APT&標的型攻撃
攻撃グループ「Earth Preta」が日本を含む世界各地の行政機関に対するスピアフィッシング攻撃を展開
トレンドマイクロでは、数ヶ月に渡って追跡調査を行った結果、標的とされた地域はミャンマー、オーストラリア、フィリピン、日本、台湾、およびその他地域も含めた広範囲に及ぶことが分かりました。攻撃キャンペーンで使用されたマルウェアファミリを分析した結果、活動の背後にいるグループは、標的型攻撃(APT:Advanced Persistent Attack)で名高い「Earth Preta(Mustang Panga、Bronze Presidentの名前でも知られる)」であることが判明しました。
トレンドマイクロでは、世界各地の行政機関、学術、財団、研究グループを標的に展開されているスピアフィッシング攻撃について調査を行ってきました。被害者を誘導するために利用されたおとり文章の分析結果を踏まえると、一連の攻撃的活動が始まったのは3月頃のことであり、大規模なサイバースパイ活動に発展していると考えられます。数ヶ月に渡って追跡調査を行った結果、標的とされた地域はミャンマー、オーストラリア、フィリピン、日本、台湾、およびその他地域も含めた広範囲に及ぶことが分かりました。攻撃キャンペーンで使用されたマルウェアファミリを分析した結果、活動の背後にいるグループは、標的型攻撃(APT:Advanced Persistent Attack)で名高い「Earth Preta(Mustang Panga、Bronze Presidentの名前でも知られる)」であることが判明しました。
/earth-preta-spear-phishing-governments-worldwide/Fig1.png)
攻撃キャンペーンの調査により、Earth Pretaは、マルウェアを配布するために偽のGoogleアカウントからスピアフィッシングメールを送信していたことが判明しました。これらのマルウェアは最初にアーカイブファイル(rar、zip、jarなど)に格納され、Google Driveのリンクを経由して被害者側に配布されます。当該のフィッシングメールを受信したユーザは、マルウェア「TONEINS」、「TONESHELL」、または「PUBLOAD」をダウンロードして実行するように誘導されます。このうち「PUBLOAD」については過去にも報告されていますが、「TONEINS」と「TONESHELL」はEarth Pretaが本攻撃キャンペーンに利用した新規のマルウェアファミリであり、新しい技術が組み込まれています。
さらに今回の攻撃では、コードの難読化や独自に作成した例外ハンドラなど、検知や解析を妨害するさまざまな技術が用いられています。また、スピアフィッシングメールの送信者とGoogle Driveリンクの所有者が同一であることが分かりました。被害者を誘導するために使用されたおとり文書の内容を踏まえると、今回の攻撃者は、標的とする企業や組織に関する予備知識を得るために事前の調査を行い、場合によっては侵害に及んでいたと考えられます。このことは、過去に侵害されたアカウント名の略記が使用されていたことからも示唆されます。
本稿では、Earth Pretaによる新しい攻撃キャンペーンの概要と、そのTTPs(Tactics:戦略、Techniques:テクニック、Procedures:プロシージャ)、および新しく導入されたインストーラやバックドアについて詳しく説明します。さらに、今回確認されたマルウェアやそれに関連する脅威をセキュリティ対策チーム側で監視、追跡する方法についても解説します。
初期侵害と標的
今回の調査結果を踏まえると、利用されたおとり文書はビルマ語で書かれ、「လျှို့ဝှက်ချက်(部外秘)」とされています。おとり文書の内容は、その大半が、二国間の論争を引き起こしそうなテーマを扱ったものであり、「Secret(機密)」や「Confidential(部外秘)」といった用語が添えられています。以上より、攻撃者がミャンマーの政府組織を第一侵入経路として狙っていた可能性が考えられます。このことは同時に、脅威インテリジェンスチーム「Talos Intelligence」が以前報告したように、攻撃者が特定の政治組織を事前に侵害していたことを示唆しています。
Earth Pretaは、事前に盗み出した文書をミャンマー行政機関と提携する標的組織に見せつけ、これを餌として、不正なファイルをダウンロードして実行するように誘導します。被害者の分布を調べると、世界各地の企業や業界が幅広く狙われていますが、その多くがアジア太平洋地域に集中していることが分かります。標的とされる業界としては、ミャンマー行政機関と提携する組織の他、敎育や研究関連の分野が目立ちます。被害者を誘い込む手口として、特定の企業や組織に関する国際的なニュースをおとり文書に利用する他、ポルノ関連の内容を件名の見出し文に埋め込むといったパターンも確認されています。
