APT&標的型攻撃
攻撃グループ「Iron Tiger」によるサプライチェーン攻撃、チャットアプリ配布サーバを侵害しWindows、Mac、Linuxのユーザを狙う
トレンドマイクロは、マルウェア「HyperBro」や不正なMach-O形式の実行ファイル「rshell」をホストしているサーバを発見しました。HyperBroは、約10年間に渡ってサイバースパイ活動を行っているAPT(Advanced Persistent Threat)攻撃グループ「Iron Tiger」が使用するマルウェアファミリの1つです。
トレンドマイクロは、マルウェア「HyperBro」や不正なMach-O形式の実行ファイル「rshell」をホストしているサーバを発見しました。HyperBroは、約10年間に渡ってサイバースパイ活動を行っているAPT(Advanced Persistent Threat)攻撃グループ「Iron Tiger」が使用するマルウェアファミリの1つです。これまで、この攻撃グループがMac OS(オペレーティングシステム)用のツールを開発または使用した事例の報告はありませんでした。Mach-O形式のrshellについて検体解析を行ったところ、Mac OSプラットフォームを標的とする新しいマルウェアファミリであることが判明しました。また、最終的にはLinuxプラットフォーム向けにコンパイルされた検体も入手し、こちらも同じマルウェアファミリに属することが分かりました。
不正な実行ファイル「rshell」は、チャットアプリ「MiMi」を経由して標的システムに取り込まれることが判明しました。アプリ「MiMi」は最近報告した通り、攻撃グループ「Earth Berberoka」にも不正使用されました。今回のIron Tigerによる攻撃では、MiMiのインストーラをホストしている正規サーバ自体が不正アクセスを受けました。これはソフトウェアを利用者に届けるための工程が侵害されたということであり、「サプライチェーン攻撃」と言えます。
詳細な調査の結果、標的のプラットフォームがWindowsであればマルウェア「HyperBro」を、Mac OSであれば不正な実行ファイル「rshell」をダウンロードするように、MiMiチャットのインストーラが書き換えられたことが判明しました。こうした技術自体は既知のものですが、今回の攻撃事例はWindows、Linuxに加えてmacOSも狙われた点で特徴的であり、Iron Tigerがこれら重要な3プラットフォームに対して強い関心を持っていることがうかがえます。
感染経路
MiMi(mimi:中国語で言う「秘密」)は特に中国ユーザ向けに開発されたインスタントチャット用アプリであり、Windows、macOS、Android、iOSの各OSに対応することで、主要なデスクトップ環境とモバイル環境の双方をカバーします。デスクトップ版の開発にはNode.jsに基づくクロスプラットフォーム対応フレームワーク「ElectronJS」が用いられています。当該フレームワークは、HTML、JavaScript(JS)、CSSを利用したアプリ開発を支援します。
MiMiの不正使用は、Earth Berberokaの攻撃に関する調査でも確認されていました。しかし、Earth Berberokaが偽のWebサイトを立ち上げてそこからMiMiを配布したのに対し、今回のIron TigerはMiMiの正規版インストーラをホストするサーバ自体に不正アクセスを仕掛けた点で異なり、一種のサプライチェーン攻撃に該当します。Earth Berberokaが用いた偽のWebサイトと異なり、AndroidとiPhoneを含むモバイル版へのリンクは有効なままでした。この当初調査時点で最新のWindows版インストーラは正常であり、不正な挙動は一切確認されませんでした。しかし更なる調査の結果、以前のバージョンのWindows版インストーラでは汚染があったことが後に確認されました。
トレンドマイクロでは6月にMiMiチャットのバージョン2.3.2用、macOS版インストーラをダウンロードしましたが、その内容は正常でした。しかし、少し後に再度ダウンロードしたところ、当該インストーラはrshellを読み込む不正なバージョンに書き換えられていました。このことより、攻撃者はインストーラをホストしているサーバに直接アクセスできること、そしてMiMiの新バージョンリリースに際して素早くバックドアを仕込めるように、MiMiの開発者が公表するバージョン情報を監視していたことが分かります。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture1.jpg)
今回の事例では、攻撃者が正規のインストーラを書き換えて不正なコードを埋め込むのに約1時間半かかったことが分かります。これに対し、以前のバージョンでは改ざんに1日かかっていました。
書き換えられたファイルは「electron-main.js」であり、「eval(function(p,a,c,k,e,r)」で始まる不正なコードが埋め込まれています。この形式による書き出しは、「Dean Edwards」方式で圧縮されたコードに見られる特徴の1つです。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture2.jpg)
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture3.jpg)
圧縮された不正なコードの展開結果を見ると、macOSで動いている場合にrshellを139[.]180[.]216[.]65からダウンロードして実行することが分かります。これによって配備されるrshellは新規のマルウェアファミリであり、その詳細についても後述します。
MiMiインストーラの古いバージョンについて調べると、はじめて攻撃を受けたのはバージョン2.3.0(ビルド日は2022年5月26日)の時であり、1つ前にあたる2.2.10(ビルド日は2022年5月6日)については正常でした。そのため当初の想定では、5月6日から26日にかけてのいずれかのタイミングにおいて、Iron TigerがMiMiチャットの開発バックエンドに対するアクセス権を掌握したと考えられました。
