APT&標的型攻撃
サイバー攻撃集団「TICK」による「Operation ENDTRADE」
トレンドマイクロは2008年以来、サイバー攻撃集団「TICK(別名:BRONZE BUTLER、またはREDBALDKNIGHT)」を追跡調査しています。TICKは、高い価値を持つと見なす個人や組織を狙い、組織的かつ持続的な諜報活動を行うサイバー攻撃集団です。2018年11月に入り、彼らのマルウェア開発頻度とその配備が異常に増えていることを検知しました。
トレンドマイクロは2008年以来、サイバー攻撃集団「TICK(別名:BRONZE BUTLER、またはREDBALDKNIGHT)」を追跡調査しています。2018年11月に入り、彼らのマルウェア開発頻度とその配備が異常に増えていることを検知しました。TICKは、過去に利用したマルウェアに変更を加え検出回避を試みた上に、侵入時の検出回避を試行する新しいマルウェア、そして侵入後の攻撃と情報収集のために管理者権限昇格が可能な新しいマルウェアをも開発していることが確認されました。また、TICKは、正規のEメールアカウントと認証情報を利用してマルウェアを配信し、日本に本社を置き中国に子会社を持つ、防衛、航空宇宙、化学、衛星などの高度な機密情報を有する複数の組織に焦点を絞っています。弊社では、このTICKによる攻撃キャンペーンを「Operation ENDTRADE(エンドトレード作戦)」と名付け、確認した内容をリサーチペーパー「Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data(英語情報)」にまとめ、詳細を報告しています。 なお、このリサーチペーパーは、2019年11月27日にオーストリアのウィーンで開催されたセキュリティカンファレンス「DeepINTEL 2019」にて発表されました。
■ターゲットを絞りマルウェアを配信
図1:「エンドトレード作戦」で利用されたマルウェア
TICKは2019年1月、攻撃の第一歩として日本のある経済調査会社とPR会社に侵入、Eメール認証情報とおとり文書となるファイルを窃取するなどして「調査」を行っていました。窃取したEメールアドレスは、標的組織の従業員にマルウェアの埋め込まれた添付ファイルを開封させるよう誘導する標的型メール(スピアフィッシングメール)の送信元として利用されていました。マルウェアが埋め込まれた添付文書は、日本語または中国語に精通し、中国経済に関心を持つ個人や企業を対象として作成されていました。利用されたEメールには以下の特徴が見られました。
- 認証情報が窃取された正規のEメールアカウントから送信されていた
- メール受信者を欺いて添付ファイルを開封させるために、正規文書を模して作成されていた
- 「昇給」や「求人」に関連した件名、または米中貿易協議など中国の経済情勢に関連する件名が用いられていた
図2:巧みな日本語で書かれた標的型メールの例
確認されたマルウェアにハードコードされていた言語などから、TICKが中国に子会社を持つ日本の組織を侵入の足がかりとして狙う様子がうかがえました。マルウェアには、日本語を参照するコードページ932、および簡体字中国語を参照するコードページ936 がハードコードされていました。さらに、中国の子会社で感染したデスクトップコンピュータの共有フォルダから悪意ある実行ファイルの転送が成功し、そのファイルを日本の従業員が実行したことも確認されました。
図3:言語のコードページ
2018年以前にも防衛、航空宇宙、化学、衛星産業へのTICKによる侵入は多数確認されていましたが、さらなる解析から、初期のエンドトレード作戦の主な標的の一つは防衛分野であることが明らかになりました。トレンドマイクロは、該当地域におけるインシデント対応の支援期間中に、エンドトレード作戦における標的のネットワークから軍事関連文書を窃取しようとしていることを発見しました。しかしその後、5月中旬までには化学産業に注意を向けるようになったことから、エンドトレード作戦の背後にいる組織の目的が、軍事機密の窃取と先端技術情報の窃取という異なる2つの目的を有していることを示唆していると言えます。
■利用されたマルウェアの解析
エンドトレード作戦の調査結果には、調整された新しいマルウェアの挙動についてもいくつか記載されています。なお、作戦名「エンドトレードは、彼らのプログラムデータベース(PDB)ファイルに確認される特徴的な文字列から名付けたものです。エンドトレード作戦での利用が確認されたトロイの木馬型マルウェア、ダウンローダ各種、修正されたツールの全リストおよび解析詳細については、こちらをご覧ください。
