Red Apollo

Red Apollo（または、APT 10（Mandiantによって呼称される）、または、MenuPass（ファイア・アイ)、Stone Panda（Crowdstrike）、POTASSIUM（Microsoftによって呼称される）^[1][2]）は、2006年から活動する中華人民共和国の国家支援を受けたサイバースパイグループである。

Red Apollo

設立地	中華人民共和国
目的	サイバースパイ、サイバー戦争
公用語	中国語
関連組織	中華人民共和国国家安全部 天津市国家安全局（英語版）
特記事項	攻撃方法:ゼロデイ攻撃、フィッシング、バックドア、RAT、キーロガー
かつての呼び名	APT10 Stone Panda MenuPass RedLeaves CVNX POTASSIUM

解説

2018年、アメリカ合衆国司法省は起訴状で当グループを中華人民共和国国家安全部の天津市国家安全局に帰属させている^[3]。

このグループはサイバーセキュリティ企業ファイア・アイによって高度で持続的な脅威に指定されており、航空宇宙、工学、通信企業、および中国が敵対する政府を標的にしていると報告されている。

ファイア・アイは、日本の大学などにおける教育機関の知的財産を標的にしている可能性があり、アメリカと同盟関係にある国の管轄内の教育分野にハッキングを拡大する可能性が高いと言及した^[4]。またファイア・アイは、2009年からこのグループを追跡していたが脅威が低く、よって優先度も低かったとしている^[4]。

戦術

このグループは、リモートアクセス型トロイの木馬を使用し、管理情報技術サービスプロバイダ（MSP）を直接標的としている。MSPの一般的な役割は、企業のコンピュータネットワークの管理の支援であるが、MSPは、スピアフィッシングメールを使用して、Poison Ivy、FakeMicrosoft、PlugX、ArtIEF、Graftor、またはChChesによって頻繁に侵害されている^[5]。

経緯

2014年から2017年 クラウドホッパー作戦

クラウドホッパー作戦は、2017年にイギリス、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、オーストラリアのMSPを標的に大規模攻撃と情報窃取を行った。このグループはMSPを仲介者として、MSPクライアントのエンジニアリング、工業製造、小売、エネルギー、製薬、通信、政府機関から資産と企業秘密情報を窃盗した。

クラウドホッパー作戦では、70種超のバックドア、マルウェア、トロイの木馬 が使用された。これらはスピアフィッシングメールを通じて配信された。攻撃にはタスクのスケジュール、サービスやユーティリティの利用など、コンピュータシステムが再起動されてもMicrosoft Windowsシステムに存続した。システムにアクセスしてデータを盗むために、マルウェアやハッキングツールがインストールされた^[5]。

2016年のアメリカ海軍の人員データ

ハッカーは、330,000人中、130,000人のアメリカ海軍の記録にアクセスした^[6]。これらの行動の下で、アメリカ海軍はサイバー攻撃の前に警告が出されていたが、DXCテクノロジーと調整することを決定した^[7]。影響を受けたすべての兵士は通知を受けることが義務付けられた。

2018年の起訴

2018年の起訴状によれば、CVNXはグループ名ではなく、2人のハッカーのうちの1人の別名であるという証拠が提示され、2人とも、まるで5人以上のハッカーが攻撃したかのように見せる目的でそれぞれ4つの別名が使用されていた。

起訴後の活動

2019年4月にはAPT10として、フィリピンの政府機関及び民間組織を標的にした^[8]。

2020年、シマンテックは日本国内の標的に対する一連の攻撃にRed Apolloが関与していると指摘した^[9]。

2021年3月、バイオテクノロジー企業のバーラト・バイオテック（英語版）と世界最大のワクチンメーカーであるセラム・インスティテュート・オブ・インディアの知的財産を情報窃盗の標的にした^[10]。

2022年2月頃からAPT10（Red Apollo、Cicada）と係わりがあるとされるWitchetty（LookingFrog）がマルウェアに一つであるBackdoor.Stegmapをステガノグラフィーを使ってWindowsロゴに隠し、ディレクトリの作成と削除、実行ファイルのダウンロードと実行、ファイルのコピーと削除、レジストリキーの作成と読み取り、そしてローカルファイルの窃取がペイロードとされる^[11]。

脚注

1. “APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat” (英語). FireEye. 2021年4月28日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
2. Kozy, Adam (2018年8月30日). “Two Birds, One STONE PANDA” (英語). 2021年1月15日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
3. “Two Chinese Hackers Associated With the Ministry of State Security Charged with Global Computer Intrusion Campaigns Targeting Intellectual Property and Confidential Business Information” (英語). アメリカ合衆国司法省 (2018年12月20日). 2021年5月1日時点のオリジナルよりアーカイブ。2021年3月7日閲覧。
4. “APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat « APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat”. FireEye (April 6, 2017). April 28, 2021時点のオリジナルよりアーカイブ。June 30, 2019閲覧。
5. “Operation Cloud Hopper: What You Need to Know - Security News - Trend Micro USA”. trendmicro.com (April 10, 2017). June 30, 2019時点のオリジナルよりアーカイブ。June 30, 2019閲覧。
6. “Chinese hackers allegedly stole data of more than 100,000 US Navy personnel”. MIT Technology Review. 2019年6月18日時点のオリジナルよりアーカイブ。2019年6月30日閲覧。
7. “US Navy Sailor Data 'Accessed by Unknown Individuals'”. bankinfosecurity.com. 2019年6月30日時点のオリジナルよりアーカイブ。2019年7月12日閲覧。
8. Manantan, Mark (September 2019). “The Cyber Dimension of the South China Sea Clashes”. The Diplomat. The Diplomat. オリジナルの17 February 2016時点におけるアーカイブ。. https://web.archive.org/web/20160217194525/http://magazine.thediplomat.com/#/issues/-LnBlVlS_1DsiVyAVtMQ/read 5 September 2019閲覧。
9. “Symantec implicates APT10 in sweeping hacking campaign against Japanese firms”. www.cyberscoop.com. Cyberscoop (17 November 2020). 18 November 2020時点のオリジナルよりアーカイブ。19 November 2020閲覧。
10. N. Das, Krishna (1 March 2021). “Chinese hacking group Red Apollo (APT10) had identified gaps and vulnerabilities in the IT infrastructure and supply chain software of Bharat Biotech and the Serum Institute of India (SII), the world's largest vaccine maker”. ロイター. オリジナルの3 May 2021時点におけるアーカイブ。. https://web.archive.org/web/20210503143320/https://www.reuters.com/article/health-coronavirus-india-china-idUSKCN2AT21O 1 March 2021閲覧。
11. “中国のサイバー攻撃集団APT10がWindowsロゴを悪用した攻撃を継続中”. https://forbesjapan.com/. forbesjapan (05 Octrber 2022). 22 July 2024閲覧。