/earth-preta-spear-phishing-governments-worldwide/Fig2.png)
手口の分析
/earth-preta-spear-phishing-governments-worldwide/Fig3.png)
Earth Pretaは侵入の第一ステップとしてスピアフィッシングメールを使用します。先述した通り、メールの件名や本文には、論争を引き起こしやすい政治的な話題や、感情を揺さぶる内容が記載されています。今回調査したメールには、全てGoogle Driveへのリンクが埋め込まれていました。メールの内容に煽られた被害者は、このリンクを経由して不正なアーカイブをダウンロードします。アーカイブの形式はさまざまであり、「.rar」、「.zip」、「.jar」などが挙げられます。リンク先を調べた結果、こうしたアーカイブには、マルウェアファミリ「TONEINS」、「TONESHELL」、「PUBLOAD」が含まれていることが判明しました。
/earth-preta-spear-phishing-governments-worldwide/Fig4.png)
スピアフィッシングメール
メールの内容を調べたところ、攻撃者はGoogle Driveへのリンクをクリックするように被害者を誘導していることが分かりました。メールの件名は空の場合もあれば、不正なアーカイブと同じ名前の場合もあります。メールのヘッダー項目「To」には偽のメールアドレスが指定される一方、ヘッダー項目「CC」には被害者の実際のアドレスが指定される傾向が見られます。これは、セキュリティ解析を回避、または調査を遅らせる手段と考えられます。「To」で指定されたGmailアドレスをオープンソースインテリジェンス(OSINT)のツール「GHunt」によって解析したところ、当該の偽アカウントに紐づく内容はほとんど検出されませんでした。
さらに、メール送信者の中には、侵害された企業や組織に所属すると考えられるアカウントも確認されました。被害者がこれらのメールを受信した場合、それが確かに信頼を置くパートナーから送られたものと信じ込み、不正なリンクをクリックする可能性が高まると考えられます。
おとり文書
おとり文書として、ミャンマー行政機関や提携組織に関連するものが発見されました。その一例が「Assistance and Recovery(china).exe」であり、このファイル名は「支援と復興(中国).exe」を意味します。他の例として、PDF形式の「ပြည်ထောင်စုသမ္မတမြန်မာနိုင်ငံတော်သံရုံး.pdf(ミャンマー共和国大使館.pdf)」などがあり、圧縮アーカイブ「Assistance and Recovery(china).rar」に格納されていました。当該PDFにはミャンマーと中国の大使館間で行う会談に関するおおまかなスケジュールが記載され、大使からの報告書であると考えられています。
この他、研究者に交流の場を提供する日本学術振興会(JSPS:Japan Society for the Promotion of Science)との関連を示唆する文書も発見されました。特記事項として、当該の圧縮アーカイブ「attachment(EN).rar」に含まれる文書の大半は、画像形式で用意されています。また、侵入後にサイドローディングに使用する不正なDLLや実行ファイルも、本アーカイブに含まれています。
/earth-preta-spear-phishing-governments-worldwide/Fig5.png)
以上の他にも、地域情勢やポルノなど、幅広い話題を扱ったおとり文書が確認されています。しかし、これらの文書を実際に開いても、ファイル名が示唆するような内容は表示されません。
侵入経路
マルウェアの侵入経路が少なくとも3種類存在することが分かりました。一連の調査で発見されたおとり用アーカイブは30種を超え、Google DriveやDropboxのリンク、またはファイルをホストする別のIPアドレスを経由して配布されます。こうしたアーカイブの大半には、正規の実行ファイルとサイドロード用DLLの双方が含まれます。また、アーカイブやおとり文書の名前は、ケース毎に異なります。以降、侵入経路の種別毎に用いられるTTPsや代表的なアーカイブの例を挙げます。
種別A:DLLサイドローディング