図4:エンドトレード作戦での利用が確認されたマルウェア
DATPER(ダットパー)
このバックドア型マルウェアはTICKが用いる特徴的なマルウェアとして知られていますが、今回のキャンペーンで確認された亜種には、感染コンピュータから情報を収集する「d0ftyzxcdrfdqwe」と「*&Hjgfc49gna-2-tjb」の2つの変更されたmutexが確認されました。さらに最新の亜種は、ウイルス対策製品によるパターン検出を回避できる新しいパラメータの書式を備えており、目的に合わせたマルウェアの挙動の変更を容易にしていると見られます。
図5:個別のパラメータを持つDATPERの新しいmutex
down_new(ダウンニュー)
このマルウェアは、図4に示すbuild_downerおよびSnakeの機能を統合・改良したものと考えられます。過去に利用された、それぞれ異なるマルウェアに確認できる以下のような特徴を追加しています。
- レジストリに自動実行機能を追加する
- MACアドレスとボリューム情報を取得してコマンド&コントロール(C&C)サーバに送信する
- 攻撃対象の勤務時間中にのみ実行される(「kernel32.GetLocalTime API」を使用し8:00 AMから6:00PMまでに設定)
- AES暗号化およびBase64エンコード方式を使用して、コールバックのメッセージを暗号化する
- 正当なWebサイトをC&Cサーバとして利用する
- ウイルス対策製品とプロセスを検出する
図6:down_newのコマンド関数を示すコード
| コマンド | 内容 | サブコマンド | 内容 |
| C | シェルを開く | ||
| システム ディレクトリを列挙 | R | ディレクトリを再帰的に列挙 | |
| B | ファイル名を強制表示 | ||
| L | 長形式で列挙 | ||
| S | システムにインストールされているアプリケーションをチェック | ||
| G | 現在のプロセスを列挙 | ||
| U | インターネットから ファイルをダウンロード | ||
| M | スリープ |
down_newを調査したところ、コールバックの情報が特徴的でした。HTTPポストヘッダがマルウェアにハードコードされており、感染コンピュータ内の特定の情報を収集してユーザのIDを特定します。
図7:自宅の電話データとURLパスを収集するdown_new
Avenger(アベンジャー)
解析の結果から、ダウンローダ型マルウェア「Avenger」には攻撃対象に応じて選択される、多くの亜種とバージョンがあることが確認されました。たとえば、ある亜種は自動実行機能を備えており、他の亜種はシステム感染時にスリープモードを実行する機能を備えるといった具合です。このダウンローダには3つの段階が存在することが確認されました。 1.感染コンピュータからボリューム情報、ウイルス対策製品、OSビットバージョンを収集し、C&Cサーバに送信して、感染コンピュータが攻撃を意図していたコンピュータであることを確認します。
図8:第1段階で実行される情報収集
2.感染コンピュータをC&Cサーバと照会して一致するかどうかを確認します。Avengerは、感染コンピュータのフォルダ、ファイル、ドメイン情報を閲覧することにより、詳細な情報を収集します。
図9:第2段階では、収集された情報が.txtファイルに書き込まれる
3.感染コンピュータが照会の結果存在しない場合、Avengerはステガノグラフィの手法でマルウェアが埋め込まれた画像をダウンロードし、バックドア型マルウェアを展開します。
図10:第3段階では、暗号化されたファイルをC&Cサーバに送信する
ステガノグラフィはTICKの用いるマルウェアの一部として過去から利用されてきましたが、今回の攻撃キャンペーンでは、さらに洗練されたステガノグラフィの手法を利用していることが確認されました。
図11:ステガノグラフィの画像ファイル内に確認されたバックドア型マルウェア
図12:改良されているステガノグラフィの手法
トレンドマイクロは、より確実なコード構造と内部IPテストURLを備えたAvengerの新バージョン(PDB文字列から「Avenger2」と名付けられている)を確認しました。しかし、他の残りのコンポーネントについては従来のバージョンとほとんど差がありませんでした。
図13:内部URLが含まれているAvenger2
Casper(キャスパー)
