APT&標的型攻撃
標的型攻撃グループ「Earth Preta」の最新活動実態を解明
本記事では、標的型攻撃グループ「Earth Preta」が用いる最新のTTPs(Tools:ツール、Techniques:テクニック、Procedures:プロシージャ)について、技術的な視点を交えて詳しく解説します。また、本グループに繋がるさまざまな証跡がどのように関連付けられたかについても説明します。
はじめに
トレンドマイクロでは2022年11月、「Earth Preta(別称:Mustang Panda)」が展開する大規模なフィッシング攻撃に関する調査結果を報告しました。Earth Pretaは標的型攻撃の中でも、特にAPT(Advanced Persistent Threat)に分類される攻撃者グループです。この調査の中で確認したEarth Pretaの攻撃キャンペーンでは、スピアフィッシングメールが使用され、アジア太平洋の国々が標的として狙われました。またこの調査では、Earth Pretaが主に行政機関などの組織を攻撃していることも判明しています。
2023年以降、Earth Pretaは新たな侵入経路としてマルウェア「MIROGO」や「QMAGENT」を用いるようになりました。また、以前の記事で述べたマルウェア「TONEINS」や「TONESHELL」を作成(ドロップ)する新たなドロッパ型マルウェア「TONEDROP」も発見されました。直近の調査結果として、Earth Pretaによる攻撃の対象地域は拡大傾向にあり、東ヨーロッパや西アジアの他、アジア太平洋圏内においても台湾やミャンマー、日本をはじめとする複数の国々が狙われています。
今回の調査では、上述のマルウェアやそのダウンロード用サイトを分析し、Earth Pretaが各種セキュリティソリューションを回避するために使用したツールやテクニックを解明しました。例えば、不正なダウンロード用サイトからさまざまなスクリプトを収集し、それらの機能や仕組みを特定しました。また、Earth Pretaは標的に応じて異なるペイロードを送り込んでいることも確認されました。
本稿では、Earth Pretaが使用する最新のTTPs(Tools:ツール、Techniques:テクニック、Procedures:プロシージャ)について、技術的な視点を交えて詳しく解説します。また、本グループに繋がるさまざまな証跡がどのように関連付けられたかについても説明します。以降に述べる調査結果の一部は、セキュリティ会議「Botconf 2023」の議題としても取り上げられ、また、Check Point ResearchのCamaro Dragonに関するレポートによって初めて公開されました。
被害者に関する分析
2023年1月以降、さまざまな地域の個人を標的とするスピアフィッシングメール攻撃が、複数回に渡って確認されています。「Trend Micro™ Smart Protection Network™」を用いて攻撃の状況を調べたところ、標的とされる地域は拡大傾向にあり、西アジアや東ヨーロッパにまで及んでいることが判明しました。
また、被害者を業界別に分類した結果を図2に示します。この内容より、被害者の過半数が行政関連の組織に従事または関与していることが分かります。続いて、通信事業の従事者も狙われる傾向にあります。
2023年における侵入経路
2023年、Earth Pretaが利用する新たな侵入経路として、マルウェア「MIROGO」や「QMAGENT」の他、バックドア「TONESHELL」を作成する新型ドロッパ「TONEDROP」が確認されました。同様に、これらの侵入経路を発端とする感染チェーンにも変化が見られました。例えば、不正なファイルの配布元として、正規なGoogle Driveのダウンロードリンクに加え、Google Driveのページに扮した偽装サイトも併せて用いられるようになりました。以降、これらの新型マルウェアや関連するTTPsについて解説します。
Backdoor.Win32.QMAGENT
2023年1月頃、スピアフィッシングメールを介して行政機関の関係者向けにマルウェア「QMAGENT」が配布されていることが確認されました。このQMAGENT(別称:MQsTTang)はESETのレポートで初めて報告され、通信プロトコルとしてMQTTを用いる点で特徴的です。MQTTは通常、IoT(Internet of Things:モノのインターネット)機器間でデータやコマンドを送受信する目的で使用されます。本マルウェアの技術的な詳細についてはESETのレポート内に掲載されているため、本稿では触れません。しかし、この特徴的な通信プロトコルについてはさらなる調査を行う必要があると考え、今回、追加の分析を行いました。その結果については、後述する「QMAGENTによるC&Cサーバとの通信」の章をご覧ください。