この種別では、アーカイブ内に3つのファイル「~」、「Increasingly confident US is baiting China.exe」、「libcef.dll」が含まれます。後述するように、おとり文書や実行ファイルの名前は異なる場合があります。
表1(PDF):種別Aのアーカイブに含まれるファイル
/earth-preta-spear-phishing-governments-worldwide/Fig6.png)
本アーカイブ内のファイル「~」は、おとり文書に相当します。ファイル「Increasingly confident US is baiting China.exe」は正規の実行ファイル(実体はAdobe Licensing WF Helper、元の名前はadobe_licensing_wf_helper.exe)であり、不正なDLL「libcef.dll」をサイドロードし、そのDLLのエクスポート関数「cef_api_hash」を呼び出します。
本実行ファイルは、初回起動の場合、当該の.exeファイルをリネームして次の配下にコピーします。
%PUBLIC%\Pictures
そして’libcef.dll(トレンドマイクロでは「Trojan.Win32.PUBLOAD」として検出)を同フォルダに移動する形でマルウェアのインストールを試みます。この結果、.exeファイルのフルパスは以下となります。
C:\Users\Public\Pictures\adobe_wf.exe
そして.dllファイルのフルパスは以下となります。また、ファイル「~」については「05-09-2022.docx」にリネームしてデスクトップにドロップします。
C:\Users\Public\Pictures\libcef.dll
/earth-preta-spear-phishing-governments-worldwide/Fig7.png)
種別B:ショートカットリンク
種別Bの不正なアーカイブには、3つのファイル「New Word Document.lnk」、「putty.exe」、「CefBrowser.dll」が含まれています。このうち、DLLファイルと実行ファイルは「_」という名前が付いた多階層のフォルダ配下に格納されています。
表2(PDF):種別Bのアーカイブに含まれるファイル
種別Bでは、.lnkファイルからWinRARを呼び出して当該アーカイブを展開、解凍する形で不正なファイルをインストールします。この際のコマンドは下記の通りです。
%ComSpec% /c "_\_\_\_\_\_\putty.exe||(forfiles /P %APPDATA%\..\..\ /S /M Desktop.rar /C "cmd /c (c:\progra~1\winrar\winrar.exe x -inul -o+ @path||c:\progra~2\winrar\winrar.exe x -inul -o+ @path)&&_\_\_\_\_\_\putty.exe")"
「Putty.exe」は正規の実行ファイルになりすましています。その元のファイル名は「AppXUpdate.exe.」であり、実行されると「CefBrowser.dll」をサイドロードし、エクスポート関数「CCefInterface::SubProcessMain」でメインの攻撃手順を実行します。また永続化のために「schtasks」コマンドを悪用します。
/earth-preta-spear-phishing-governments-worldwide/Fig8.png)
種別C:ファイル拡張子の偽装
この種別では、アーカイブ「China VS Taiwan.rar」内に下記のファイルが含まれています。
表3(PDF):種別Cのアーカイブに含まれるファイル
libcef.dll(トレンドマイクロでは「Trojan.Win32.TONEINS」として検出)は、次の段階に必要なマルウェアをインストールします。このDLLは、名前が「~」で始まる2つのファイル「~$20220817.docx」と「~$20220617(1).docx」を次の配下にコピーします。両ファイルとも偽の拡張子を持ち、ファイル名についても、Microsoft Officeのソフトウェアを開いた時に作成される一時ファイルであるかのように偽装されています。
%USERPROFILE%\Pictures
/earth-preta-spear-phishing-governments-worldwide/Fig9.png)
マルウェア
今回の攻撃キャンペーンで使用されたマルウェアとして、「PUBLOAD」、「TONEINS」、「TONESHELL」の3種が特定されました。
Trojan.Win32.PUBLOAD
