【CODE BLUE 2023】チェ・チャン & チャールズ・リー / Che Chang & Charles Li

●Abstract

金儲けかカモフラージュか？ APT41によるランサムウェア活動の解析［ja］

Money Making or Camouflaging? Dissecting APT41's Ransomware Activities［en］

今回はサイバークライムのカテゴリから「金儲けかカモフラージュか？ APT41によるランサムウェア活動の解析」のチェ・チャン氏とチャールズ・リー氏のインタビューをお届けします。

お二人は台湾のセキュリティ企業、TeamT5のメンバー。チャン氏はサイバー脅威インテリジェンスチームのアナリストで、中国の地下市場や影響力工作（インフルエンス・オペレーション）に関する研究を行っています。一方、リー氏は10年以上にわたり、サイバー攻撃とキャンペーンを追跡しており、脆弱性リサーチやリバースエンジニアリングを研究テーマとしているそうです。
講演のテーマは、サイバー脅威アクターであるAPT41の最新動向です。APT41は、中国による支援も取り沙汰されており、2020年に米国政府がメンバーを起訴したことでも知られています。講師のお二人によれば、APT41は、諜報活動に加え、金銭目的のサイバー犯罪にも関与しているといいます。
講演では、2019年以降のAPT41の活動概要を解説するとともに、企業に向けた緩和策なども紹介するそうです。なお、インタビューはお二人を代表してチェ・チャン氏に回答いただきました。

●Bio

チェ・チャン ［ja］

チャールズ・リー［ja］

Che Chang［en］

Charles Li［en］

ｰｰｰ

●Interview

［ja］インタビュー

Q1. 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。

A1. アジア太平洋地域に対する脅威に焦点を当てたサイバー脅威情報を提供する者として、われわれの観測結果を提供できることを光栄に思います。
セキュリティコミュニティは、中国の国家支援アクターがランサムウェア時代にどのように適応しているのか、その詳細をまだ掴んではいません。
2019年以降、APT41はランサムウェアと暗号化ツールを武器庫に加えています。ランサムウェアや商用暗号化手法を含むAPT41の悪意あるキャンペーンを分析することは重要です。

Q2. 研究の過程でどのような点で苦労しましたか?

A2. われわれが直面した課題は、APT41の進化する戦術です。このアクターは非常に活発に活動しており、過去2年間で彼らのキャンペーンを拡大しています。われわれの調査によると、APT41がそのランサムウェアのキャンペーンを拡大していることが判明しました。
いくつかの諜報活動キャンペーンでは、APT41がランサムウェアを使用して悪意のある痕跡を隠し、さらなる調査やアトリビューション（帰属）を妨げることさえ確認されました。
彼らの最新の活動は、このグループが依然として世界中の組織に大きな課題をもたらしていることを証明しています。

Q3. CODE BLUEの参加者、参加を検討している人に向けてメッセージをお願いします。

A3. 先進的な武器庫と戦術を持つAPT41は、中国の国家後援のグループの中で最も実績があり洗練されたものの1つです。APT41はまた、ユニークな脅威グループでもあります。というのも、このグループはサイバー諜報活動と金銭的動機に基づくサイバー犯罪の両方に関与していることが知られており、数十のグローバル企業を標的としています。
われわれは、企業に対して緩和策をアドバイスしています。また、企業がこれまでと同様に活動を継続したり、潜在的なAPT41の攻撃を迅速に検知・対応できるための支援も行っています。

ｰｰｰｰｰ

［en］Interview

Q1. How did you initiate your journey into the topic that you are presenting?

A1. As the cyber threat intelligence provider focusing on the threats against the Asia Pacific region, we are happy to provide our observations. The security community has yet to detail how China's state-sponsored actors adapt in the era of ransomware. Since 2019, APT41 has added ransomware and encryption tools into the arsenal. It is important to analyze APT41's malicious campaigns involving ransomware or commercial encryption methods.

Q2. What were some challenges you faced during this research?

A2.The challenges we faced are APT41's evolving tactics. The actors remain highly operative and have expanded their campaigns over the past two years. Based on our research, we have seen APT41 expand its ransomware campaigns. In some espionage campaigns, we even spotted that APT41 will use the ransomware to cover their malicious trace and hinder further investigation and attribution. Their latest activities prove that the group still poses a significant challenge to organizations worldwide.

Q3. What message would you like to convey to those considering attending this talk?

A3.With advanced arsenals and tactics, APT41 is among the most prolific and sophisticated Chinese state-sponsored groups. APT41 is also a unique threat group since the group has been known to engage in both cyber espionage and financially motivated cybercrime, targeting dozens of global companies. We will give mitigation advice to companies and help them to stay similarly active and vigilant to detect and respond to any potential APT41 attack quickly.