セキュリティ企業のFireEyeは2月20日、北朝鮮のハッカー集団「APT37(Reaper)」に関する報告書を発表した。同集団は日本にも活動範囲を広げ、未解決の脆弱性やマルウェアを駆使するなどの手口を高度化させつつあると伝えている。
FireEyeによると、2018年2月上旬には、当時まだ未解決だったAdobe Flashの脆弱性がAPT37に悪用されていたことが判明した。Adobeはこの問題を修正する臨時アップデートの公開を迫られている。
APT37は主に韓国を標的として、日本やベトナム、中東にも活動範囲を広げ、化学、電子、製造、航空宇宙、自動車、ヘルスケアなど幅広い業界を狙っているという。日本では、国連の対北朝鮮制裁や人権にかかわる機関が標的にされたと報告書では伝えている。
狙った組織に対しては、高度なソーシャルエンジニアリングや戦略的なWeb改ざんなどの手口を使ってマルウェアに感染させていた。Adobe Flashの脆弱性のほか、韓国のワープロソフト「Hangul Word Processor」の脆弱性も頻繁に利用され、未解決の脆弱性も駆使しているという。
制御用インフラには、不正侵入したサーバやメッセージプラットフォーム、クラウドサービスなどを利用して、検出を免れていることも判明。カスタム版のマルウェアを使ってスパイ活動を展開しているほか、情報を消去するなどの破壊活動を行うマルウェアも使っていることが分かったとしている。
FireEyeではそうしたマルウェアの特徴や、北朝鮮の利益に沿った標的が狙われていることから判断して、「APT37の活動は北朝鮮政府のために行われていると確信するに至った」と説明している。