PUBLOADはステージャ型のマルウェアであり、コマンド・コントロール(C&C:Command and Control)サーバにアクセスして、次の攻撃ステップに必要なペイロードをダウンロードします。本マルウェアは2022年5月にCisco Talosによって初めて報告されました。
このDLLは始めにAPI「OpenEventA」を使用し、自身と同じプロセスがすでに起動していないかを確認します。Twitterユーザ「Barberousse」のツイートによると、この際のイベント名として「moto_sato」、「xaacrazyman_armyCIAx」、「JohnHammondTeam」など、サイバーセキュリティ研究者のTwitterアカウント名が使用されています。ただし、当該の研究者はPUBLOADとは一切関係がなく、攻撃者が恣意的にその名前を利用しただけと考えられます。
/earth-preta-spear-phishing-governments-worldwide/Fig10.png)
永続化
PUBLOADは「C:\Users\Public\Libraries\」の配下にフォルダを作成し、そこに不正なDLLや正規の実行ファイルを含む全てのマルウェアをドロップします。その後、下記に示すいずれかの方法によって永続化を図ります。
1. レジストリキー「Run」を追加
cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Graphics /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL \"C:\\Users\\Public\\Libraries\\Graphics\\AdobeLicensing.exe\"\" /f
2. タスクスケジュールを作成
schtasks.exe /F /Create /TN Microsoft_Licensing /sc minute /MO 1 /TR C:\\Users\\Public\\Libraries\\Graphics\\AdobeLicensing.exe
アンチ・アンチウイルス:コールバック関数を指定可能なAPI
マルウェア「PUBLOAD」は、AESのアルゴリズムを用いてシェルコードをメモリ内で復号します。復号済みのシェルコードは、スレッドの新規作成、または別のAPIを仲介して呼び出されます。これらのAPIは引数としてコールバック関数を指定することが可能であり、シェルコードを間接的に呼び出す手段として攻撃者に利用されます。今回使用が確認されたAPIとしては、「GrayStringW」、「EnumDateFormatsA」、「LineDDA」などが挙げられます。コールバック関数を用いる方式は、アンチウイルス製品による監視や検知を回避する手段と考えられます。
/2earth-preta-spear-phishing-governments-worldwide/Fig11.png)
/2earth-preta-spear-phishing-governments-worldwide/Fig12.png)
C&C通信のプトロコル
復号されたPUBLOADのシェルコードは、C&Cに送信する初回ビーコンのペイロードとして、コンピュータ名とユーザ名を収集します。次に、事前に定義済みのRC4(Rivest Cipher 4)鍵を用いて、収集したデータを暗号化します。調査時に確認されたステージャは、全て同じ鍵を使用していました。
暗号化後、ステージャはパケットヘッダー用に特殊なデータを準備します。具体的には、暗号化済みデータの先頭部に固定バイト列「17 03 03」とペイロード自体のサイズを付加します。
/2earth-preta-spear-phishing-governments-worldwide/Fig13.png)
表4(PDF):PUBLOADによるC&Cサーバへのリクエストパケット
ステージャは、C&Cサーバからのレスポンスパケットにも同じ固定バイト列「17 03 03」が付与されているかをチェックします。付与されている場合、ダウンロード済みのペイロードをシェルコードの一部と見なし、メモリ内で直接実行します。
特異なデバッグ文字列
2022年初頭、特異なデバッグ文字列が埋め込まれたPUBLOADの検体が確認されました。このデバッグ文字列は、感染の仕組みを解明しようとする解析者の注意を乱す目的で用意されたものです。
/2earth-preta-spear-phishing-governments-worldwide/Fig14.png)
