サイバー脅威
ウクライナ危機とサイバー攻撃
今後のウクライナ情勢の緊張に比例して、サイバー攻撃はさらに激しさを増す可能性があります。また、現在ウクライナに対して行われているようなサイバー攻撃の対象地域が拡大する可能性があり、あらゆる地域の人が当事者意識を持ってウクライナで発生していることを知る必要があります。そこで本稿では、CERT-UAが最近レポートしたケースから3ケースをピックアップし、トレンドマイクロの解析・検証を含めてご紹介します。
ウクライナへのロシアによる活動に対して欧米諸国が制裁を科すなど、同地域での緊張が高まっています。物理的な緊張の高まりに呼応する形で、ウクライナに対するサイバー空間での緊張も高まっています。Gamaredon(ガマレドン 別名:ARMAGEDON)のような従来の偵察活動とみられる活動に加え、2022年1月13~14日にかけて実施されたウクライナ国家機関等へのWebサイト改ざんおよびシステム破壊を伴うサイバー攻撃、および2022年2月15日と23日に発生したウクライナ政府機関や銀行へのDDoS攻撃のように、ウクライナのインフラの妨害や、サイバー攻撃自体の誇示を目的としたような活動が短期間にウクライナのCERT(CERT-UA)より報告されています(図1)。これほど短期間に、特定の地域で重大なセキュリティインシデントが立て続くということは、社会情勢との関連性がないと見る方が不自然です。
図1:2022年1月以降に報告されているウクライナでの主なセキュリティインシデント(CERT-UA等の公表内容を整理)
このようなサイバー攻撃は今後の物理的な緊張に比例して、さらに激しさを増す可能性があります。また、現在ウクライナに対して行われているようなサイバー攻撃の対象地域が拡大する可能性や、物理的に離れた地域にも流れ弾が着弾する可能性があり、あらゆる地域の人が当事者意識を持ってウクライナで発生していることを知る必要があります。そこで本稿では、CERT-UAが最近レポートしたケースから3ケースをピックアップし、トレンドマイクロの解析・検証を含めてご紹介します。
1)WhisperGate等を用いた攻撃
CERT-UAの報告によれば、2022年1月13日~14日にかけて、ウクライナ政府機関の約70に及ぶWebサイトがサイバー攻撃を受け、コンテンツの改ざんやシステムの破壊といった被害が発生しました。初期侵入口としてはサプライチェーン攻撃の可能性や、OctoberCMS、Log4jの脆弱性などの悪用の可能性もあるとのことです。また、攻撃を受けた組織の一部ではマルウェアを用いたシステムの破壊も行われました。用いられたマルウェア群の関連を図2に示します。以下で言及するマルウェア名はCERT-UA命名のものです。
図2:WhisperGate等を用いた攻撃の検体関連図
- BootPatch: MBR(Master Boot Record)を破壊してコンピュータを起動不可にするマルウェア
- WhisperGate: ゲーマー向けチャットソフトDiscordで構築されたサーバから追加のペイロードをダウンロードしてロード・実行するマルウェア
- WhisperKill: WhisperGateがダウンロードしたペイロードから得られ、特定の拡張子のファイルを破壊
BootPatchは図3のコードにより、PhysicalDrive0の先頭から512バイト (MBRの領域) に図4のメッセージを表示する小さなシェルコードを書き込みます。
図3:PhysicalDrive0の先頭から512バイトにシェルコードを書き込むコード
図4:BootPatchへ感染しOS起動不能になったPCで表示されるランサムウェアを模したメッセージ
WhisperGateについてはDiscordから次のステージのペイロードをダウンロードし (図5)、データの前後を反転させてDLLとしてロードします。
図5:DiscordからStage3をダウンロードするコード
ロードされたDLLは図6に示す3つのリソースを持っており、そのうち「78c855a088924e92a7f60d661c3d1845」を抽出し、XORにより復号することでさらにDLLを得ます。
図6:Stage3に存在する3つのリソース
こうして得られるDLLにはさらに2つのリソースがあり、それぞれを圧縮データのフォーマットの1つGZIPで解凍の上で実行します。
- AdvancedRun: Cドライブ配下を、Windowsに標準搭載されているアンチウイルスソフトWindows Defenderから除外設定するために使用する正規ツール
