プレスリリース

2023年12月11日
<<報道資料>>
Cyberint Technologies Ltd.

サイバーイント、アジア太平洋地区および日本における政府機関やさまざまな企業セクターを標的にしている「Dark Pink」 APT グループの活発化を報告

インパクトのあるアタックサーフェス管理および脅威インテリジェンスのリーダー企業である Cyberint Technologies Ltd.（本社： 米マサチューセッツ州ボストン、以下：サイバーイント）は、ここ数カ月間、アジア太平洋地域および日本の政府機関を含むさまざまな企業セクターをターゲットに持続的高度標的型攻撃 (APT) 脅威を展開している 「Dark Pink」 という名のサイバー攻撃グループが活発な活動を行っていることを本日発表しました。

別名Saaiwc グループとしても知られる Dark Pink は、ベトナム国家支援の脅威アクターに関連した脅威アクターにも関連していると言われており、2021年半ば頃に攻撃活動を開始し、2022年後半より2023年にかけて更に顕著に活発化しているとサイバーイントは述べています。

サイバーイントのセキュリティ研究者であるAdi Bleih（アディ ブライ） は，次のように述べています。「Dark Pinkの主な目的には、企業スパイ活動や、侵害されたデバイスのマイクを介して音声をキャプチャした文書の盗難、およびメッセージングプラットフォームからのデータの漏洩が含まれます」

サイバーイントの調査によると、Dark Pink は主にアジア太平洋地域を標的にしており、ブルネイ、カンボジア、インドネシア、マレーシア、フィリピン、タイ、ベトナムでは既に被害の報告を受けています。 このサイバー攻撃グループはボスニア・ヘルツェゴビナを含むヨーロッパ諸国にも攻撃を広げ、政府省庁を標的にするまで攻撃範囲を拡大させています。サイバーイントでは、フィリピンを含むこの地域全体にDark Pinkの標的となっている政府機関があることを確認しています。 非政府組織や宗教団体でさえも、APT グループの攻撃から逃れることはできません。

攻撃の種類


Dark Pinkは電子メール、Dropbox などのパブリック クラウド サービス、そして最近では HTTP プロトコルや Webhook サービスの悪用など、データ漏洩にさまざまな手法を使用しています。

「Dark Pinkは、無料のファイル共有サイトに誘導する短縮URLを含むスピアフィッシングメールに依存しています。被害者には、被害者のネットワークに感染するためのファイルを含む ISO イメージをダウンロードするオプションが表示されます」と先述のAdi Bleihは述べています。

Dark Pinkは、TelePowerBot や KamiKakaBot などのカスタム マルウェア ツールを利用し、ISO イメージに埋め込まれ、スピア フィッシング攻撃を通じて配布します。

TelePowerBot は、システムの起動中にスクリプトによって起動するレジストリ・インプラントであり、Telegram チャネルとの接続を確立し、デバイス制御とデータ収集のための PowerShell コマンドを待ちます。TelePowerBot の .NET バージョンである KamiKakaBot は、侵害されたシステムから機密情報を抽出することでスパイ機能を強化します。 どちらのツールも、それぞれ .NET および C/C++ でコード化された情報窃盗ツールである Cucky および Ctealer と並んで、Dark Pink の特殊なツールキットの一部を構成しています。


APTグループの連携


サイバーイントは、Dark Pink と GitHub アカウントとの関連性を明らかにしました。GitHub アカウントには、PowerShell スクリプト、ZIP アーカイブ、カスタム マルウェアが、将来のターゲット デバイスへの展開に備えて保存されています。 これは、Dark Pinkが将来の攻撃に備えて悪意のあるツールやスクリプトを保存し、共有するためにプラットフォームを使用していることを示しています。

「これらの戦術は、Dark Pinkの攻撃の複雑さと適応性を示しています。当グループは防衛インフラを侵害し、標的とするネットワーク上で永続的な存在を確立するためのツールをさまざまなプログラミング言語で作成しています」 とAdi Bleih は述べています。

