APT&標的型攻撃
主に東南アジアを狙う攻撃者「Earth Baku」、使用する攻撃ツールおよび「APT41」との関連を解説
トレンドマイクロは、主に東南アジアにおいて実行された一連の標的型攻撃を発見し、「Earth Baku」と命名しました。そして更なる調査の結果、Earth Bakuと既存の攻撃者「APT41」との関連を発見しました。APT41は2012年頃から存在しているとされる攻撃者であり、過去には諜報活動のほか、ランサムウェアや暗号資産採掘ツール(コインマイナー)を用いた不正マイニングなどの攻撃活動を数多く実行しています。
トレンドマイクロは、主に東南アジアにおいて実行された一連の標的型攻撃を発見し、「Earth Baku」と命名しました。そして更なる調査の結果、Earth Bakuと既存の攻撃者「APT41」との関連を発見しました。APT41は2012年頃から存在しているとされる攻撃者であり、過去には諜報活動のほか、ランサムウェアや暗号資産採掘ツール(コインマイナー)を用いた不正マイニングなどの攻撃活動を数多く実行しています。
Earth Bakuの攻撃キャンペーンは2020年7月から継続的に展開されており、さまざまな脆弱性攻撃ツール、あるいは標的組織やユーザが利用するITインフラに基づいて設計された複数の攻撃経路を通じて標的システムへの侵入を試みます。具体的には、以下のような手法で侵入を試みます。
- 悪意のあるファイルをアップロードするためのSQLインジェクション
- スケジュールタスクを用いたインストーラアプリケーション「InstallUtil.exe」によるペイロードのインストール
- 悪意のあるショートカット(LNK)ファイルが添付された電子メールによる拡散
- Microsoft Exchange Serverにおけるリモートでコードを実行される脆弱性「CVE-2021-26855」(ProxyLogon)を悪用してWebシェル「China Chopper」のアップロード
このキャンペーンでは、新種のシェルコードローダ(トレンドマイクロ製品では「StealthVector」および「StealthMutant」の検出名で検出)およびバックドア型マルウェア(同「ScrambleCross」)が使用されています。Earth Bakuは、これらの新たなマルウェアを独自に開発し、インド太平洋地域に所在する特定の産業に従事する公的機関や民間企業を対象に標的型攻撃を行っているものと考えられます。当該調査時点では、インド、インドネシア、マレーシア、フィリピン、台湾、ベトナムでの攻撃活動が確認されています。
図1:Earth Bakuキャンペーンの標的国
トレンドマイクロのクラウド型セキュリティ技術基盤
「Smart Protection Network(SPN)」のデータに基づく
■ シェルコードローダ「StealthVector」
トレンドマイクロは2020年10月、C / C++言語で書かれたシェルコードローダであるStealthVectorを最初に発見しました。StealthVectorは、攻撃者の必要に応じて様々な設定を変更できる機能を備えています。これらの機能の中には、Event Tracing for Windows(ETW、アプリケーションやシステムにより発生したイベントを記録する機能)を無効化する機能も含まれており、このマルウェアをステルスモードで実行できるようにします。さらにStealthVectorは、CreateThread関数の使用、Microsoftの制御フローガード(CFG)の回避、Module Stomping(モジュールストンピング)と呼ばれる手法を用いたシェルコードの実行や、Phantom DLL Hollowing(ファントムDLLハロウイング)と呼ばれる手法を用いたプロセスインジェクションなど、さまざまな方法を用いてペイロードを密かに実行することができます。
■シェルコードローダ「StealthMutant」
StealthMutantはC#で書かれたシェルローダで、StealthVectorと同様に32bitおよび64bitの両方のOSをサポートするEvent Tracing for Windowsを無効化することができます。StealthMutantは、少なくとも2020年7月から攻撃者によって使用されています。トレンドマイクロが解析したStealthMutantの多くは、復号の際にAES-256-ECBを使用しますが、StealthMutantの初期の亜種は排他的論理和(XOR)方式を使用することがわかっています。StealthMutantはペイロードが復号されると、リモートプロセス上でペイロードを実行するためにプロセスハロウイングを実行します。プロセスハロウイング(Process Hollowing)とは、正規プロセスの中身を悪意のあるコードに置き換えて不正活動の実行や検出回避を試みる攻撃手口のことです。
■バックドア「ScrambleCross」
StealthMutantおよびStealthVectorのペイロードには、商用のペネトレーションテストツール「Cobalt Strike beacon」、あるいは、新たに発見されたバックドア「ScrambleCross」が含まれています(図2)。ScrambleCrossは、コマンド&コントロール(C&C)サーバからの指令を受け、プラグインの受信や操作を行います。当該調査時点では、これらのプラグインをC&Cサーバから取得することができませんでした。ScrambleCrossはAPT41が過去に使用していた別種のバックドア「Crosswalk」と同じ機能を数多く備えています。例えば、どちらのバックドアもデバッグ検知技術としてコード部分のハッシュを計算したり、完全な位置独立コード(=シェルコード)として設計されているほか、様々な種類のネットワーク通信プロトコルをサポートしています。
■他のキャンペーンとの関連性
セキュリティベンダ「FireEye」や「Positive Technologies」が報告しているように、近年のAPT41の攻撃活動は、少なくとも2018年11月から活動している以前のキャンペーンとの関連性が指摘されています(図2)。APT41の以前のキャンペーンでは、弊社が「LavagokLdr」と命名した別のシェルコードローダが使用されていました。そしてこのLavagokLdrとEarth Bakuが使用するStealthVectorの間には類似したコードや手順が見つかっています。同様に、LavagokLdrのペイロードであるCrosswalkと、StealthVectorのペイロードの1つであるScrambleCrossが、復号時および署名検証時に類似した技術を実行することもわかっています。これらのことからEarth BakuはAPT41と関連、もしくはその一部である可能性が推測されます。ただしEarth Bakuの攻撃では、StealthVector、StealthMutant、ScrambleCrossを用いた攻撃ツールセットが更新されていることから、トレンドマイクロではEarth Bakuの攻撃はこれまでとは異なる新たなキャンペーンであるものとして認識しています。
図2: APT41とEarth Bakuが使用した攻撃ツールの時系列表
■Earth Bakuが採用する攻撃ツール
APT41は、独自に開発したツールを使用することで知られており、これを継続させるために多様なスキルを持つ攻撃者を仲間に加えているように見受けられます。興味深いことに、Earth Bakuのキャンペーンで使用された新たな攻撃ツールの特徴からは、低級言語や複雑なソフトウェア開発に関する知識を持つメンバーに加え、レッドチームのような攻撃技術にも特化したメンバーを採用した可能性が推測されます。
Earth Bakuキャンペーンの詳細については、以下のリサーチペーパーを参照ください:
参考記事:
- 「APT41 Resurfaces as Earth Baku With New Cyberespionage Campaign」
by Hara Hiroaki, Ted Lee
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)