米国の下院議長であるNancy Pelosiが8月に台湾を訪問した際、繁体字のファイル名を持つアーカイブ「裴洛西訪台後民意匯總.rar(Pelosiの訪台に関する世論集計.rar)」が発見されました。ただし、本調査で回収できたファイルは、アーカイブ内の不正なDLLファイル1件のみでした。論争を引き起こしやすいこのファイル名は、標的のメール受信者に興味を持たせる上で一役買ったと考えられます。回収されたDLLファイルはPUBLOADステージャであり、複数のデバッグ文字列が埋め込まれていることが分かりました。
/2earth-preta-spear-phishing-governments-worldwide/Fig15.png)
Trojan.Win32.TONEINS
Trojan.Win32.TONEINSは、バックドア型マルウェア「TONESHELL」をフォルダ「%PUBLIC%」配下にドロップして永続化を図ります。TONEINSは通常、おとり用アーカイブに含まれる形で配布され、ほとんどの場合その不正なDLLファイルには「libcef.dll」の名前が付けられています。不正な処理は、当該DLLがエクスポートする関数「cef_api_hash」を呼び出すことで起動します。
マルウェア「TONEINS」のコードは難読化されています。これは恐らく解析の妨害を狙ったものでしょう。制御フローとして不要なコードが多く含まれ、さらに無用なXOR演算を多用することで、文字列をデコードしているかのように見せかける細工が施されています。この難読化されたコードは、オープンソースのリポジトリから流用されたものであることが調査によって判明しました。
/2earth-preta-spear-phishing-governments-worldwide/Fig16.png)
TONEINSでは、下記に示す「schtasks」のコマンドによって「TONESHELL」を永続化します。
schtasks /create /sc minute /mo 2 /tn "ServiceHub.TestWindowStoreHost" /tr "C:\Users\Public\Pictures\ServiceHub.TestWindowStoreHost.exe" /f
調査結果を踏まえると、マルウェア「TONESHELL」用にドロップされるファイルの名前や、登録されるタスクスケジュールの名前は、ケースごとに異なります。永続化が完了すると、TONESHELは、正規の実行ファイルと不正なDLLファイルを「%PUBLIC%」の配下にコピーします。両ファイルとも、おとり用アーカイブ内では、「~」から始まる名前が付けられています。今回の例では「~$20220817.docx」が正規の実行ファイルに相当し、DLLのサイドロードを行います。一方「~$20220617(1).docx」は、TONESHELLのバックドアとしてインストールされるDLLに相当します。
/2earth-preta-spear-phishing-governments-worldwide/Fig17.png)
Backdoor.Win32.TONESHELL
マルウェア「TONESHELL」は、今回の攻撃キャンペーンにおける主要なバックドアであり、シェルコードローダとして機能します。起動すると、メモリ内にバックドア用シェルコードを読み、これを32バイトの鍵でデコードします。古いバージョンのTONESHELLには、バックドアのインストールや永続化など、「TOENINS」側の機能が組み込まれていました。一方、新しいバージョンには、インストール関連の機能が一切なく、スタンドアローン型バックドア(ファイル「~$Talk points.docx」など)としての機能のみが維持されています。TONESHELLのコードについては、TONEINSと類似する難読化が施されています。以上より、Earth Pretaは使用するツール類を継続的に刷新し、機能を切り分けることで検知の回避を図っていると考えられます。
解析の妨害:プロセス名のチェック
Backdoor.Win32.TONESHELLは、自身が正常にインストールされたかどうかを確認するため、起動時にまず自プロセスのパスをチェックします。期待通りの場合は、独自の例外ハンドラを呼び出す形で不正なコードを実行します。
/2earth-preta-spear-phishing-governments-worldwide/Fig18.png)
解析の妨害:独自に作られたC++の例外ハンドラ
