Time Table

2023年9月27日、警察庁及び内閣サイバーセキュリティセンター（NISC）は、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに合同でBlackTechに関する脅威への注意を喚起した。BlackTechは2017年頃から日本で攻撃を開始し、DbgPrint（別名WaterbearまたはDeuterbear）といったRATツールを進化させ続けている。BlackTechの攻撃に対抗するため、多くのセキュリティベンダーがこのAPTグループに関連するレポートを公開している。これらのレポートは、マルウェアの挙動に関する詳細を示しており非常に有用であったが、DNS悪用に関しては全く分析されていなかった。APTグループはDNSの挙動に痕跡を残すことが少ないため、セキュリティベンダーはDNS悪用に注意を払う必要がなかったのかもしれない。一方で、われわれは8つのAPTグループにおけるDNS悪用の比較研究を行い、2023年8月以降にDbgPrintに関連するBlackTechの攻撃で独自のサブドメイン悪用を確認した。この活動は興味深いものであったが、1つの疑問が浮かぶ。それは、BlackTechによるサブドメイン悪用が進化したのかということである。 一般的に、防御者がAPTグループの攻撃を検知することは困難である。BlackTechがRATツールを進化させ続ける一方で、このAPTグループはDNSの運用も戦略的に変更してきた。ここでわれわれは、BlackTechがDNSに関連する攻撃インフラの構築効率を優先していることに気付いた。防御者がBlackTechの不意を突くチャンスがあるかもしれない。実際、APTグループは常に気づかれないように万全を期しているわけではない。検出が困難なRATツールよりむしろ、セキュリティベンダーが注目していなかったDNS悪用を検知することの方が有効かもしれない。われわれは、時系列に沿った戦略の変化やAPTグループ間のDNS悪用の違いを詳細に分析し、試行錯誤の結果として脅威インテリジェンス、Passive DNS、WHOISに基づいた分析のノウハウを聴衆に提供する予定である。さらに、APTグループの戦略の変化と違いを検知するために、過去のCODE BLUEで発表した技術も紹介する。