- Waqybg: 後述のWhisperKill
WhisperKillは、接続されたドライブを列挙し、その中にあるファイルを列挙し、特定の拡張子 (図7) にマッチする場合にはファイル内容を破壊の上リネームし、最後に終了して自身を削除します。ドライブの列挙においては、A~Zのドライブすべてのドライブに対し、Drive Typeが3(DRIVE_FIXED: 固定ディスク)または4(DRIVE_REMOTE: ネットワークドライブ)の場合は、ドライブ内のファイルの列挙および上書き処理を行います (図8)。
図7:検体内で定義された上書き対象の拡張子リスト
図8:ファイル上書きルーティン
WhisperGate等を用いた攻撃への緩和策
- 権限の最小化:BootPatchは起動に管理者権限が必要であるため、各コンピュータで使用するユーザの権限を最小化することにより被害を低減できる可能性があります。
- OS・各種ソフトウェアを最新の状態に維持:本攻撃の侵入口の可能性として脆弱性が挙げられます。また上述のBootPatchの起動に必要な管理者権限を脆弱性の悪用により得る場合もあります。OS・各種ソフトウェアを最新の状態に維持することで、そのようなリスクを低減できる可能性があります。
- 重要データの安全な場所へのバックアップ:WhisperKillにより破壊されたデータの復旧にはバックアップが必要です。バックアップ先として感染マシンにマウントされているネットワーク共有フォルダを使用していても破壊されます。その他、昨今のランサムウェアの脅威も鑑みると、感染マシンがネットワーク的にアクセスできる場所へのバックアップは危険であり、オフライン・バックアップが望ましいです。
2)SaintBot等を用いた攻撃
当該攻撃は2022年1月、ウクライナ国立医療サービスを詐称して送付された標的型メールを起点として実施されたことが報告されています。メールにはドキュメントファイルと、同一のショートカットファイル2つが添付されており、ショートカットファイルがPowerShellを用いてマルウェア「OutSteel」をダウンロード・実行し、さらにOutSteelがマルウェア「SaintBot」をダウンロード・実行しました。SaintBotの感染を狙う標的型メールについては、2月に入りウクライナ警察を詐称したものも報告されているようです。
SaintBotでは、感染PCのLCID (ロケール情報) がロシア、ウクライナ、ベラルーシ、アルメニア、カザフスタン、モルドバである場合には動作しない仕組みが実装されていました (図9)。この仕組みの意図は不明ですが、標的型メールでは明確にウクライナを狙っていたため、攻撃者のミスによりこの仕組みが混入あるいは残存した可能性があります。
図9:LCIDチェックのルーティン
当該検体はWindows 10から導入されたFodhelperを悪用することでユーザアカウント制御(UAC)のバイパスを試行します。具体的には、図10に示すレジストリエントリを追加した状態でFodhelperを実行することで (図11)、スタートアップフォルダにコピーした自身のコピーを管理者権限で起動します。
図10:Fodhelperを悪用したUACバイパスをするために設定されるレジストリエントリ)
図11:Fodhelperの実行
コールバック時、当該検体は感染コンピュータについての情報を収集し、以下のように並べたうえでXORにより暗号化・BASE64エンコードし、「transfer=」という接頭辞を付与しPOSTリクエストでC&Cに送信します。
- {vol serial hex}___{username}___{product name}___{country}___{architecture (32 or 64)}___{num of monitors}___{processor name}___{memory status}___{display adapter}___{integrity level}___{av product info}
XORのキーとして「THANKS HASHEREZADE」という文字列が使われていました (図12)。
図12:XORのキーとして「THANKS HASHEREZADE」という文字列を使用
当該検体は3つのC&Cサーバを持ちます。
- hxxp://8003659902[.]space/wp-adm/gate.php
- hxxp://smm2021[.]net/wp-adm/gate.php
- hxxp://8003659902[.]site/wp-adm/gate.php
