The Hacker Newsは8月18日、「China-backed APT41 Hackers Targeted 13 Organisations Worldwide Last Year」において、中国政府が支援するサイバー攻撃グループ「APT41」の2021年の活動に関するGroup-IBのレポートについて伝えた。同レポートによると、APT41は2021年に少なくとも世界中の13の組織を標的としてサイバー攻撃活動を実施、標的には米国、台湾、インド、タイ、中国、香港、モンゴル、インドネシア、ベトナム、バングラデシュ、アイルランド、ブルネイ、およびイギリスに拠点を置く政府および民間組織が含まれていたという。

  • 2021年にAPT41によるサイバー攻撃の標的となったおもな国および産業(引用:Group-IB)

    2021年にAPT41によるサイバー攻撃の標的となったおもな国および産業 引用:Group-IB

APT41は、中国政府が国家的に支援しているとされているサイバー攻撃グループ。WinntiやBarium、Bronze Atlas、Wicked Panda、Blackflyなどの別名でも知られている。2007年頃からその活動が確認されており、金銭目的の活動と並行して、政治的または軍事的な意図を持ったスパイ活動を行っていることが知られている。

Group-IBのレポートでは、2021年に同グループが4つの異なるサイバー攻撃キャンペーンを実施したことが伝えられている。この4つのキャンペーンは、ColunmTK、DelayLinkTK、Mute-Pond、およびGentre-Voiceの名前で呼ばれている。これらのキャンペーンでは、政府機関以外にも、製造やヘルスケア、物流、医療機関、金融、教育、電気通信、コンサルティング、スポーツ、メディア、旅行などといった業界が標的とされており、政治団体や軍事組織、航空会社も含まれていたという。

  • 2021年のAPT41によるサイバー攻撃キャンペーンのタイムライン(引用:Group-IB)

    2021年のAPT41によるサイバー攻撃キャンペーンのタイムライン 引用:Group-IB

主な攻撃手法として、最初にSQLインジェクション攻撃によって標的のネットワークに侵入し、続いてカスタムのCobalt Strike Beaconを配信するという手が用いられたとのこと。特筆すべき点としては、Cobalt Strike BeaconをBase64でエンコードされた複数の文字列ファイルとしてアップロードし、標的のホスト上でファイルにペイロード全体を書き出すという方法が用いられたことが挙げられている。また、脆弱性を検索して悪用するために、AcunetixやNmap、JexBoss、sqlmap、fofa.su(Shodan)などの一般的なツールを使用することも確認された。

Group-IBのレポートでは、各キャンペーンにおける具体的な攻撃手法や使用されたツール、使用されたIPアドレスなどの詳細な情報が掲載されている。