しかし、テレメトリ情報を詳細に調べた結果、Windows向けのさらに古いバージョン2.2.0、2.2.1(どちらもビルド日は2021年11月23日)も攻撃を受けていたことが判明しました。この時も同じ方式でelectrion-main.jsが書き換えられていました。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture4.jpg)
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture5.jpg)
上図のコードを見ると、まずバイナリファイル(bin)、ダイナミックリンクライブラリ(dll)、実行ファイル(exe)を一時ディレクトリにダウンロードしてから、当該の実行ファイルを起動することが分かります。これはIron Tigerが不正なファイルを読み込ませるためによく用いる手口であり、正規の署名付き実行ファイルに潜むDLLサイドローディング脆弱性を狙った攻撃法の1つです。今回の攻撃では、データ保護機能を提供する製品「DESlock+」に含まれる実行ファイルが、この用途で不正使用されました。なお、昨年Iron Tigerがマルウェア「HyperBro」によって展開した別の攻撃キャンペーンにおいても、同じ製品の不正使用が確認されました。
マルウェアの解析
rshell
rshellは標準的なバックドアとしての機能を備え、下記の処理を実行します。
- OSの情報を収集してコマンド・コントロール(C&C)サーバに送信する
- C&Cサーバから受信した指示に従って処理を実行する
- 処理の実行結果をC&Cサーバに送信する
トレンドマイクロでは、Mach-O形式(macOS用)、ELF形式(Linux用)それぞれについて本バックドアの検体を複数発見しました。最も古い検体は2021年6月にアップロードされ、最初の被害は2021年7月中旬に報告されました。
OS情報の収集処理では、下記情報の取得、準備を行います。
- GUID:「/tmp/guid」に格納されているランダムなguid
- コンピュータ名:コマンド「uname」で取得した結果中、「nodename」項目
- IPアドレス:関数「getifaddrs」で取得
- メッセージタイプ:login(固定文字列)
- ユーザ名:関数「_getpwuid」で取得した結果中、「pw_name」項目
- バージョン:コマンド「uname」で取得した結果中、「release」項目
上記情報の収集、準備が完了すると、rshellはそれをバイナリのJSON形式(BSON)に変換して、暗号化なしのまま、TCPプロトコルでC&Cサーバに送信します。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture6.jpg)
C&Cサーバから感染したシステム向けに送られるメッセージもBSON形式であり、下記の指示情報を含みます。
タイプ |
サブタイプ |
意味 |
Cmd |
Init |
新規シェルを開始 |
Cmd |
Close |
シェルを停止 |
Cmd |
Data |
シェル内でコマンドを実行 |
File |
Init |
ルートディレクトリの内容を取得 |
File |
Dir |
ディレクトリの内容を取得 |
File |
Down |
ファイルのダウンロード準備 |
File |
Read |
ファイルを読み出す(バイト列の転送) |
File |
close |
ファイルを閉じる |
File |
upload |
ファイルのアップロード準備 |
File |
Write |
ファイルを書き込む(バイト列の転送) |
File |
Del |
ファイルを削除 |
なお、感染した端末は、定期的にメッセージタイプ「keepalive」のパケットをC&Cサーバに送信します。
macOS端末上でDMG形式の不正なMiMiチャットインストーラを実行し、さらに当該アプリを起動するまでの間に、警告メッセージが複数回に渡って表示されます。まず、Webサイトからインストーラをダウンロードする際に、Webブラウザ「Safari」上でダウンロードの許可が求められます。これを許可して、ダウンロードしたDMGインストーラを実行すると、「未確認の開発元」に関する警告が表示されます。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture7.jpg)
警告に関する表示設定を変更するには、「System Preferences」の「Security & Privacy」を開き、「Open Anyway」をクリックする必要があります。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture8.jpg)
上述の設定変更後、もう一度「未確認の開発元」に関する警告が表示されますが、今度は「Open」ボタンが表示されるため、アプリケーションの起動が可能です。
/irontiger-compromises-chat-app-mimi-targets-windows-mac-linux-users/Picture9.jpg)
MiMiチャットインストーラは正規版も不正なバージョンもデジタル署名はされていませんでした。そのため、macOS版MiMiチャットのユーザは、正規版インストーラを使用する際にもこうしたOSによる監視や警告を突破するために必要なステップを踏んでいたと言えるでしょう。
HyperBro
マルウェアファミリ「HyperBro」は2017年頃に出現して以来、広範な調査が行われてきました。2019年の中頃にはアップデートが行われましたが、この詳細についてはトレンドマイクロの調査「Operation DRBControl」をご参照ください。
