APT&標的型攻撃
サイバー攻撃グループEarth Hundun(BlackTech)の活動傾向と攻撃手法の解説
2023年9月27日、警察庁、NISC、NSA、FBI、CISAが共同でサイバー攻撃グループ「Earth Hundun(BlackTech)」に関する注意喚起を公開しました。トレンドマイクロにおいて過去に観測したEarth Hundunの活動概要と攻撃手法を解説します。
2023年9月27日、警察庁および内閣サイバーセキュリティセンターは、国家安全保障局(NSA)、米連邦捜査局(FBI)及び米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)とともに、サイバー攻撃グループ「Earth Hundun(BlackTech)※」に関する注意喚起を公開しました。
※Earth Hundunはトレンドマイクロによる命名となり、本稿ではEarth Hundunとして取り扱います。BlackTechは同対象の「MITRE ATT&CK」の分類となります。
トレンドマイクロにおいても、Earth Hundunによる国内組織を対象とした攻撃を過去に確認しており、攻撃手法について解析を行っています。攻撃者や攻撃手法を分析し理解することは、組織における効果的なセキュリティ対策に繋がることから、トレンドマイクロで観測した該当の標的型攻撃の特徴やTTPs(戦術・テクニック・手順)について、「国内標的型攻撃分析レポート2022年版」をもとに解説します。
Earth Hundunの活動概要
2021年における日本国内でのEarth Hundunによる活動では、2020年以前に確認されたマルウェア「PLEAD」や「WATERTIGER(TSCookie)」が用いられたインシデントの観測は、2020年から継続して減少傾向にあります。ただし、観測自体は減っているものの、PLEAD やWATERTIGER、また同様にEarth Hundun が用いることが知られているマルウェアである「BIFROSE」を用いた攻撃については、完全に終息したわけではなく、一部では引き続きこれらマルウェアを用いた攻撃が継続していると考えられます。
一方、2021年7月には、Earth Hundun に関連する新しいマルウェアとして「BUSYICE(Flagpro)」・「FAROST(Gh0stTimes)」などが確認されました。これらマルウェアを用いた日本関連の攻撃では、中国内の関連組織に対するスピアフィッシングメールを起点とした攻撃を確認しています。BUSYICEの感染経路に用いられた不正マクロ付のドキュメントファイル(弊社検出名: LAMICE)は、過去にEarth Hundunがほぼ同様のマクロを用いたことが確認されています。
Earth Hundunによる初期侵入手法
Earth Hundunが用いる初期侵入手法としては、スピアフィッシングメールが用いられた事例を確認しています。メールの内容は攻撃対象組織の人物に対し、関係者を装ってメール添付の資料を閲覧させようとするものとなっており、メール内で扱われているトピックは一般的な時事のニュースなどではなく関係者同士のやり取りに見せかけていることが特徴です。
Earth Hundun により使用されたマルウェア・ツール
LAMICE
LAMICEはドキュメント内に埋め込まれた不正なマクロを含むファイルとなっています。ユーザがファイルを展開後、マクロを有効化することで実行されます。不正マクロは、マクロ内に含まれる10進数のデータを変換する処理を経て、不正ファイルを作成、端末内にドロップし実行する仕組みです。2020年・2021年に観測された事案では、LAMICE から後述のBUSYICE というマルウェアがドロップされます。
BUSYICE (Flagpro)
BUSYICEはLAMICEからドロップされるダウンローダ兼簡易的バックドアであり、主に以下の機能を持ちます。
- ファイルのダウンロードと実行: BUSYICE はC&C サーバから検体をダウンロードし実行します。ファイルは「%TEMP%\MY[ランダム文字列].tmp」というファイルで一時的に保存された後、「.exe」に拡張子を追記して実行されます。
- コマンドの実行と実行結果の送信: C&Cサーバとの通信は、COMオブジェクトを用いてInternet Explorerを経由して行います。コマンドリクエストや実行結果の送信は、検体内にハードコードされたURL に対して、URLパラメータの値として送信します。通信を行うURLは目的ごとに異なり、以下のURLを使い分けます。パラメータ(送信を行うデータ)はBASE64でエンコードしたうえで送信します。
- 認証情報の窃取および窃取情報の送信: BUSYICE にはInternet Explorerの認証情報を窃取する機能があります。窃取された情報はBASE64エンコードされた状態で送信されます。
FAROST(Gh0stTimes)
FAROSTはオープンソースのRATであるGh0stRATを改造したと見られる検体です。JPCERT/CCが指摘している通り、既存のGh0stRATに追加のコマンド群やC&C サーバと疎通時における認証機能の強化が行われています。Earth Hundunは2020年においても類似の改造版Gh0stRATを用いた攻撃を国内組織に対して行っていたことがわかっています。今回確認されたFAROSTは細かな点を除き、2020年に確認した検体と概ね差異はありません。
Earth Hundunにより使用された攻撃手法
LAMICEやBUSYICEを用いた攻撃については、使用されたマルウェア、ツール等についても多くはVirusTotal上に関連ファイルが存在していました。また、Earth Hundunが用いていた不正なサーバの一部についてはオープンディレクトリ状態、つまりサーバ上のファイル一覧が取得可能な状態となっていましたが、これは攻撃者の設定ミスによるものと考えられます。当該サーバ上には、各種のマルウェアの他、FAROSTのコントロール用とみられる攻撃者用のツールも確認されました。
考察
Earth Hundunによる、LAMICE・BUSYICE・FAROSTなどを用いた攻撃、また関連の検体については2022年3月時点では、日本国内の組織に関連する事例でのみ観測されているものです。トレンドマイクロが観測している範囲での攻撃対象は、通信、また防衛や環境関連の組織でした。それに加えこのキャンペーンでは、関係する有識者個人のメールアドレス宛へのスピアフィッシングメール送付が行われている可能性があります。過去にもTSCookieなどを用いた攻撃で有識者個人を対象としていた事例を確認しているため、LAMICEなどを用いた攻撃でも特に個人を対象とした攻撃が行われている可能性は高いものと考えられます。
Earth Hundunに関する調査の詳細や、その他国内組織に対する攻撃グループの標的型攻撃の解説については、国内標的型攻撃分析レポートを参照ください。
