APT&標的型攻撃
標的型サイバー攻撃者集団「Earth Karkaddan」が用いる攻撃手口を解説
トレンドマイクロは2021年後半に、Earth Karkaddanグループが好んで用いたWindows端末用マルウェア「Crimson RAT」と設計が酷似しているAndroid端末用マルウェア「CapraRAT」を同グループが使用していることを突き止めました。
「APT36(別称:Earth Karkaddan)」は、政治的な動機により標的型サイバー攻撃を行う犯罪者グループであり、トレンドマイクロは以前にも同グループがインド軍高官や在外公館をターゲットにしていたことを観測し、本ブログで解説しました。このグループ(C-Major作戦、ProjectM、Mythic Leopard、Transparent Tribeとも呼称される)は、ソーシャルエンジニアリングの手法やフィッシングメールを介した誘導手口をエントリポイント(侵入口)として用いることで知られており、侵入後、感染端末内に「Crimson Remote Access Trojan(RAT)」を展開して情報を窃取します。
トレンドマイクロは2021年後半に、Earth Karkaddanグループが好んで用いたWindows端末用マルウェア「Crimson RAT」と設計が酷似しているAndroid端末用マルウェア「CapraRAT」を同グループが使用していることを突き止めました。これらのツールには、機能名、コマンド、性能などで非常に興味深い共通点があり、それらの詳細については、トレンドマイクロの技術論文「Earth Karkaddan APT(英語)」で取り上げています。
今回実施した調査は、2020年1月~2021年9月までに収集されたトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」のデータに基づいています。
■ Earth Karkaddanグループが実施したと考えられるキャンペーンの1つを解説
Earth Karkaddanグループが用いる到達手段は通常、スピアフィッシング(標的型)メールや「USBメモリなどを媒体として感染を拡げるマルウェア(いわゆるUSBワーム)」で、これらは感染端末内に遠隔操作ツール(RAT)を作成して実行します(図1)。
図1:標的型サイバー攻撃者集団「Earth Karkaddan」の攻撃チェーン
標的型メールには、行政文書ファイルを偽装した不正ファイル(図2)や魅力的な女性の偽プロフィールを用いたハニートラップ、最近では新型コロナウイルス感染症(COVID-19)の話題に便乗した偽情報(図3)など、メール受信者を騙してマルウェアをダウンロードさせようとするさまざまな誘導手口が用いられています。
図2:政府関連機関を騙った標的型メールの一例
図3:標的型メールの添付ファイルに記された新型コロナウイルス感染症(COVID-19)の話題に便乗した偽情報の例
メール受信者が不正マクロを実行すると、テキストボックス内に隠密に埋め込まれたドロッパの実行ファイルが復号され、感染端末内で実行される前にハードコードされたパスに保存されます(図4)。
図4:テキストボックス内に隠匿された実行ファイルを復号するための不正マクロ
図5:テキストボックス内に隠匿された暗号化されたCrimson RATマルウェアの実行ファイルの例
ドロッパの実行ファイルが実行されると、「mdkhm.zip」というファイルを解凍し、Crimson RATマルウェアの実行ファイル「dlrarhsiva.exe」を実行します(図6)。
図6:Crimson RATマルウェアの実行ファイル「dlrarhsiva.exe」
Earth Karkaddanグループは、攻撃キャンペーンにCrimson RATマルウェアを用いて遠隔操作サーバ(C&Cサーバ)との通信のやり取りを行い、他のマルウェアをダウンロードしたり、データを外部送出したりすることで知られています。
トレンドマイクロの分析では、Crimson RATマルウェアは、最低限の難読化が施された.NETバイナリとしてコンパイルされていることが明らかとなりました。複雑な難読化が施されていない背景として、このキャンペーンの背後にいる攻撃者グループの資金力が十分でないことを示している可能性があります。
図7:Crimson RATマルウェアの検体に含まれる最低限の難読化が施されたコマンド、機能名、変数の一覧
Crimson RATマルウェアは、Webブラウザから認証情報を窃取したり、ウイルス対策製品の情報収集、スクリーンショットのキャプチャ、感染端末のドライブ、プロセス、ディレクトリの一覧を作成したりできます。さらにトレンドマイクロは、Crimson RATマルウェアが感染ホストを介してC&Cサーバと通信し、感染端末のコンピュータ名、オペレーティングシステム(OS)情報、位置情報などの窃取した情報を外部送出する手口も観測しました。
図8:Crimson RATマルウェアの検体で観測されたネットワークトラフィックの例
■「ObliqueRAT」マルウェアの解析結果
Earth Karkaddanグループは、Crimson RATマルウェア以外にも、ObliqueRATマルウェアをキャンペーンに用いることで知られています。
ObliqueRATマルウェアも通常、ソーシャルエンジニアリングの手法を用いた標的型メールキャンペーンで拡散され、メール受信者を誘導して別の不正な文書ファイルをダウンロードさせようと試みます。最近確認されたキャンペーンの1つでは、インドのニューデリーに拠点を置く陸戦研究センター(CLAWS)を騙る誘導手口が用いられていました(図9)。
図9:陸戦研究センターを騙り、不正な文書ファイルをダウンロードさせようと試みる標的型メールの例
