APT&標的型攻撃
標的型サイバー攻撃グループEarth Aughiskyの追跡調査
トレンドマイクロは、10年以上に渡りAPT(標的型サイバー攻撃)グループの一つであるEarth Aughiskyマルウェアファミリ、そしてEarth Aughiskyと他のマルウェアとの関連性(未だ帰属が確認されていない既知のマルウェアを含む)を観察してきました。
[公開日] 2022年11月15日、[更新日] 2023年4月5日
トレンドマイクロは、10年以上に渡りAPT(標的型サイバー攻撃)グループの一つであるEarth Aughiskyマルウェアファミリ、そしてEarth Aughiskyと他のマルウェアとの関連性(未だ帰属が確認されていない既知のマルウェアを含む)を観察してきました。
APTグループの攻撃やツールを監視するセキュリティ研究員にとって、Earth Aughisky(別称Taidoor)は、警戒を怠ることができない活発な脅威の1つとなっています。過去10年間に渡り、この攻撃グループは台湾において、そして近年では日本国内のターゲットに対して攻撃用ツールやマルウェアを展開し続けてきました。
トレンドマイクロのリサーチペーパー「「Earth Aughisky」の台頭「Taidoor」から始まった標的型攻撃キャンペーンを追跡」では、このグループに関連する全てのマルウェア、このマルウェアファミリ及びツールと他のAPTグループとの関連性、そして最新情報をリストアップしています。また、このグループの進化過程を観察することにより得られた推奨事項や潜在的危険性についても解説しています。
Earth Aughiskyに帰属すると考えられるマルウェア
本記事では、コンポーネントが未だ完全に特定されておらず、Earth Aughiskyへの帰属を含め報告過程にあるマルウェア及びツールを紹介します。なお、Earth Aughiskyに帰属すると考えられるすべてのマルウェアファミリおよびツールのリストについては、こちらからダウンロードが可能です。
Roudan(別称Taidoor)
Taidoorという名称は、該当するグループもしくはマルウェアを表す際に使用されます。この旧式のEarth Aughiskyマルウェアは、10年以上前に初めて公開されました。このマルウェアには、エンコードされたMACアドレスとデータが含まれているため、他のAPTグループがコールバック・トラフィックに使用していたものとは異なるフォーマットの構成が確認されています。
/tracking-earth-aughiskys-malware-and-changes/Picture1.jpg)
/tracking-earth-aughiskys-malware-and-changes/Picture2.jpg)
LuckDLL
LuckDLLは、2020年以降に活動が観測されている比較的新しいバックドアです。公開鍵は、マルウェアの設定として埋め込まれ、その結果C&Cサーバと通信します。そして、LuckDLLはトラフィックを暗号化するためにランダムなセッション鍵とIV(初期化ベクトル)を作成します。
公開鍵は、初回通信時にセッション鍵とIVを暗号化しC&Cと共有します。
/tracking-earth-aughiskys-malware-and-changes/Picture3.jpg)
GrubbyRAT
GrubbyRATは、Earth Aughiskyが一定の基準に従い攻撃の対象と判断したときのみ展開されます。設定ファイルは、既存のアプリケーションまたは一般的なシステムフォルダにインストールされ、コンポーネントと同じファイル名が使用されます。これは、攻撃者が感染したシステム内において管理者権限を得てコントロールした後に、このRATが手動でインストールされることを意味します。
/tracking-earth-aughiskys-malware-and-changes/Picture4.jpg)
Taikite(別称SVCMONDR)
以前、SVCMONDRとしてレポートされてはいるものの、このマルウェアはEarth Aughiskyへの帰属は確認されていません。ある脆弱性を特定した2015年のレポートにおいて、作成されたファイルの一部のサンプルには、他のマルウェア(APTグループ)ファミリやツールと類似した「.pdb」ファイルが含まれていることが報告されています。また、C&Cコールバック・トラフィックはBase64でエンコードされており、フィードバックデータの構成や挙動の詳細が確認できています。
/tracking-earth-aughiskys-malware-and-changes/Picture5.jpg)
/tracking-earth-aughiskys-malware-and-changes/Picture6.jpg)
SiyBot
このバックドアは、該当するツールの展開及び攻撃事例が少ないため、未だ報告過程にあります。SiyBotは、Gubbや30 Boxesといった旧バージョンのパブリックサービスを悪用しC&C通信を行い、マルウェアの設定に必要な認証情報やトークンを探し出します。トレンドマイクロは、このバックドアが特定のコマンドに基づき、わずかな関数に対してのみ対応していることを確認しました。
/tracking-earth-aughiskys-malware-and-changes/Picture7.jpg)
各マルウェアの関連性
Earth Aughiskyマルウェア及びそのツールにおける重複や関連性について以下に解説します。
Roudan及びSiyBot
トレンドマイクロは、マルウェアRoudan及びSiyBotをホストするために使用されているウェブサイトを確認しました。また、同じリポジトリ内のASRWECダウンローダー(Earth Aughiskyに起因するツール)のペイロードも発見しました。
/tracking-earth-aughiskys-malware-and-changes/Picture8.jpg)
Roudan、Taleret及びTaikite
Taleretは、以前からEarth Aughiskyとの関連性が認識もしくは指摘されているマルウェアファミリの一つです。トレンドマイクロは、これらのマルウェアファミリが使用しているC&Cサーバに重複があることを確認しました。また、Taleret及び旧バージョンのRoudanのペイロード間で同じハッシュ値、ロギング・メカニズム、そしてブログホストがあることを確認しました。
/tracking-earth-aughiskys-malware-and-changes/Picture9.jpg)
/tracking-earth-aughiskys-malware-and-changes/Picture10.jpg)
トレンドマイクロのリサーチ
Earth Aughiskyは、サイバースパイ活動を長期に渡り行っている数少ないAPTグループの1つであるため、セキュリティアナリスト及びチームは、同グループの技術、進化過程、他のAPTグループとの関係、そして攻撃活動を観察するためにデータを収集し、継続的に調査を行ってきました。また、セキュリティチームは、このマルウェアファミリやツールのサンプルを研究することにより、活動の詳細や他のグループとの関連性、さらには政治や地理的な要因からの影響についても把握することが可能となりました。
マルウェアの分析、特徴、関連性の詳細については、トレンドマイクロのリサーチペーパー 「「Earth Aughisky」の台頭「Taidoor」から始まった標的型攻撃キャンペーンを追跡 」をダウンロードしてご覧ください。
/tracking-earth-aughiskys-malware-and-changes/Cover.png)
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
参考記事:
• 「Tracking Earth Aughisky’s Malware and Changes」
By: CH Lei
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)