Daggerfly APT グループ: 国家支援によるサイバースパイ活動の一端
サイバー脅威の世界は絶えず進化しており、この闇の領域における主要なプレイヤーの 1 つが、Daggerfly Advanced Persistent Threat (APT) グループです。別名 Bronze Highland や Evasive Panda としても知られる Daggerfly は、その高度なサイバースパイ活動で注目を集めています。北京と提携しているこのハッキング集団は、諜報収集に重点を置き、NGO やさまざまな大陸のさまざまな機関を含む幅広い組織を標的にしてきた歴史があります。
Table of Contents
Daggerfly APT グループとは何ですか?
Daggerfly は少なくとも 2012 年から活動しており、サイバースパイ活動に対する執拗で適応力のあるアプローチで悪名を馳せています。このグループは国家の利益と目的に沿って、国家の支援の下で活動していると考えられています。Daggerfly の活動の主な焦点は情報収集であり、北京にとって戦略的に重要な分野や地域を標的にすることが多かったです。
活動と戦術
シマンテックの脅威ハンターチームによる暴露の 1 つでは、Daggerfly が台湾の組織と中国に拠点を置く米国の NGO を標的にしていたことが強調されました。このグループは、これらの組織に侵入するためにアップグレードされた一連のマルウェア ツールを使用し、戦術を迅速に適応および進化させる能力を示しました。このキャンペーンの注目すべき点は、Apache HTTP サーバーの脆弱性を悪用して、柔軟性と情報収集能力で知られるモジュール フレームワークである MgBot マルウェアを配信したことです。
アーセナル: MgBot、MACMA、Nightdoor
Daggerfly のツールキットは多様かつ洗練されています。彼らの活動の中心は、アフリカの通信サービス プロバイダーを狙ったものを含むさまざまなキャンペーンで使用されているモジュール フレームワークである MgBot マルウェアです。MgBot はカスタマイズと更新が迅速に行えることで知られており、このためグループは、露出した場合でも最小限の混乱でスパイ活動を継続できます。
Daggerfly に関連するもう 1 つの重要なマルウェアは MACMA で、これは 2021 年に Google の脅威分析グループによって初めて特定されました。MACMA は当初、香港のユーザーを標的としたウォーターホール型攻撃で使用され、機密情報を収集し、任意のコマンドを実行することができます。MACMA と Daggerfly の関係は、ソース コードの重複と共通のコマンド アンド コントロール インフラストラクチャを通じて確立されました。
これらに加えて、Daggerfly は、コマンド アンド コントロール通信に Google Drive API を活用するマルウェア インプラントである Nightdoor (NetMM および Suzafk とも呼ばれる) も展開しています。このツールは、少なくとも 2023 年 9 月以降、チベットのユーザーを標的とした水飲み場型攻撃に使用されており、このグループの多様なターゲット環境と多用途のマルウェア開発能力を反映しています。
ダガーフライに対する防御対策
Daggerfly APT グループの洗練性と適応性を考えると、このような脅威から保護するには多面的なアプローチが必要です。システムを保護するための重要な戦略をいくつか紹介します。
1.定期的なソフトウェア更新とパッチ管理
すべてのソフトウェア、特に Web サーバーやブラウザーなどの重要なアプリケーションが、最新バージョンに定期的に更新されていることを確認してください。セキュリティ パッチを速やかに適用すると、Daggerfly などのグループが悪用する可能性のある脆弱性を解消できます。
2.ネットワークのセグメンテーションと最小権限
組織内でのマルウェアの拡散を制限するために、ネットワーク セグメンテーションを実装します。また、最小権限の原則を遵守し、ユーザーとシステムが機能に必要なアクセス権のみを持つようにします。
3.高度な脅威検出と対応
機械学習と行動分析を使用して疑わしいアクティビティを識別し、対応する高度な脅威検出システムを導入します。これらのシステムは、潜在的な脅威に対する早期警告と自動応答を提供できます。
4.定期的なセキュリティ監査と侵入テスト
定期的なセキュリティ監査と侵入テストを実施して、脆弱性を特定し、修正します。このプロアクティブなアプローチは、セキュリティを強化し、潜在的な攻撃に備えるのに役立ちます。
5.ユーザー教育と意識向上
フィッシングやその他のソーシャル エンジニアリング攻撃のリスクと、マルウェア配信の一般的なベクトルについてユーザーを教育します。定期的なトレーニング セッションと意識向上プログラムにより、攻撃が成功する可能性を大幅に減らすことができます。
最終的な考え
Daggerfly APT グループは、現代のサイバースパイ活動の高度で執拗な性質を体現しています。彼らの戦術について常に情報を入手し、堅牢なセキュリティ対策を実施することで、組織はこのような高度な脅威からより効果的に身を守ることができます。サイバー脅威の状況を理解し、セキュリティ プロトコルを継続的に強化することは、機密情報を保護し、デジタルの完全性を維持するための継続的な戦いにおいて重要です。