今回の攻撃キャンペーンで使用されたHyperBroは、前回のIron Tigerに関する調査で確認されたHyperBroと同一のバージョンでした。ただ一つの特記事項は、dlpprem32.dllのAuthenticode署名情報を確認すると、モバイル・インターネット技術を提供する「Cheeta Mobile Inc.」によって署名されていた(現在は取り消し済み)ことです。当該の会社は「Kingsoft Internet Software Holdings Limited」の前身としても知られ、前回のIron Tigerに関する調査では、HyperBroのDLLはこのKingSoftによって署名されていました。
標的
トレンドマイクロのセンサーデータを分析したところ、今回の攻撃では13の標的が狙われたことが分かりました。国別で見ると台湾とフィリピンの2カ国のみでした。内訳として、HyperBroの標的が5件(台湾が4件、フィリピンが1件)、rshellの標的が8件(台湾が6件、フィリピンが1件、両国対象が1件)でした。
標的となった全ての企業または組織を特定するには至りませんでしたが、上述の分析結果からは、Iron Tigerがどの地域を特に狙っているのかが示唆されます。今回、企業または組織情報を特定できた標的は1件のみであり、それは台湾のゲーム開発会社でした。特記事項として、同社からはEarth Berberoka の攻撃用ツール「Reptileルートキット」のフレームワークや、同攻撃グループが保持しているネットワーク・サブドメインに対する通信記録が確認されました。
この他にも調査の過程で、ある台湾のIT開発会社からサブドメイン「trust[.]veryssl[.]org」に対する通信記録が確認されました。また、これと類似するサブドメイン「center.veryssl[.]org」が、今回発見したrshellのC&Cアドレスに利用されていました。この点で、当該の会社もIron Tigerによる攻撃を受けていた可能性が考えられます。
タイムライン
- 2021年6月:最も古いLinux用rshellの検体が発見される
- 2021年11月: Windows版MiMiチャット、バージョン2.2.0のインストーラが、HyperBroのバックドア機能をダウンロード、実行するように攻撃グループによって書き換えられる
- 2022年5月:Mac OS版MiMiチャット、バージョン2.3.0のインストーラが、rshellのバックドア機能をダウンロード、実行するように攻撃グループによって書き換えられる
攻撃グループの関連付けおよび結論
今回の攻撃キャンペーンがIron Tigerによるものと考えられる痕跡が複数確認されました。まず、今回発見したHyperBroに絡むDLLファイル「dlpprem32.dll」が、前回すでにIron Tigerによるものと判定された検体とさまざまな点(マルウェアの静的解析に用いられる「ImpHash値」や「RICHヘッダー情報」)で類似することが挙げられます。また、HyperBroのデコードやロードに際して使用されるファイル名が、昨年の調査で確認されたファイル名と類似する点も挙げられます。
次に、今回取得したLinux版rshellの検体は、C&CのIPアドレスとして45[.]142[.]214[.]193を用いていました。2020年の時点でこのIPアドレスはDNS定義上、ドメイン名「nbaya0u2[.]example[.]com」と紐付いていました。 また、「Operation DRBControl」の調査で確認したHyperBroの検体は、C&CのIPアドレスとして138[.]124[.]180[.]108を用いていました。このIPアドレスはDNS定義上、先程と類似するドメイン名「nbaya0u1[.]example[.]com」と紐づいていました。こうした類似性が見られたものの、当該rshellの検体が発見されたのが2021年のことであったため、当初はrshellマルウェアファミリがIron Tigerによるものと帰結するには至りませんでした。
国家が関与する攻撃ではマルウェアツールが共有される(gh0st、PlugX、Shadowpadなど)傾向にあります。しかし、現在分かっている範囲内でHyperBroはこれに該当しません。今回の攻撃キャンペーンでHyperBroが使用されたことは、Iron Tigerとの繋がりを示す一例と言えるでしょう。
上記の他、Earth Berberokaとの繋がりも見られました。今回rshellに感染した企業のシステム内からは、Earth Berberokaの攻撃用ツール「Reptileルートキット」のフレームワークが発見されました。また、この企業からEarth Berberokaのサブドメインに向けた通信記録も確認されました。従って、当該企業は以前からEarth Berberokaによる攻撃を受けていた可能性があります。さらに、他の企業でも同様の現象が発生していることが判明しました。この企業からは、サブドメイン「trust[.]veryssl[.]org」に向けた通信記録が確認されました。また、これと類似するサブドメイン「center[.]veryssl[.]org」がrshellのC&Cアドレスに利用されていました。以上を踏まえると、上述した企業はIron TigerとEarth Berberokaの双方から攻撃を受けていたか、あるいはEarth Berberokaが実際にはIron Tigerの子グループである可能性も考えられます。追記として、Earth Berberokaを調査した際にも、Iron Tigerとの繋がりが複数確認されました。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
• 「Iron Tiger Compromises Chat Application Mimi, Targets Windows, Mac, and Linux Users」
By: Daniel Lunghi, Jaromir Horejsi
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)