Backdoor.Win32.MIROGO
弊社は2023年2月、Go言語で作られたバックドア「MIROGO」に該当するファイルを発見しました。本マルウェアを最初に報告したのはCheck Point Researchであり、「TinyNote」の名で呼ばれました。MIROGOの配布経路はフィッシングメール中に埋め込まれたGoogle Driveのリンクであり、そこからまず、アーカイブ「Note-2.7z」がダウンロードされます。このアーカイブにはパスワードがかけられていますが、そのパスワードはメールの本文内に記載されています。本アーカイブの中身を展開したところ、東アジアの行政機関向け文書に扮した実行ファイルが含まれていました。
Trojan.Win32.TONEDROP
2023年3月、マルウェア「TONEINS」と「TONESHELL」を作成する新たなドロッパ「TONEDROP」が発見されました。本ドロッパが絡む感染チェーンは、前回の報告に類似したものとなります。また、そこで使用される偽文書のファイル内には、XORで暗号化された不正なバイナリが埋め込まれています。
以降数ヶ月に渡って、Earth Pretaは同じドロッパを使用し続けました。これとは別に、本ドロッパが作成するバックドア「TONESHELL」の新型亜種が発見されました。以降、技術的な詳細について解説します。
TONEDROPは、各種ファイルの作成前に、フォルダ「C:\ProgramData\LuaJIT」の存在をチェックし、標的端末がすでに感染しているかを確認します。また、マルウェア解析ツールに関連するプロセスやウィンドウの存在もチェックします。存在する場合は、本処理を行うことなく終了します。
全ての条件を満たした場合、TONEDROPはインストール処理を開始し、各種ファイルの作成を行います。これらファイルはドロッパ内部に埋め込まれ、XOR鍵で復号されます。
標的端末内に作成されたWaveeditNero.exeは、waveedit.dllをサイドロードし、2つの偽PDFファイルを復号します。
表2に挙げた「last.pdf」をXOR鍵「0x36」で復号し、以下として保存する。
C:\users\public\documents\WinDbg(X64).exe
表2に挙げた「update.pdf」をXOR鍵「0x2D」で復号し、以下として保存する。
C:\users\public\documents\libvlc.dll
TONEDROPは、以下をタスクスケジュールとして登録します。
C:\users\public\documents\WinDbg(X64).exe
このWinDbg(X64).exeは、以下をサイドロードすることで、メモリ内に不正なペイロードを構築します。
C:\users\public\documents\libvlc.dll
次に、コールバック関数付きの以下のAPIを呼び出すことで、当該のペイロードを実行します。
EnumDisplayMonitors
TONESHELLの亜種D型によるC&Cサーバとの通信プロトコル
先述の通り、今回の調査では、バックドア「TONESHELL」の新型亜種が発見されました。本亜種とコマンド・コントロール(C&C:Command and Control)サーバ間での通信プロトコルとして、下記形式のパケットが使用されます。
この通信プロトコルは、TONESHELLに属する他の亜種や、PUBLOADとも類似しています。また、一意な被害者IDの生成時には、古い亜種と同様にAPI「CoCreateGuid」が使用されます。以上を踏まえ、弊社ではこの新型亜種を「亜種D型」として分類しました。
最初のハンドシェイク通信で送信されるペイロードのサイズは0x221バイトであり、暗号鍵や一意な被害者IDが含まれます。このペイロードの構成を表4に示します。なお、フィールド「type」、「victim_id」、「xor_key_seed」については、「xor_key」の値で暗号化された状態で送信されます。
亜種D型は、被害者IDの値を以下のファイルに保存します。
%USERPROFILE%\AppData\Roaming\Microsoft\Web.Facebook.config
亜種D型がC&Cサーバと通信する際の手順をまとめると、下記のようになります。
- C&Cサーバ宛に「xor_key」や「victim_id」を含むハンドシェイク通信データを送信する。
- C&Cサーバから「magic(17 03 03)」と「size(00 02:後続のペイロードが2バイトであることを示す)」で構成される5バイトのパケットを受信する。
- C&Cサーバから2バイトのペイロード用パケットを受信し、これを「xor_key」の値で復号する。復号後の先頭バイトは0x08となっている。