サイバーイントの監視により、Dark Pink と OCEAN BUFFALO グループ (APT32、OceanLotus、SeaLotus とも呼ばれる) との間の潜在的なつながりが明らかになりました。このグループは、少なくとも 2012 年以来ベトナムを拠点として活動している標的グループです。

セキュリティ上の課題


サイバーイントでは、Dark Pinkのような新興脅威グループがもたらす課題を強調し、進化する多様な脅威に対抗するために世界規模で調整されたセキュリティ対応の必要性を強調しています。このようなグループの背後にある地政学的動機は、複雑な攻撃スタイルや国家間の緊張につながる可能性があります。リスクの高まりは、組織が防御を継続的に適応させる必要性を高めます。

サイバーイントは、Dark Pinkのような新たな攻撃者グループが、テクノロジー、ソフトウェア、製薬、航空宇宙、防衛、自動車、メディア/ゲームなどのさまざまな業界にわたる企業スパイ活動に重大な脅威をもたらしていると警告しています。

「Dark Pinkの主な目的は、知的財産、専有データ、企業秘密を盗むことにあります。これは、悪意あるアクターによるスパイ活動に対して、企業セクターが脆弱であることを表しています」とAdi Bleihは述べています。

また、サイバーイント日本支社カントリーマネージャーの岩崎 公一は、次のように述べています。
「Dark Pinkは2021年半ばにアジア大変用地域で活動を開始し、2022年中盤から後半に掛けて複数の攻撃を成功させており、2023年に入ってもその活動は継続的に行われております。Dark Pinkの主な目的は、知的財産、専有データ、企業秘密を盗むことにあります。2024年度には更に攻撃を増すことを考慮して、日本市場にダメージが出ない様に主要機関や企業を中心に連携を取りながら積極的なサポートを行っていきたいと考えております」

※サイバーイントに関しては、報道資料"Cyberint、フロスト＆サリバン社より、「2023年カンパニー・オブ・ザ・イヤー」（グローバル外部リスク軽減・管理業界）に選ばれる"
（https://prtimes.jp/main/html/rd/p/000000002.000129705.html ）をご参照ください。

サイバーイントについて:


サイバーイントのインパクトのある脅威インテリジェンス・ソリューションは、リアルタイムの脅威インテリジェンスとオーダーメイドのアタックサーフェス（攻撃対象領域）管理を融合し、企業を外部リスクから保護する広範な統合可視性を提供します。

このソリューションは、外部に面するすべてのデジタル資産の自律的な検出とサーフェス、ディープ 、およびダークウェブ・インテリジェンスを活用することで、企業のサイバーセキュリティ・チームは最も関連性の高い既知および未知のデジタル・リスクをより早期に発見できるようになります。

あらゆる主要市場分野のフォーチュン 500リーダー企業を含む世界中のお客様は、フィッシング、詐欺、ランサムウェア、ブランド悪用、データ漏洩、外部脆弱性などを防止、検出、調査、修復するために サイバーイント を活用しており、外部からのサイバー脅威から継続的にかつ確実に保護されています。

アタックサーフェス管理と脅威インテリジェンスを単一のプラットフォームで提供するサイバーイントのアルゴス プラットフォームのユーザーインターフェースの一部　：

[画像1: https://prcdn.freetls.fastly.net/release_image/129705/3/129705-3-a19c9796955474a860682ade1c863ca2-1220x624.png ]



[画像2: https://prcdn.freetls.fastly.net/release_image/129705/3/129705-3-a7339cdd7928c57b587ec22b4ee5bc66-1215x627.png ]




サイバーイントでは現在、お問合せいただいた企業に特化した実環境デモ、PoVを無償にて実施しています。
サイバーイントの詳細情報は、当社Web サイト（ https://cyberint.com/ja/ ）をご覧ください。


本件に関する一般の方のお問い合わせ先：


サイバーイント・テクノロジーズ・リミテッド 日本支社
Tel: 03-3242-3601- / Email：Japan@cyberint.com

本件に関する報道関係の方のお問い合わせ先：


サイバーイント広報事務局（担当：川合）
Tel: 080-4320-6029 / Email：cyberint@ambilogue.com

以上

プレスリリース提供：PR TIMES