APT&標的型攻撃
巧妙化したインフラや多様なツールを駆使するEarth Luscaグループの攻撃活動を解説
トレンドマイクロは2021年半ばから、非常に実体の見えづらいサイバー諜報活動グループ「Earth Lusca」を追跡調査しています。このグループは、スピアフィッシング(標的型)攻撃や水飲み場型攻撃など、従来のソーシャルエンジニアリングの手法を用いた攻撃キャンペーンを通じて世界中の組織を狙っています。
トレンドマイクロは2021年半ばから、非常に実体の見えづらいサイバー諜報活動グループ「Earth Lusca」を追跡調査しています。このグループは、スピアフィッシング(標的型)攻撃や水飲み場型攻撃など、従来のソーシャルエンジニアリングの手法を用いた攻撃キャンペーンを通じて世界中の組織を狙っています。同グループの主な動機はサイバー諜報活動と見られており、本稿執筆時点における被害組織のリストには、政府機関、教育機関、宗教運動団体、香港を拠点とする民主化推進団体や人権団体、新型コロナウイルス感染症(COVID-19)研究機関、報道機関など、企業価値の高い組織が含まれています。ただしギャンブルや暗号資産(旧:仮想通貨)に関連する企業も標的としていることから、Earth Luscaグループは金銭的な動機による活動も行っていると見られています。
Earth Luscaグループの活動に関する以前の調査では、Winntiなどのマルウェアが使用されていたことから、別のサイバー犯罪者グループ「Winnti(別称:APT41)」を起源とする犯罪組織であると考えられてきました。しかし、いくつかの類似点はあるものの、Earth Luscaグループは別の犯罪組織であるとトレンドマイクロは推測しています(ただしトレンドマイクロは、Earth Luscaグループが同一出身国のさまざまなグループで構成される「Winntiグループ」傘下の一部組織であり、「戦術、手法、手順(Tactics、Techniques、Procedures、TTP)」の特徴を共有している形跡を確認しています。)
トレンドマイクロの技術論文「Delving Deep: An Analysis of Earth Lusca’s Operations(英語)」では、Earth Luscaグループの活動内容や攻撃で用いるツール、インフラストラクチャについて詳説しています。
■ Earth Luscaグループが用いるインフラと運用モデル
Earth Luscaグループが用いるインフラは、主に2つの「クラスタ」に分割することができます(図1)。1つ目のクラスタは、サービスプロバイダからレンタルした仮想プライベートサーバ(VPS)を悪用して構築されており、同グループの水飲み場型攻撃や標的型攻撃を運用するために用いられているほか、マルウェアを送り込む遠隔操作サーバ(C&Cサーバ)としても機能します。
2つ目のクラスタは主に古いオープンソース版のOracle GlassFish Serverを実行している侵害されたサーバ群で構成されています。興味深いことにこの2つ目のクラスタは、同グループの攻撃活動で複数の役割を担っており、まず標的組織のネットワーク内にトラフィックの通信経路を構築する目的で、脆弱性を含む外部公開されているサーバを検索するスキャンツールとして機能します。加えて1つ目のクラスタと同様にC&Cサーバとしても機能し、今回の事例では商用のペネトレーションテストツール「Cobalt Strike」を送り込むために用いられています。
Earth Luscaグループは、標的企業のセキュリティ担当者を騙してネットワーク上の間違った箇所に注目させるために、インフラの一部(特にスキャン部分)を転用した可能性があります。
図1:Earth Luscaグループが用いるインフラの概要図
■ソーシャルエンジニアリングの手法と脆弱性を悪用する攻撃手口
Earth Luscaグループは3つの主要な攻撃経路を持っており、そのうち2つはソーシャルエンジニアリングの手法に関連しています。同グループが用いるソーシャルエンジニアリングの手法は、「標的型メール」と「水飲み場型攻撃で用いる改ざんサイト」に分けることができます。
トレンドマイクロのテレメトリデータでは、Earth Luscaグループが悪意のあるリンクを含む標的型メールを標的組織の1つである報道機関に送信していたことが明らかとなりました。これらのリンクには、メール受信者が興味を抱くであろう文書ファイルや別の報道機関から送信されたかのように見えるご意見フォームに偽装させたファイルが含まれています。メール受信者が不正リンクをクリックすると、悪意のあるWindowsショートカットファイル(.LNK)または実行ファイルを含むアーカイブファイルがダウンロードされ、最終的にはCobalt Strikeローダへと誘導されます。
Earth Luscaグループは標的型メールのほかに、水飲み場型攻撃を実施するために脆弱なWebサイトを改ざんして悪用しました。同グループは標的組織の正規サイトを侵害するか、正規サイトのソース(HTML)を模倣して作成した偽サイトを立ち上げた後、それらのサイトに悪意のあるJavaScriptコードを注入(インジェクション)しました。その後これらの不正サイトに誘導するリンクを、標的ユーザへと送信します(ただし、この攻撃活動がどのように行われていたのかを明確に特定することはできませんでした)。