- さらにC&Cサーバから「magic」と「size」で構成される5バイトのパケットを受信する。
- C&Cサーバからペイロード用パケットを受信し、これを「xor_key」の値で復号する。復号後の先頭バイトは亜種D型が実行すべきコマンドのコードを、残りのバイト列は追加情報を表す。
Google Driveの偽サイト
弊社では2023年4月、マルウェア「QMAGENT」および「TONEDROP」のダウンロード用サイトについて調査しました。実際に当該の以下のURLにアクセスしたところ、アーカイブファイル「Documents.rar」がダウンロードされました。
https://rewards[.]roshan[.]af/aspnet_client/View.htm
このアーカイブには、QMAGENTに相当するファイルが含まれていました。
本サイトは一見するとGoogle Driveのダウンロード用ページに見えますが、その実態は偽装サイトであり、一枚の大きな画像(gdrive.jpg)を貼り付けた構成となっています。サイト内のコードが起動すると、以下のスクリプトファイルが呼び出され、これによってファイル「Document.rar」のダウンロードが行われます。
https://myanmarfreedomwork[.]org/Js/jQuery.min.js
2023年5月の調査では、Earth Pretaが同じダウンロード用サイトを利用し続けながらも、異なるパス上にTONESHELLを配備していることが判明しました。こうしたパスの例として以下が挙げられます。
https://rewards[.]roshan[.]af/aspnet_client/acv[.]htm
さらに攻撃者は、図11のように、JavaScriptを使用して不正なスクリプトのURLに難読化を施しました。
(図10の「https://myanmarfreedomwork[.]org/Js/jQuery.min.js」に相当)
スクリプト「jQuery.min.js」が起動すると、以下のアーカイブファイルがダウンロードされます。
https://rewards.roshan[.]af/aspnet_client/Note-1[.]rar
攻撃の痕跡を探る
本調査では、複数の手法によってインシデントを分析し、攻撃に関するさまざまな証跡を繋ぎ合わせました。分析の結果は、「コードの類似性」、「QMAGENTによるC&Cサーバとの通信」、「サーバ運用でのセキュリティ不備」の3項目に分類されます。
コードの類似性
マルウェア「MIROGO」と「QMAGENT」のコードは、互いにある程度類似していることが分かりました。弊社が監視しているテレメトリ情報上、両マルウェアのヒット件数はごく少数に限られています。そのため、これらのマルウェアはサイバー犯罪用の共用ツールなどではなく、Earth Preta自身が独自に保有するツールであると考えられます。また、似たような通信プロトコルが2つの異なるプログラミング言語によって作成されている点も、注目に値します。
QMAGENTによるC&Cサーバとの通信
マルウェア「QMAGENT」は、MQTTプロトコルによる通信に際して、「通信経路でのデータ暗号化なし」かつ「承認不要」の設定を用いていることが判明しました。また、MQTTプロトコルの特徴として、個々のパブリッシャーが送信したメッセージは、他の全てのサブスクライバー宛てに届けられます。以上を踏まえ、今回の調査ではQMAGENTの模擬クライアントを作成し、被害端末とC&Cサーバ間の全メッセージを監視しました。さらに、メッセージの数に基づいてQMAGENTの被害件数を測定しました。長期に渡る監視と分析の結果、下記のような統計が得られました。
トピック「iot/server0」は、解析またはデバッグ環境の検出に使用されるものです。そのため、該当の被害件数は少数に留まっています。全体として、3月には被害件数が急増していることが見て取れます。この理由として、3月2日にQMAGENT(MQsTTang)に関するレポートがESETから公開されたことを受け、数多くの解析システム(サンドボックスなどの解析環境)が稼働したことが挙げられます。当時の状況について分析するため、図15の通り、被害件数を時間別に細かく切り分けました。
ESETのレポートが公開されたのは、おおむね正午のことであり、それから3時間後から5時間後にかけて被害件数が急増しました。これは、実際にQMAGENTに関する情報が広まり、解析用システムが動き出すまでの遅延時間と考えられます。
マルウェア「QMAGENT」は、C&Cサーバに送信するJSONデータ内にキー「Alive」を含めることで、自身の稼働時間を分単位で通知します。今回の監視で取得された全JSONデータから「Alive」の値を抽出し、これら頻度順に並べた結果を下表に示します。