コールバック時のユーザエージェント文字列は以下であり、ロシアの検索エンジン運営企業YandexのWebブラウザを詐称します。
- Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 YaBrowser/18.2.0.284 Yowser/2.5 Safari/537.36
当該検体は表1のバックドアコマンドを持ちます。
表1:SaintBotが持つバックドアコマンド
| ID | 機能 |
| de:regsvr32 | 追加のファイルをC&Cからダウンロードしディスクに保存の上で実行する。ダウンロードしたファイルがexe拡張子を持つ場合は新しいプロセスとして実行し、dll拡張子を持つ場合にはregsvr32を用いて実行、その他の場合にはコマンドプロンプトの引数として実行する。 |
| de:LoadMemory | C&Cから追加のペイロードをダウンロードしてメモリに展開の上、現在のプロセスの新たなスレッドとして実行する。 |
| update | C&Cからダウンロードしたファイルで自身をアップデートする。 |
| uninstall | 自身を終了し削除する。 |
| de:LL | C&Cから追加のDLLをダウンロードしロードする。 |
SaintBot等を用いた攻撃への緩和策
- クライアント PC における PowerShell の利用を制限:当該攻撃ではPowerShellを用いてC&Cからペイロードがダウンロードされます。運用上可能な範囲でPowerShell の無効化、または、PowerShell プロセスからのインターネット通信をパーソナルファイアウォールでブロックすることにより、このような動作を防ぐことができます。
- 権限の最小化:SaintBotはUACバイパスを試みるものの、実行ユーザが管理者権限を持たない限りはそれが成功することはない。
- UAC設定の変更:デフォルトでは「アプリがコンピュータに変更を加えようとする場合のみ通知する」であるが、これを「常に通知する」に引き上げることで、Fodhelper等を用いたUACバイパス試行時もUACの画面が出現し、権限昇格防止や攻撃への気付きにつながる可能性がある。
3)Gamaredonによる攻撃
2013年頃から活動していると言われるGamaredonは、2018年秋頃から活発化し、2019年夏以降はさらに活発化しているとみられ、2020年3月には日本へも「流れ弾」とみられる攻撃の着弾を観測しました。2021年11月、ウクライナ保安庁はGamaredonがロシア連邦保安庁(FSB)に帰属するものと公表しました。その手法の詳細や盗聴音声を公開しましたが、それからもそれ以前と同様の手法での攻撃が継続していることを弊社でも観測しています。攻撃はRemote Template Injectionを引き起こす文書ファイルを添付した標的型メールから始まります。2022年2月1日に観測した攻撃にてダウンロードされた文書テンプレートには難読化されたマクロが含まれ、このマクロは新たに非表示で開かれたWord文書のマクロとして挿入され(~~AddFromString)、マクロ内の「VZ01」関数が実行され(Application.Run "VZ01")、その後閉じられる(Quit)という動作を行いました (図13)。このように別のドキュメントにマクロを注入するという手法は過去にもGamaredonが採用したことがあります。
図13:新たに開くWord文書にVBAコードを注入して実行するコード (赤枠外のコードは動作に関与しないジャンクコード)
新たにデコード・注入されたマクロによりVBScriptが%APPDATA%:define (ADS) にドロップされ (図14)、それを実行するためのスケジュールタスクが登録されます。
図14:ADSにドロップされたVBScript
このスクリプトはC&Cから追加のペイロードをダウンロードし実行するというダウンローダの役割を担っており、その動作は従来からのもの と大差ありません。ユーザエージェント文字列においてC&C通信時の感染PC固有のIDとして送信しつつ、SaintBot同様にYandexブラウザを詐称します。
- Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 YaBrowser/19.7.3.172 Yowser/2.5 Safari/537.36::<%COMPUTERNAME%>_<ボリュームシリアルのHEX>::/.insects/.