今回の攻撃で目を引く点の1つは独自に実装された例外ハンドラであり、処理コードの流れを隠す目的で使用されます。図18に示される通り、TONESHELLはプロセス名のチェック結果に応じて異なる例外ハンドラを呼び出すことで、不正な処理を実行します。具体的に、TONESHELLの動作時には、まず関数「_CxxThrowException」を呼び出して例外を発行します。この後、C++のランタイムが当該の例外に紐づく例外ハンドラを特定して呼び出すため、構造体「ThrowInfo」を元手にデータをトレースし、最終的には構造体「_msRttiDscr」のメンバ「CatchProc」を突き止めます。このCatchProcが対象の例外ハンドラに相当し、不正なコードの実体を含みます。今回の例では、例外ハンドラはオフセット「0x10005300」の位置に存在します。一連の手口は処理の流れを隠蔽するだけでなく、解析者によるデバッグ作業を停止させる効果もあります。
/2earth-preta-spear-phishing-governments-worldwide/Fig19.png)
/2earth-preta-spear-phishing-governments-worldwide/Fig20.png)
解析の妨害:フォアグラウンドウィンドウのチェック
TONESHELLの検体をバージョン別で調査したところ、新しいバージョンには、古いバージョンになかったアンチ・サンドボックス判定処理が組み込まれていました。この処理では、API「GetForegroundWindow」を2回呼び出すことで、フォアグラウンドウィンドウの切り替わりを検知します。大半のサンドボックス環境では人手の操作が発生しないため、フォアグラウンドウィンドウが切り替わることはなく、結果として2度のAPI呼び出しで取得されるウィンドウハンドルは同値になるでしょう。逆に2つのウィンドウハンドルが異なっている場合は、サンドボックスではない通常環境であると推測できます。TONESHELLでは、フォアグラウンドウィンドウの切り替えが5回検知された場合にはじめて不正な処理を開始するように設計されています。これは、アンチ・サンドボックス技術と遅延実行技術の双方を組み合わせた方式と言えるでしょう。
/3earth-preta-spear-phishing-governments-worldwide/Fig21.png)
/3earth-preta-spear-phishing-governments-worldwide/Fig22.png)
シェルコードのデコード
不正な例外ハンドラが呼び出されると、次の段階で必要なTONESHELL用シェルコードをデコードします。このデコード処理では、まず0x7DとのXOR演算によって32バイト鍵をデコードします。次に、32バイト鍵を用いてシェルコードの本体をデコードします。
/3earth-preta-spear-phishing-governments-worldwide/Fig23.png)
進化する亜種
解析調査、および追加の脅威ハンティングにより、TONESHELLのシェルコードに相当する亜種が複数発見されました。
亜種A型
TONESHELLは設計上10個のC&Cサーバをサポートしますが、今回発見された検体については、そのうちの1個のみが実際に使用されていました。TONESHELLではC&Cサーバに接続する前に、被害者環境のボリュームシリアルやコンピュータ名、およびランダムで一意な識別子「GUID」を取得し、これらをもとに被害者ID(変数英unique_id)を生成します。
/3earth-preta-spear-phishing-governments-worldwide/Fig24.png)
/3earth-preta-spear-phishing-governments-worldwide/Fig25.png)
亜種A型は、被害端末から下記情報を初回ビーコンとして収集し、C&Cサーバに送信します。
1. 現在のプロセスID
2. ボリュームシリアル
3. ユーザ名
4. コンピュータ名
5. プロダクト名
6. オペレーティングシステムのビット数
7. プロセス一覧
TONESHELLの亜種A型では通信プロトコルとして生TCPが用いられ、リクエストヘッダーとレスポンスヘッダーの先頭部には固定バイト列「17 03 03」が付加されます。今回の調査結果によると、TCPを用いるTONESHELLの全亜種、およびPUBLOADと識別されたマルウェアにおいて、当該の固定バイト列が使用されます。パケットのペイロードはRC4アルゴリズムで暗号化されます。亜種A型によるリクエストパケットの形式は、下記の通りです。
表6(PDF):TONESHELLの亜種A型が用いるリクエストパケットの形式
/3earth-preta-spear-phishing-governments-worldwide/Fig26.png)