上表に挙げた上位10件の稼働時間について、近いもの同士を互いにまとめて分類すると、473秒、200秒、170秒近辺が特に多いことが分かります。今回の被害件数中には多くの解析システムが含まれていることを踏まえると、これらの値は、当該解析システムにおける一般的なタイムアウト時間であると推測されます。例えばサンドボックス「CAPEv2」のデフォルト・タイムアウトはちょうど200秒となっています。しかし、これ以外の稼働時間については、まだ確認できていません。
サーバ運用でのセキュリティ不備
調査において、不正なアーカイブファイルのダウンロード用リンクがいくつか確認されました。Earth PretaはGoogle Driveリンクだけでなく、他のクラウドプロバイダがホストするさまざまなIPアドレスを併せて利用していることが分かりました。最近確認されたダウンロード用リンクの例を下表に示します。
上表のパスを見ると、「/fav/xxxx」や「/f/xx」など一定のパターンに従っていることが分かります。分析の結果、この「xx」は被害者に関する情報(国コード)を示すことが判明しました。例えば最初のパス「/fav/tw1」は、台湾の被害者に対する攻撃に使用されるものです。
ダウンロード用サイト「80[.]85[.]156[.]151(PythonのSimpleHTTPServerで稼働)」のポート番号「8000」では、同サイトに配備されているファイルやディレクトリに関する一覧情報(オープンディレクトリ)が公開されていました。これが引き金となり、数多くのデータやスクリプトが発見されました。
ダウンロード用サイトに配備されていたファイルのうち、特に重要なものを下表に示します。
以降、サーバ上に配備された各スクリプトについて解説します。
ファイアウォール:fw.sh
スクリプト「fw.sh」は、特定のIPアドレスからのアクセスを拒否する機能を備えています。拒否対象とするIPアドレスは、ファイル「blacklist.txt」に定義されています。今回の攻撃者は、Webリクエスト用ツール「wget」、「curl」、「Python Requests」によって動作するWebクローラーやセキュリティプロバイダを拒否対象として選択しているように見受けられます。これは、自身の手掛けるダウンロード用サイトが解析されないようにするためと考えられます。
サーバのメイン機能:app.py
メインのスクリプト「app.py」は、Webサーバをホストすると同時に、被害端末からの接続を待ち受けます。待ち受け対象のパスとして、下記が定義されています。
図20に、ダウンロード用サイトのルートパス「/」にアクセスした結果を示します。Googleを装った偽装メッセージが表示されています。
一方、Webページ「/webchat」では、2名のユーザ間でチャットを行う機能が提供されています。ログイン時に必要なユーザ名とパスワードはソース内にハードコーディングされ、「john:john」および「tom:tom」となっています。
チャットにログインしたユーザは、Webソケット経由でテキストメッセージを送ることが可能であり、送信した全メッセージが画面に表示されます。ハードコーディングで定義された2名のユーザ「tom」と「john」は、ともに攻撃の協力者であると推測されます。また、Webチャットのテンプレートファイルを確認したところ、中国語の簡体字が部分的に使用されていました。この点より、当該の攻撃グループには中国語の話者が含まれている可能性が考えられます。
先述の通り、不正なダウンロード用URLの大半は、「/fav/xxxx」または「/file/xxxx」の形式に準拠しています。このうち、パス「/fav/<名前>」などへのアクセスがあった場合はスクリプトが起動し、HTTPヘッダー「User Agent」の内容を取得します。その中に下記文字列が含まれている場合は、感染端末側でペイロード「Documents.rar」がダウンロードされるように、処理を行います。
- Windows NT 10
- Windows NT 6
アーカイブ「Documents.rar」は、IPアドレス「80[.]85[.]157[.]3」上に配備されています。ただし、HTTPヘッダー「User Agent」の条件が満たされていない場合、アクセス元のユーザは別のGoogle Driveリンクにリダイレクトされます。一連の仕組みは、被害者に応じて異なったペイロードを配布するための手段であると考えられます。なお、ペイロードそのものは本稿執筆時点でまだ見つかっていないため、その内容が不正であるという確証は得られていません。
特記事項として、サーバに対するアクセスがある度に、IPアドレスやリクエストヘッダー、リクエストURLの内容がログファイルとして保存されます。このログファイルの格納場所は、パス「/static」の配下となります。
