2023 Activities Summary of SectorC groups (JPN)
SectorC グループの活動
2023年、合計12個のSectorCグループによるハッキング活動が確認された。このグループはハッキンググループを支援する国家及びその隣国を含む世界中の諸国をターゲットに、各国の政府機関の政治、外交活動などの政府活動に関した機密情報を収集することを目的としていると分析されている。
2023年の1年間にわたって発生したSectorCグループの活動量を分析した結果、合計12件のサブグループ確認され、 最も多く活動を行っていたハッキンググループはSectorC08グループであった。
[図 1: 2023年に確認されたSectorCグループのサブハッキンググループの活動量]
SectorCグループによって ターゲットとなった主要な業界を見ると、政府機関や国防関係の業界に努めている関係者やシステムが最も多く狙われていたことがわかった。
[図 2: 2023年にターゲットとなった業界の統計]
次は2023年SectorCグループのターゲットであった国家の情報を地図に表示したものであり、赤色が濃いほど攻撃の回数が多かったことを示している。
これにより、SectorCグループはろしあの国境と隣接しているウクライナやアメリカをターゲットにして、多数のハッキング活動を行ったことが確認できる。
特に主要なとなったウクライナの場合、SectorCグループを支援するロシアの攻撃により、ウクライナの主要なシステムを無力化したり、軍事技術情報を含む機密情報を奪取するために大規模のハッキング活動を並行して行われていると判断。
[図 3: 2023年にSectorCグループのターゲットとなった国家]
SectorCグループが活用した最初の侵入経路
2023年に確認されたSectorCグループの最初の侵入経路(Initial Access)の中で、スピアフィッシングを通じて悪性の添付ファイル(Spear phishing Attachment)を配布する 方法が最も多く活用されたことが確認されている。
スピアフィッシング攻撃は特定の個人や組織をターゲットとして行われる社会工学的(Social Engineering)攻撃であり、悪性のリンクを通じてターゲットの資格証明(Credential)を 入力するよう誘導し、さらにターゲットがマルウェアを実行するよう誘導できる。このグループはターゲットと信頼性のある関係者として偽装し、ターゲットが悪性のリンクまたは添付ファイルを実行するよう誘導し、最初の侵入成功するる可能性が高いため、 最も多くスピアフィッシングを 活用したことが確認されている。
[図 4: SectorCグループが活用した最初の侵入経路(Initial Access)の統計]
SectorCグループが活用した脆弱性
2023年に確認されたSectorCグループが活用した脆弱性トップ5の中、 最も多く確認された脆弱性はCVE-2023-23397(Microsoft Outlook権限昇格の脆弱性)である。このグループはMicrosoft Outlookの資格証明を奪取するためにCVE-2023-23397脆弱性を悪用したことがわかった。
[図 5: 2023年 SectorC グループが活用した脆弱性トップ5]
|
脆弱性コード |
脆弱性分類 |
脆弱性対象 |
|
CVE-2023-23397 |
Privilege Escalation Vulnerability |
Microsoft Office Outlook |
|
CVE-2023-38831 |
Code Execution Vulnerability |
RARLAB WinRAR |
|
CVE-2017-11882 |
Memory Corruption Vulnerability |
Microsoft Office |
|
CVE-2020-35730 |
Cross-Site Scripting (XSS) Vulnerability |
Roundcube Webmail |
|
CVE-2021-44026 |
SQL Injection Vulnerability |
Roundcube Webmail |
[表1:2023年 SectorC グループが活用した脆弱性トップ5]
SectorCグループのターゲットとなったシステム
脆弱性があるソフトウェアは、サーバー(Server)とクライアント(Client)に分類することができ、ハッキンググループはネットワークの中心に位置し、内部ネットワークへの追加分の攻撃を容易く実行することができるサーバーシステムと関係ある脆弱性を通じてハッキング活動を行った。
2023年に確認されたSectorCグループのターゲットのシステムトップ5の中、 最も多く攻撃を行ったシステムは「Microsoft Office」であり、このグループはスピアフィッシングを通じて添付したファイルをターゲットがクリックするよう誘導し、ターゲットにマルウェアを配布してデータを奪取するためにクライアントソフトウェアの脆弱性を悪用したことがわかった。
[図 6: 2023年にSectorCグループによってターゲットとなったシステムトップ5]
SectorCグループが活用したオープンソース及びフリーウェアツール
2023年に確認されたSectorCグループが活用したオープンソース及びフリーウェアツールップ5の中で、最も多く使用されたツールはメッセンジャーアプリケーションとして使用されているTelegramである。このグループはTelegramを利用して奪取したデータをTelegramチャンネルに送信したり、Telegram APIを通じてターゲットのシステムをコントロールする目的で活用されたことがわかった。
[図 7: 2023年に SectorCグループが使用したオープンソース及びフリーソフトウェアツールトップ5]
|
ツール名 |
ツール機能 |
|
Telegram |
メッセンジャープログラム |
|
DropBox |
クラウドストレージ |
|
UltraVNC |
リモートコントロールツール |
|
OneDrive |
クラウドストレージ |
| Notion |
プロジェクト管理ソフトウェア |
[表 2: 2023年に SectorCグループが使用したオープンソース及びフリーソフトウェアツールトップ5]
The full report detailing each event together with IoCs (Indicators of Compromise) and recommendations is available to existing NSHC ThreatRecon customers. For more information, please contact service@nshc.net.