TONESHELLのバックドアは、ファイルのアップロードやダウンロード、実行、水平移動・内部活動など、さまざまな機能を提供します。また、機能毎に定義されている内部用文字列も、その内容を反映したものとなっています。なお、本マルウェアの名称「TONESHELL」は、この内部用文字列の誤植表記「TOne PipeShell」から名付けたものです。バックドアに指示可能な全コマンドを、下表に示します。
表7(PDF):亜種A型のコマンド
亜種B型
TONESHELLの亜種B型は、A型と比べて被害者IDの生成方式に若干の差異があります。具体的には、システム起動からの経過時間、ユーザ名、コンピュータ名が用いられます。
/3earth-preta-spear-phishing-governments-worldwide/Fig27.png)
バックドアの通信プロトコルにも差異があります。パケット内のペイロードをエンコードする際にはランダムな32バイト鍵が使用されます。32バイト鍵は、リクエストパケットを作成する度に新規生成されます。
表8(PDF):TONESHELLの亜種B型が用いるリクエストパケットの形式
/3earth-preta-spear-phishing-governments-worldwide/Fig28.png)
バックドアに指定可能なコマンドは下記の通りです。
表9(PDF):亜種B型のコマンド
亜種C型
調査中、TONESHELLのシェルコードをダンプしたデータが、マルウェア検査サイト「VirusTotal」で発見されました(SHA256: 521662079c1473adb59f2d7134c8c1d76841f2a0f9b9e6e181aa54df25715a09)。これが今回述べる亜種C型であり、その動作は他の2つの亜種に類似するものの、C&Cの通信プロトコルにHTTPを用いる点で異なることが判明しました。検体がアップロードされた時期が2021年9月であることを踏まえると、この亜種C型はTONESHELLの早期バージョンに相当すると考えられます。初回ビーコンの送信にはPOSTリクエストが用いられ、被害端末からは下記データが収集されます。
1. メモリ容量
2. ユーザ名
3. コンピュータ名
4. ディスク容量
5. オペレーティングシステムのビット数
6. プロダクト名
/3earth-preta-spear-phishing-governments-worldwide/Fig29.png)
被害者ID(初回ビーコンのヘッダー「Guid」に埋め込まれ、後にヘッダー「Cookie」にも使用される)の生成には亜種A型と同様、ランダムなGUIDが用いられます。また、パケット本体もA型同様にRC4で暗号化されます。バックドアに指定可能なコマンドは下記の通り、ほぼB型に一致します。
表10(PDF):亜種C型のコマンド
脅威ハンティング
最近になってからVirus Totalに「TONESHELL」や「TONEINS」のマルウェア検体が複数アップロードされていることが確認されました。これらをもとに、Google Driveへのi以下のようなリンクを収集しました。
770d5b60d8dc0f32941a6b530c9598df92a7ec76b60309aa8648f9b3a3f3cca5
/3earth-preta-spear-phishing-governments-worldwide/Fig30.png)
通常、このようなダウンロードリンクは初期の侵入経路として発見されます。Google Driveからファイルを直接ダウンロードするリンクは以下の形式で表されます。
https[:]//drive.google.com/uc?id=gdrive_file_id&export=download
「gdrive_file_id」は、ファイルを指定する識別子に相当します。Web画面でファイルの内容や所有者を確認する場合には、URLを以下の形式に変更します。
https[:]//drive.google.com/file/d/gdrive_file_id/view
詳細情報パネルでは、対象ファイルの所有者が表示されます。また、マウスポインタをアイコン上に移動することで、メールアドレスも確認できます。
/3earth-preta-spear-phishing-governments-worldwide/Fig31.png)
/3earth-preta-spear-phishing-governments-worldwide/Fig32.png)
当該のメールアカウント情報により、さらに詳細な調査が可能となりました。例えば、攻撃者がおとり用アーカイブをGoogle Driveに保管する際、またはフィッシングメールを送る際に、同じメールアドレスを用いたことが分かりました。当該メールアドレスを監視ログから追跡することで、攻撃用に配布されたマルウェアをより多く発見できる可能性があります。