ログファイル格納場所:/static
フォルダ「/static」配下には、数多くのログファイルが格納されています。また、これらのファイルは、攻撃者自身によって手作業でログローテーション(ログファイルが一定のサイズに達したタイミングで別のファイルに切り分ける)されているように見受けられます。本稿執筆時点で、2023年1月3日から3月29日にかけてのログファイルが確認されています。また、初回発見時には40個のログファイルが存在していました。
今回、これらログファイルの構造解析を行いました。ファイル内には被害端末からのアクセス履歴が保持されているため、そこから攻撃に関する有用な手がかりが得られると期待されます。まず、ログファイル内の各レコードは、下記の形式に準拠しています。
[アクセス元のIPアドレス] ---- [アクセス日時]
[ ヘッダー情報
// Host:
// User-Agent:
など
]
[アクセス先URL]
今回は特に被害者の所在国に着目して解析を行いました。先述したメインスクリプト「app.py」の内容を踏まえると、ログファイルには、下記2種のパスに対するアクセス履歴が記録されます。
これらのURLは通常、メールの本文中に埋め込まれています。表中、第一のURLはメールの署名枠として、第二のURLはダウンロード用リンクとして用いられます。このうち、署名用のURLは、被害者がメールを開いたタイミングでアクセスされます。今回はフィッシングメールを受信した被害者数を調べるために、署名用のURLに対するアクセス履歴のみをログファイル中から抽出しました。抽出解析の結果、被害者の主な所在地は、リトアニア、ラドビア、エストニア、日本、ミャンマーであることが分かりました。
なお、上図のアクセス件数は、複数あるサイトの1サイト上で取得されたログファイルに基づくものであり、攻撃キャンペーン全体を反映したものとは言えない点にご留意ください。当該の1サイトに関しては、特にヨーロッパの標的に不正なファイルを配布する目的で使用されたものと考えられます。
これらログファイルからは、攻撃に利用されている不正なリンクが多数発見されました。その内容については、末尾の章「補足:フォルダ「/static」から検出されたURL」をご参照ください。
結論
前回の2022年における調査では、Earth Pretaによる攻撃の標的がオーストラリア、フィリピン、台湾などのアジア太平洋圏に集中していることが確認されました。しかし、今年に入ってからはヨーロッパの国々も狙われるようになるなど、標的の範囲が拡大しているように見受けられます。
Earth Pretaは前回の攻撃で侵害済みのGoogleアカウントを再利用して、攻撃キャンペーンを継続していると推測されます。また、セキュリティソリューションを回避するためにさまざまな手口を行使していることも判明しました。C&Cサーバの監視結果として、当該グループは、同一のC&Cサーバを後続の攻撃にも利用し続ける傾向にあります。
各種攻撃キャンペーンの分析に基づくと、Earth Pretaが用いる攻撃用ツールは、似たような機能やC&C通信プロトコルを搭載しながらも、異なるプログラミング言語によって作成されているケースが多く見られます。この点より、Earth Pretaは開発スキルの向上を目指していると推測されます。しかし、今回はサーバ上のセキュリティ不備により、攻撃の裏側で使用されている各種スクリプトが発見され、攻撃の進行に関する詳細な情報が露呈するに至りました。
トレンドマイクロでは以前、Earth Pretaに関する広範な調査と分析を実施しました。TTPsの進化は、当該グループの活発さを裏付けるものであり、今後、より多くの攻撃キャンペーンが展開されていくと予想されます。弊社では、これまで同様にEarth Pretaの動向を注視し続け、情報の公開に努めてまいります。
MITRE ATT&CK Tactics and Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
補足:補足:フォルダ「/static」から検出されたURL
本補足情報についてはこちらで確認してください。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)についてはこちらで確認してください。
参考記事:
·Behind the Scenes: Unveiling the Hidden Workings of Earth Preta
By: Sunny Lu, Vickie Su, Nick Dai
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)