メール受信者が図9に示すリンクをクリックすると、不正マクロが仕込まれた文書ファイルがダウンロードされます(図10)。この文書ファイルのマクロを有効にすると、画像ファイル内に隠匿されたObliqueRATマルウェアがダウンロードされます。
図10:感染端末内にObliqueRATマルウェアをダウンロードして実行させる不正マクロが含まれている文書ファイル「1More-details.doc」
文書ファイル内の不正マクロにより、ObliqueRATマルウェアの隠匿されたビットマップイメージ(BMP)ファイルがダウンロードされます。その後ダウンロードされたBMPファイルはデコードされ、ObliqueRATマルウェアを自動的に実行させるためにスタートアップフォルダ内にURLを登録し、不正活動を持続化させる仕組みを構築します。
図11: ObliqueRATマルウェアがダウンロード、デコード、実行される不正なマクロコード
図12は、ObliqueRATマルウェアが用いる感染チェーンの概要を示したものです。
図12:ObliqueRATマルウェアの攻撃チェーン
| コマンド (v5.2) | 説明 |
| 0 | システム情報 |
| 1 | ドライブおよびドライブタイプを一覧表示する |
| 3 | 特定のファイルおよびファイルサイズを検索する |
| 4 | 指定されたファイル名のZIPファイルを返送する |
| 4A/4E | ZIPファイルを返送する |
| 5 | 特定のファイルおよびファイルサイズを検索する |
| 6 | 特定のフォルダをZip形式で圧縮してC&Cサーバに返送し、その後削除する |
| 7 | コマンドを実行する |
| 8 | C&Cサーバからファイルを受信する |
| BACKED | LGBファイルをバックアップする |
| RNM | ファイルを改称する |
| TSK | 実行中のプロセスを一覧表示する |
| EXIT | 実行を停止させる |
| RESTART | C&Cサーバとの接続を再開する |
| KILL | 特定のプロセスを強制終了させる |
| AUTO | 特定のファイルを検索する |
| RHT | ファイルを削除する |
今回確認された攻撃キャンペーンでは、「Crimson RATのダウンローダ」および「ObliqueRATのダウンローダ」の双方が同一ダウンロード先URL「sharingmymedia[.]com」を共有していることに注意が必要です。これは、Earth Karkaddanグループの標的型サイバー攻撃キャンペーンで、これらのマルウェア2種が積極的に使用されていることを示しています。
図13: Crimson RATまたはObliqueRATをダウンロードさせるための標的型メールの添付ファイルには同一ドメインが記されている
■ Earth Karkaddanグループが用いた改変版Android端末用RATの1つ「CapraRAT」
Earth Karkaddanグループは、標的型メールやUSBワームを到達経路として用いる以外に、フィッシングリンクを介して展開可能なAndroid端末用RATも使用します。これはこのグループにとって特に目新しいものではなく、2018年には電話やメッセージを傍受して感染端末の位置情報を追跡したり、写真を窃取したりできるAndroid端末用スパイウェア型マルウェア「StealthAgent」(トレンドマイクロ製品では「AndroidOS_SMongo.HRX」として検出)を使用していました。Earth Karkaddanグループは2020年にGitHubからダウンロード可能なオープンソースのマルウェア「AhMyth Android RAT」の改変版を用いて攻撃キャンペーンを実施し、偽のポルノアプリや偽の新型コロナウイルス接触追跡アプリを介してインド軍高官や政府関係者をターゲットにしていました。
トレンドマイクロは、同グループが別のAndroid端末用RAT(トレンドマイクロでは「CapraRAT」と命名)を使用していることを観測しましたが、これはおそらくオープンソースの遠隔操作ツール「AndroRAT」の改変版であると考えられます。トレンドマイクロはCapraRATを解析する中で、同グループが通常Windows端末への感染手口に用いるCrimson Ratマルウェアと類似する機能をいくつか発見しました。
トレンドマイクロは2017年からCapraRATの検体を観測しており、トレンドマイクロが解析した最初の検体の1つ(トレンドマイクロ製品では「AndroidOS_Androrat.HRXD」として検出)は同年に興味深いことを明らかにしました。これらの検体にはAPKパッケージ名として「com.example.appcode.appcode」が用いられ、公開証明書「74bd7b456d9e651fc84446f65041bef1207c408d」が使用されていました。このパッケージ名を踏まえると、検体が試験的に使用されていたことを意味している可能性があります。実際に、Earth Karkaddanグループは2017年に実施した攻撃キャンペーンでCapraRATを使い始めたばかりでした。
CapraRATが接続していたC&Cサーバのドメイン「android[.]viral91[.]xyz」も、Earth Karkaddanグループがサブドメインを用いてAndroid端末用マルウェアを設置したり、C&Cサーバに接続したりしている可能性が非常に高いことを示しています。ここ数年の間に不正ドメイン「viral91[.]xyz」上に設置されていたCrimson RATマルウェアの検体もいくつか発見されました。
図14:不正ドメイン「viral91[.]xyz」上に設置されているCrimson RATマルウェア