攻撃グループの関連付け
今回の攻撃キャンペーンに使用されたTTPsは、SecureWorksが報告した攻撃グループ「Bronze President」によるキャンペーンと類似していることが分かりました。どちらのキャンペーンも、マルウェアを始動する手段として、「.lnk」のファイルを不正使用します。また、両者ともファイルの展開先として類似したフォルダ階層を用います。
/3earth-preta-spear-phishing-governments-worldwide/Fig33.png)
SecureWorksの報告によると、Bronze Presidentはシェルコードを呼び出す際に、「EnumThreadWindows」などのAPIを受け取るコールバック関数を不正使用する手口で知られています。先述の通り、マルウェア「PUBLOAD」でも同様の手口が使用されています。
両キャンペーンの繋がりを示す論拠は、上記以外にも存在します。例えば、SecureWorksが報告したショートカットファイルと、Earth Pretaが使用するC&Cサーバの1つ(98[.]142[.]251[.]29)との間に、一定の関連性が見出されました。具体的に、ショートカットファイルの内容をツール「LECmd」によって調べたところ、そのリンク先パス中のフォルダ名として、当該C&CサーバのIPアドレスが用いられていました。なお、このショートカットファイルは、SecureWorksが報告した以下のおとり用アーカイブに含まれています。
EU 31st session of the Commission on Crime Prevention and Criminal Justice United Nations on Drugs and Crime.rar(SHA256:09fc8bf9e2980ebec1977a8023e8a2940e6adb5004f48d07ad34b71ebf35b877
/3earth-preta-spear-phishing-governments-worldwide/Fig34.png)
図34のメタデータのハッシュ値は以下のとおりとなります。
SHA256:a693b9f9ffc5f4900e094b1d1360f7e7b907c9c8680abfeace34e1a8e380f405
第三に、Cisco Talosが報告した感染チェーンと、今回確認したEarth Pretaの間には、下記の点で類似性が見られます。
1. 双方とも永続化のためにコマンド「schtasks」やレジストリキー「run」を使用
2. 双方ともDLLをサイドロードするために、正規の実行ファイルを使用
3. 双方とも侵入経路として不正なアーカイブを使用
最も重要なこととして、Cisco Talosが報告したステージャは、C&Cとの通信プロトコルにTONESHELLと同じ固定バイト列(17 03 03)を使用します。以上の点より、当該マルウェアファミリとEarth Pretaの繋がりが示唆されます。
結論
Earth Pretaは、PlugXやCobalt Strikeなど既存の攻撃ツールを組み合わせて自身のローダを開発するサイバースパイグループとして知られています。最近では当該グループがツールを継続的に更新しているという報告もあり、その能力をさらに向上させていることがうかがえます。
今回の調査結果を踏まえると、Earth Pretaの侵入を一度でも許すと、そこで盗み出された機密文書が、次の侵害活動の初期経路に不正利用される可能性があります。こうした戦略は、被害の範囲を大幅に拡大させるものです。当該グループの目的として、特にアジアの国々が標的として狙われる傾向にあります。
被害を防ぐために、企業や組織では、フィッシング攻撃の可能性についてパートナーや従業員に十分周知し、これを看破するための敎育を継続的に行うことを推奨します。また、メールを開く前に送信者や件名を必ず2回はチェックし、身元を確認できない送信者や不明な件名に対しては特に警戒することを推奨します。さらに、マルチレイヤーにまたがるシステム保護ソリューションを用いることで、マルウェアの感染チェーンが深く進行する前に、可能な限り早い段階で脅威を検知して阻止することが可能です。
参考記事:
Earth Preta Spear-Phishing Governments Worldwide
By: Nick Dai, Vickie Su, Sunny Lu
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)