメリカをターゲットにして最も多くのハッキング活動を行ったことを確認することができ、続きは台湾、香港の順番である。
[図 3: 2023年にSectorBグループのターゲットとなった国家]
SectorBグループが活用した最初の侵入経路
2023年に確認されたSectorBグループの最初の侵入経路(Initial Access)の中で、スピアフィッシングを通じて悪性の添付ファイル(Spear phishing Attachment)を配布する 方法が最も多く活用されたことが確認されている。
スピアフィッシング攻撃は特定の個人や組織をターゲットとして行われる社会工学的(Social Engineering)攻撃であり、悪性のリンクを通じてターゲットの資格証明(Credential)を 入力するよう誘導し、さらにターゲットがマルウェアを実行するよう誘導できる。
このグループはターゲットと信頼性のある関係者として偽装し、ターゲットが悪性のリンクまたは添付ファイルを実行するよう誘導し、最初の侵入成功するる可能性が高いため、 最も多くスピアフィッシングを 活用したことが確認されている。
[図 4: SectorBグループが活用した最初の侵入経路(Initial Access)の統計]
SectorBグループが活用した脆弱性
2023年に確認されたSectorBグループが活用した脆弱性トップ5の中、 最も多く確認された脆弱性はCVE-2017-11882(MS Office数式エディターの脆弱性)とCVE-2023-2868(Barracuda Networks ESGアプライアンスの不適切な認証の脆弱性)の脆弱性である。また、SectorBグループはCVE-2017-11882(Microsoft Officeの数式編集モードの脆弱性)を悪用して、悪性の添付ファイルをスピアフィッシングを通じて配布し、ユーザーがファイルを実行するよう誘導し、ターゲットのシステムに追加分のマルウェアをダウンロード及び実行したことが確認されている。
さらに、CVE-2023-2868(Barracuda Networks ESG Applianceの不適切な認証の脆弱性)の脆弱性を悪用してターゲットのシステムをコントロールし、機密情報を奪取したことも確認されている。
[図 5: 2023年 SectorB グループが活用した脆弱性トップ5]
|
脆弱性コード |
脆弱性分類 |
脆弱性対象 |
|
CVE-2017-11882 |
Memory Corruption Vulnerability | Barracuda Networks ESG Appliance |
|
CVE-2023-2868 |
Improper Input Validation Vulnerability |
Microsoft Office |
|
CVE-2018-0798 |
Memory Corruption Vulnerability | Microsoft Office |
| CVE-2018-0802 | Memory Corruption Vulnerability |
Microsoft Office |
| CVE-2021-40539 | Authentication Bypass Vulnerability |
Zoho ManageEngine ADSelfService Plus |
[表1:2023年 SectorB グループが活用した脆弱性トップ5]
SectorBグループのターゲットとなったシステム
脆弱性があるソフトウェアは、サーバー(Server)とクライアント(Client)に分類することができ、ハッキンググループはネットワークの中心に位置し、内部ネットワークへの追加分の攻撃を容易く実行することができるサーバーシステムと関係ある脆弱性を通じてハッキング活動を行った。
2023年に確認されたSectorBグループのターゲットのシステムトップ5の中、 最も多くの攻撃を行ったシステムはMicrosoftビジネス電子メールサービスである”Microsoft Exchange Server”である。これは組織内部のシステムに侵入するための足場を固め、高価の情報を奪取するための目的でサーバータイプのシステムをターゲットとしたものである判断されている。
[図 6: 2023年にSectorBグループによってターゲットとなったシステムトップ5]
SectorBグループが活用したオープンソース及びフリーウェアツール
2023年に確認されたSectorBグループが活用したオープンソース及びフリーウェアツールップ5の中で、最も多く使用されたツールは侵入テストツールとして知られている「コバルトストライク(Cobalt Strike)」である。
コバルトストライク(Cobalt Strike)は、権限の昇格、情報の奪取及びC2通信などの様々な機能が実行できるので、ターゲットを効率的にコントロールできることによってSectorBグループが最も多く利用したことが確認されている。
[図 7: 2023年に SectorBグループが使用したオープンソース及びフリーソフトウェアツールットップ5]
|
ツール名 |
ツール機能 |
|
Cobalt Strike |
侵入テストツール |
|
Mimikatz |
Windowsクレデンシャル情報収集ツール |
|
Impacket |
ネットワークプロトコル関連のPythonクラス |
| Fscan |
ネットワークスキャンツール |
| NbtScan |
ネットバイオスネームサーバースキャンツール |
[表 2: 2023年に SectorBグループが使用したオープンソース及びフリーソフトウェアツールトップ5]
The full report detailing each event together with IoCs (Indicators of Compromise) and recommendations is available to existing NSHC ThreatRecon customers. For more information, please contact service@nshc.net.