さらにトレンドマイクロは、2017年に実際の攻撃活動が確認された、上記のドメインに関連するフィッシング攻撃に用いられたExcelファイル「csd_car_price_list_2017」を無料マルウェア解析サービス「Hybrid Analysis」から入手できました。このファイル名が持つ「csd」は、パキスタン国防省が運営するパキスタンの小売りチェーン「Canteen Stores Department」に関連している可能性が高いことから注目に値します。これは、インドを拠点とするターゲットに悪意のある添付ファイルを開くよう誘導する手口である可能性があり、2021年に確認された攻撃キャンペーンの手口に類似します。
悪意のあるリンクを介して到達したと考えられるこの不正アプリをダウンロードすると、ユーザはインストール時にアクセス許可を付与するよう求められます。ユーザがアクセス許可を付与した場合、この遠隔操作ツール(RAT)は感染端末内に保存されている情報にアクセスできるようになります。このマルウェアは、感染端末上で以下のことが実行できます。
- 電話番号へのアクセス
- 別のアプリのインストールパッケージの起動
- カメラを開く
- マイクにアクセスしてオーディオクリップの録音
- 固有識別番号へのアクセス
- 位置情報へのアクセス
- 通話履歴へのアクセス
- 連絡先情報へのアクセス
このAndroid端末用RATが実行されると、C&Cサーバ(209[.]127[.]19[.]241[:]10284)への接続を確立しようと試みます。トレンドマイクロは、この展開活動に関連付けられたリモートデスクトッププロトコル(RDP)署名証明書内の文字列「WIN-P9NRMH5G6M8」が、以前に識別されたEarth KarkaddanグループのC&Cサーバ内で共通して見られた文字列であることを観測しました。
図15:C&Cサーバに接続するためにCapraRATから逆コンパイルされたコード
図16:CapraRATの構成ファイル内で確認されたC&Cサーバおよびポート番号の情報を表示した様子
図17:CapraRAT内で確認されたバックドアコマンドの例
さらにこのAPKファイルは、assetsディレクトリからmp4ファイルあるいはAPKファイルを作成する機能を備えています。
図18:CapraRATのAPKファイルがmp4ファイルを作成する様子
この遠隔操作ツールはアプリを常にアクティブな状態に保つために持続化させる仕組みを備えており、1分ごとにサービスが稼働しているかどうかを確認し、稼働していない場合はサービスを再起動させます。
図19:CapraRATが持つ持続化させる仕組み
■標的型サイバー攻撃の被害に遭わないためには
Earth Karkaddanグループは、ソーシャルエンジニアリングの手法に用いた独自の誘導手口やファイル窃取型マルウェアを通じて2016年から情報を窃取しています。ユーザは、ソーシャルエンジニアリングの手法に対するベストプラクティスに準拠することでEarth Karkaddanグループの攻撃を阻止することができます。
- 未承諾のメールや予期せぬメール、特に緊急性を煽るメールを開封する際には注意が必要です。期限を区切って早急な対応を求める、威圧的・脅迫的に思える文言でユーザの判断を鈍らせるなどの手法はソーシャルエンジニアリングの基本です。慌てず冷静に要求されている内容を判断することで騙される可能性を減らすことができます。
- メールの正当性を確認する際にはメール送信元の表示内容に注目してください。多くの企業はURLとメールアドレスに単一のドメインを使用します。普段と異なるドメインから送信されたメッセージは危険信号です。また、文法的な間違いやスペルミスに注意しましょう。正当な企業は校正者や編集者を雇用し、送信する内容の誤りを最小限にする努力を払っています。
- 差出人不明のメールに含まれるリンクはクリックせず、添付ファイルはダウンロードしないことが得策です。日頃からリンクをクリックする前に対象のURLにカーソルを合わせて、想定されるWebサイト以外のアドレスが表示されないかどうかを確認するようにしましょう。URLリンクをクリックする前にWebサイトの安全性を確認したい場合は、弊社の「Site Safety Center」をご利用いただくことも有効な手段です。
- ホスト型のメールセキュリティや迷惑メール(スパム)対策を利用し、電子メールを介して到達する脅威(不正リンクなど)をブロックすること。
- アプリは信頼できるサイトからのみダウンロードすること。日頃から正規サイトのURLをブックマークに登録しておき、アクセスする際は、ブックマークを利用するよう心がけましょう。
- アプリの権限を許可する範囲に注意すること。
- インターネット上の脅威や不正アプリ、データの損失からデバイスを保護できる多層的なモバイル向けセキュリティソリューションを利用すること。
■トレンドマイクロのソリューション
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や、関連する不正 Webサイトのブロックに対応しています。
「Trend Micro Mobile Security」は、モバイルデバイス、アプリケーション、データの可視化と制御を標準装備の単一コンソールで実現するとともに、脆弱性攻撃や不正アクセスから端末を保護し、マルウェアや不正なWebサイトをブロックします。
スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「Trend Micro Email Security™」、「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などにより不審なメールやその添付ファイルをブロックすることができます。
■侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)