Casperは商用の多機能ペネトレーションテスト・ツールである「Cobalt Strike」の修正版バックドア型マルウェアです。このことは、Cobalt Strikeコントローラを用いてCasperのC&Cサーバに接続すると、図14に示すフィンガープリントが表示されることからも分かります。
図14: Casper のC&Cサーバのフィンガープリント
このバックドア型マルウェアは通常、ステガノグラフィの画像に隠蔽されており、複数の手法とツールを駆使してウイルス対策製品による検出を回避します。ある手法では、ダイナミックリンクライブラリ(DLL)サイドローディングの手法を利用し、正規のWindowsアプリケーションと同時に自身を起動します。別の方法では、バックドア型マルウェアのシェルコードをsvchost.exeに挿入します。
図15:svchost.exeに挿入されたシェルコード
■公開されているRATと修正したツールを利用
調査の結果から、TICKは一般に公開されている「Remote Access Tool(RAT)」と他のオープンソースツールに変更を加えて利用するか、あるいは自身のマルウェアに取り込んでいることを確認しました。たとえば、GitHubで公開されているRAT「Lilith」 をカスタマイズして独自のバックドアに実装しています。TICKが利用しているツールには、Mimikatz、RAR圧縮ツール、ポートマッピングツールの改変版や、過去に利用したスクリーンキャプチャツールが含まれます。
図16:スクリーンキャプチャツール
図17:改変されたMimikatz
■被害に遭わないためには
TICKは、高い価値を持つと見なす個人や組織を狙い、組織的かつ持続的な諜報活動を行うサイバー攻撃集団です。そして、高度な攻撃を実行するために必要なスキルとリソースを備えています。 エンドトレード作戦の事例は、世界各国の重要なインフラストラクチャおよび多国籍企業において、強力な監視システムの必要性を強調するだけでなく、より確実な組織内の指揮命令系統と、冗長性を持たせたセキュリティポリシーの確立の重要性も際立たせています。執拗な攻撃集団はこれからも企業を標的とし、不正に侵入する足掛かりとなるセキュリティの弱点を探します。外国に子会社を持つ企業や組織においては、セキュリティのプロセスおよびポリシーの管理・導入が容易でない場合があり、そのために監視、分離、調査、インシデント対応、復旧を困難にすることがあります。加えて、従業員のセキュリティ意識の強化は、適切なセキュリティ対策が定期的に運用されるために依然として重要な点です。
■トレンドマイクロの対策
トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処できます。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しでエンドトレード作戦で実行されたような攻撃を検知します。統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、仮想パッチ機能によって、更新プログラムが配信されていない脆弱性を狙う攻撃からエンドポイントを防御します。「Trend Micro Apex One™」は、更新プログラム適用前であっても既知および未知の脆弱性からエンドポイントを防御します。トレンドマイクロ製品に組み込まれたクロスジェネレーション(XGen)セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くことによって個人情報を窃取あるいは暗号化する今日の目的に特化した脅威からユーザを保護します。 このキャンペーンの調査によって確認されたすべてのマルウェア、手法、ツール、MITRE ATT&CK、Indicators of Compromise(侵入の痕跡、IoC)の詳細については、リサーチペーパー「Operation ENDTRADE:TICK's Multi-Stage Backdoors Attacking Industries and Stealing Classified(英語情報)」をダウンロードしてください。
【更新情報】
| 2019/12/17 17:27 | タイトルの一部を更新しました。 |
参考記事:
- 「Operation ENDTRADE: Finding Multi-Stage Backdoors that TICK」 by Joey Chen, Hiroyuki Kakara and Masaoki Shoji
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)