Earth Luscaグループはある事例において、標的組織の人事システムを侵害して不正スクリプトをインジェクションしました。通常このスクリプトは、ソーシャルエンジニアリングの手法を用いて「Adobe Flash Playerの更新を促すポップアップ画面」や「DNSエラー」(Adobe社が2020年12月末にFlash Playerをサポート終了していることに注意)などのメッセージを表示するように設計されており、不正リンクをクリックしたサイト訪問者にファイル(実際はCobalt Strikeを読み込むマルウェア)をダウンロードするよう指示します。
図2:偽のインストールを促すポップアップ画面
Earth Luscaグループが用いた3つ目の攻撃経路では、Microsoft Exchange serverの脆弱性「ProxyShell」、Oracle GlassFish Serverの脆弱性など、標的組織が外部に公開しているアプリに内在する脆弱性が悪用されます。これらの脆弱性を悪用することに成功すると、Earth Luscaグループは、Cobalt StrikeやAcunetixなどのツールをインストールするなど、侵入したシステム内で不正活動を自由に行うことができるようになります(侵入後の不正活動については、技術論文で詳説しています)。
■ Earth Luscaグループが用いるマルウェア
Earth Luscaグループは、自身の攻撃活動で複数のマルウェアやハッキングツールを駆使します。これらの攻撃経路で見られた共通の手口は、Cobalt Strikeローダを用いることです。実際にCobalt Strikeは、侵入したシステム内で実行できる機能が豊富なことから、Earth Luscaグループが好んで悪用しているツールの1つです。今回の事例において標的組織のシステム内に作成されたCobalt Strikeが生成したシェルコードは、対応する鍵とともにXOR(排他的論理和)を介してエンコードされました。
Earth LuscaグループはCobalt Strikeのほかにも、日本の漫画シリーズにちなんで名付けられたとみられるバックドア型マルウェア「Doraemon」などのマルウェアを使用します。このバックドアには通常、C&Cサーバが2つ設定されています。最初の接続先である1つ目のC&Cサーバには、IPアドレスまたはDNSが指定されており、二番目の接続先である2つ目のC&Cサーバには、暗号化された / 平文形式のIPアドレスを含む外部公開されたWebサイトのURLが指定されています。これにより攻撃者は、最初の接続先IPアドレスがブロックされた場合でも、2つめのIPアドレスに接続させることで活動の持続化を達成させることができます。
Earth Luscaグループは、「ShadowPad」や「Winnti」などのよく知られたマルウェアのほかにも、暗号資産採掘ツール(コインマイナー)などのツールを攻撃手口の一部として採用しています。これらのマルウェアやツールに関する詳細な一覧については、技術論文を参照してください。
■セキュリティに関する推奨事項
今回の追跡調査で見つかった痕跡は、Earth Luscaグループが主にサイバー諜報活動と金銭的利益によって動機付けられた高度な技術を持つ危険な攻撃者グループであることを示しています。しかしながら同グループの攻撃手口は、標的ユーザを欺くためのソーシャルエンジニアリング手法や一般公開されている概念実証(PoC)コードを悪用することがその多くを占めています。これらの手法はすでに有効性が証明されていますが、以下のセキュリティ対策におけるベストプラクティスを実践することで、Earth Luscaグループによる攻撃活動の影響を最小限に抑える、あるいは阻止できることも意味しています。
- 身に覚えのない電子メールを開封したり、不審なメッセージに埋め込まれたリンクをクリックしたりしないこと。URLリンクをクリックする前にWebサイトの安全性を確認したい場合は、弊社の「Site Safety Center」をご利用いただくことも有効な手段です。
- 外部公開されている重要なアプリを定期的に更新し最新の修正プログラム(パッチ)を適用すること。必要に応じて仮想パッチを利用すること。
Earth Luscaグループの活動内容や、攻撃で用いるツール、インフラに関する詳細については、技術論文を参照してください。
■侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Earth Lusca Employs Sophisticated Infrastructure, Varied Tools and Techniques」
By: Joseph C Chen, Kenney Lu, Gloria Chen, Jaromir Horejsi, Daniel Lunghi, Cedric Pernet
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)