APT&標的型攻撃
2021年に観測されたモジュール型ローダ「Buer Loader」キャンペーンの戦術や攻撃活動を解説
本ブログ記事では2021年にトレンドマイクロが観測したモジュール型ローダ「Buer Loader」に関連する攻撃活動やキャンペーンについて概説します。
本ブログ記事では2021年にトレンドマイクロが観測したモジュール型ローダ「Buer Loader」に関連する攻撃活動やキャンペーンについて概説します。詳細はトレンドマイクロの技術論文「An Analysis of Buer Loader(英語)」をご参照ください。Buer Loaderは2019年に非常に競争力のある価格でアンダーグラウンドマーケット(闇市場)に参入したことで知られており、マルウェアをサービスとして提供する「Malware as a Service(MaaS)」の一つです。現在Buer Loaderは十分にその地位を確立し、攻撃者によって積極的に利用され続けているように見えます。
■ 2021年に観測された「Buer Loader」の誘導手口
Buer Loaderはサービスの一部として、C&Cサーバとの通信のやり取りを容易にするためにドメインを設定します。これにより多くの購入者や攻撃者が同じC&C通信を利用することになるため、セキュリティリサーチャはBuer Loaderが関与するキャンペーンをより適切に監視することが可能になります。本記事では、トレンドマイクロが2021年に観測したBuer Loaderキャンペーンに関する特徴的な側面を概説します。
2021年4月に観測されたキャンペーンでは、国際輸送物流会社「DHL社」を騙った出荷通知メールにプログラミング言語「Rust」で書かれた新種のBuer Loaderが添付されていました(図1)。これらの添付ファイルは、Word / Excel文書ファイルのどちらかでした。
図1:DHL社を騙ったマルウェアスパムメールの例
図2に示す攻撃メールには、DHL社を騙った誘導手口と新型コロナウイルス感染症(COVID-19)に便乗した偽情報の2つが組み合わせて用いられています。この攻撃メールは、悪意のある添付ファイルを開くようメール受信者を誘導するために設計されています。さらにこの攻撃メールには、返信しないよう求める文言や、「弊社に登録依頼していない場合は、このメールを無視してください」などという共通の文言が記されていますが、これらは、ユーザにコンテンツの正当性を再認識させるために追加された試みであると考えられます。
図2:DHL社を騙り、かつCOVID-19の影響を引用する誘導手口の例
その後に観測されたキャンペーンでは、COVID-19に便乗した偽情報のみを誘導手口として用いる方向に移行していきました。具体的には、ワクチン接種の結果、医療に関する警告、現在の感染率などに言及したスパムメール内で観測されました。図3に示すように、これらのスパムの多くは文法的に意味をなしておらず、多くのメール受信者に疑心を抱かせる内容となっています。
図3:COVID-19に便乗した誘導手口の例
■ Rustで書かれた新種の「Buer Loader」と署名されたXLLファイル
先ほどご紹介した通り、これらすべてのキャンペーンでは、プログラミング言語「Rust」で書き直されたバージョンのBuer Loaderが用いられています。その目的としては、これらのキャンペーンがRustで書き直されている点を除けば、Buer Loaderのコードはそれほど変更がないことから、C言語版に対する検知機能を陳腐化させるための策略があった為と考えられます。もう1つの興味深い変更点は、署名されたXLLファイル(Excelアドインファイル)が用いられていることです。これはシステム防御を任務とする人々の誤解を誘う効果があります。
これらはすべてBuer Loaderにおける注目すべき変更点ですが、Buer Loaderを高度化させる活動は、初めて闇市場にリリースされて以来継続的に行われています。Buer Loaderは、ランサムウェアファミリ「Ryuk」、バンキングマルウェア / バックドアとして知られる「Wizard Spider(別称「TrickBot」)」、商用のペネトレーションテストツール「Cobalt Strike beacon」などのペイロードを感染システム内に配信するために用いられてきました。
トレンドマイクロの主な目標は、これまでにBuer Loaderキャンペーンで用いられてきたインフラストラクチャ、拡散手法、「技術、手法、手順(Tactics、Techniques、Procedure、TTP)」における重要な変更点を特定することです。トレンドマイクロの技術論文では、まずBuer Loaderに関する時系列データに基づいて注目すべき出来事を振り返りつつ、現在の攻撃活動や検出状況について掘り下げて解説しています。
詳細についてはトレンドマイクロの技術論文「An Analysis of Buer Loader(英語)」をご参照ください。
参考記事:
- 「A Review and Analysis of 2021 Buer Loader Campaigns」
By Trend Micro
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)