追加のペイロードをリクエストするURLは以下の通りです。
- hxxp:///barefooted.cfg<現在時刻 + 1秒> (例:hxxp://10.172.0[.]3/barefooted.cfg2022/02/03%2020:49:31)
上記URLからコンテンツをダウンロードし、レスポンスのコンテンツサイズが16,965バイト以上である場合には%USERPROFILE%\Downloads\demand.exe.tmpとして保存した後に%USERPROFILE%\Downloads\demand.exeにリネームし、実行します。
Gamaredonによる攻撃への緩和策
- メールゲートウェイの強化:メールに添付されたドキュメントファイルにエクスプロイトコードやマクロコードは含まれませんが、メールゲートウェイとサンドボックスを連携させ、添付のドキュメントファイルを動的に検査することで、不審なファイルの侵入を未然にブロックできる可能性があります。
- ウェブゲートウェイの強化:初段のメールの侵入、および添付ファイルの開封後、外部へ文書テンプレート(*.dot)をダウンロードしに行く段階にて、ウェブゲートウェイ製品にてコンテンツフィルタリングやサンドボックス連携にてブロックできる可能性があります。
- パーソナルファイアウォールの機能を利用してwscript.exeを起点とした外部通信を遮断することで、二次検体の取得を阻止できる可能性があります。
その他緩和策
これまで、各攻撃事案、およびそれらに特化した具体的な緩和策をご紹介してきました。ここでは、より多様な攻撃への備えとして望まれる緩和策をご紹介します。
- エンドポイントのセキュリティ製品の設定見直し: 各社のエンドポイント向けセキュリティ製品にはパターンファイルによるウイルス検知以外にも多くの機能が実装されています。それらの機能を、各組織固有の制約下で最大限活用できているかの見直し、およびパターンや各種モジュールが最新の状態であるかの確認を推奨します。
- 感染時の被害最小化: ネットワークセグメントの分離、共有ファイルサーバのアクセス権分離の確認などで、一気にネットワーク越しに侵害が拡大されない対策を推奨します。予めネットワーク遮断手順やサーバ停止手順などを整備し、ドメインコントローラー等のサーバ管理者パスワードの強化し、不必要なポートの開放・不必要なRDP接続許可設定になっていないかの確認を実施しましょう。
- リモート機器・端末状況の確認: ネットワーク/VPN機器の種類やバージョン、設定の確認を推奨します。これらが脆弱な状態で稼働していることにより攻撃の侵入口となった事例が近年増加しています。
- 意図せず外部へ公開状態になっていないか確認: グローバルIPを確認し、VPN/RDP接続が外部から識別可能になっていないか・脆弱性がないかの確認や、意図せず外部IPアドレスが割り当てられているまたは各種端末がないかの確認を推奨します。
- 多層防御: 侵入を前提とした気づける仕組みを複数用意することが大事です。例えば、エンドポイントのセキュリティ製品が停止させられた場合もネットワーク製品で検知するなどが可能になります。重要な情報資産(多くの場合、ファイルサーバ+ADサーバ)へのアクセスまでに複数の壁を用意すると効果的です。
- 攻撃対象領域 (Attack Surface) の最小化: 自社管理が必要なサーバ・情報を減らし、場合によってはクラウドサービス利用を検討することで、攻撃され得る領域を絞ることで、そこにセキュリティ対策を集中できます。
また、上述のようなシステム的な対策だけではなく管理的な対策として、社員の一人一人が以下のような点に常に注意する必要があると考えます。
- メールの添付ファイルを開く際にはメール送信元や件名、本文に不審な点が無いかを確認しましょう
- 添付ファイルの拡張子を確認し、意図したファイル形式であることを確認しましょう
- 添付ファイルがMicrosoft Office系ファイルでマクロが含まれる場合、それを不用意に有効化してはいけません※特に本文内にてマクロの有効化を促す記載のあるもの、本文が画像になっているもの、本文が無いものには注意
- メール内のリンクをクリックする際は、ドメイン名の微妙な違いにより詐称されていないかを確認しましょう (例:trendmicro.com→trendmicr0.com)
- 個人のメールについても攻撃のターゲットになる可能性があるため、上記と同様の点について注意しましょう
最後に
現在のような緊張状態下においては、それぞれ対立する立場からの情報発信がなされ、同じ事実を正しく伝えていても観点の相違により、異なった印象を与える情報になり得ます。また、意図のあるなしにか関わらず、事実と異なる情報が発せられている可能性もあります。このような情報に私たち一般市民が踊らされると、無用な混乱や分断を生み、さらなる悲劇を生むことに繋がりかねません。以下は、情報を出来る限り正しく把握するために弊社のリサーチャーが日々意識していることの例です。
- 自分の中の“真実”に思い込み (バイアス)・間違えがある可能性を常に意識する
- 自分がプロパガンダの対象になっている可能性があると意識する
- 完全に中立公平な情報源は存在しないと認識する
- 情報内に「事実」と筆者の「意見」・「推測」が混在するかをチェックする
- 可能な限り重要情報は一次情報源をたどる(例:引用記事である場合はソース記事を確認する、大統領等の要人の発言は全内容を確認する)
- 出来る限り信頼できる情報源(複数人のチェックを経てリリースされている記事、その道の専門家が執筆した記事)を参照する
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
調査・執筆:サイバーセキュリティ・イノベーション研究所 スレット・インテリジェンス・センター 加唐 寛征