EV証明書の不正利用:マルウェア「RedLine」、「Vidar」の最新攻撃手法を解説、ランサムウェア感染の危険も
本稿では、情報窃取型マルウェア「RedLine」や「Vidar」で知られる攻撃グループの新たな動向について解説します。着目すべきポイントとしては、EVコード署名証明書のマルウェアへの付加があります。さらに、情報窃取型マルウェアの配布後、同じ経路からランサムウェアを配布していることが判明しました。
本稿では、情報窃取型マルウェア「RedLine」や「Vidar」で知られる攻撃グループの新たな動向について解説します。着目すべきポイントとしては、EVコード署名証明書のマルウェアへの付加があります。さらに、情報窃取型マルウェアの配布後、同じ経路からランサムウェアを配布していることが判明しました。
トレンドマイクロでは2022年半ば以降、情報窃取型マルウェアファミリ「RedLine」と「Vidar」の活動状況を監視しています。両マルウェアとも、当初からスピアフィッシング詐欺の攻撃に利用されてきました。今年の初頭には、ホスピタリティ業界がRedLineに狙われる事例も確認されています。
最新の動向として、RedLineやVidarの背後にいる攻撃グループは、情報窃取ツールを配布するだけでなく、同じ経路からランサムウェア用ペイロードを配布していることが判明しました。この点より、当該グループは各種技術を多目的で使用できるようにし、さまざまな活動を並列的に行っていると推測されます。今回調査した事例の場合、最初は被害者のもとにEV(Extended Validation)コード署名証明書で署名された情報窃取型マルウェアが配布されていましたが、その後しばらくして、同じ経路からランサムウェア用ペイロードが送りつけられるようになりました。
EVコード署名証明書は、各国で合法的かつ物理的に存在することが確認された企業や組織に対してのみ発行されます。また、通常のコード署名証明書と比べると、身分確認の手続きが厳格化され、秘密鍵の生成に際してもハードウェアトークンが求められるなど、さまざまな追加要件が課せられています。
今年の6月からは、公開鍵基盤(PKI:Public Key Infrastructure)を扱う業界団体「CABF(CA/Browser Forum)」の決定により、通常のコード署名証明書においても、ハードウェアでの鍵生成が必須となりました。本決定は、秘密鍵をより安全に保護する取り組みの一環として、秘密鍵と証明書をソフトウェアデータとしてコピーできない状態で保管することにより、端末から窃取されるリスクを低減するものです。
こうしたセキュリティ対策が施行されているにも関わらず、本調査事例では、2023年の7月から8月にかけてEVコード署名付きの検体が30個以上発見されました。このうち、トレンドマイクロが「TrojanSpy.Win32.VIDAR.SMA」として検知した情報窃取ツールは、検体毎にハッシュ値が異なるなど、多態性(ポリモーフィック)が備わっています。攻撃者によってマルウェアにEVコード署名が付与される事例は以前にもありましたが、単一の攻撃グループからこれほど多くの検体が確認される事例は、弊社の把握している限り、今回が初めてのこととなります。当該の攻撃グループが秘密鍵へのアクセスを取得した手段については、現在のところ不明です。
前回の報告では、QAKBOTのオペレーターが通常のコード署名証明書を不正利用した事例について解説しました。これらの証明書の大半は、単一の攻撃グループに利用されていたものです。当該証明書は、その内容を確認すると、認証局(CA:Certificate Authority)が被害組織になりすしていた攻撃者に対して直接発行したものであると推測されました。本稿で述べるRedLineとVidarの場合、EVコード署名を行った攻撃者は、ハードウェアトークンを自身で保有していたか、ハードウェアトークンが接続された端末へのアクセス権を取得していたと考えられます。
不正なモジュールの署名に利用された証明書については、セキュリティ調査員からの報告に基づいて「失効する」ことが可能な場合があります。失効が成立した場合、当該証明書によるコード署名は無効化されます。X.509証明書を用いたコード署名については「失効日」の設定があり、失効日以降に署名されたモジュールのみが無効化の対象となります。この仕組みの目的は、秘密鍵が侵害される前に署名されたモジュールの有効性を保持することにあります。
本調査事例の場合、しばらくの間、情報窃取ツールのコード署名は無効化されていませんでした。マルウェアの検体に対する署名日が7月17日であったのに対し、証明書の失効日が弊社による報告のあった8月3日に設定されたためです。署名日が失効日よりも早かった結果、本検体の署名は有効なものとして検証され続けることとなりました。
弊社では本件についてCAに問い合わせ、当該の証明書を使用したコード署名が全て無効化されるように、発行日自体を失効日として扱うべきである旨を伝えました。結果、当該証明書の失効日は3月21日として扱われるようになり、その日付以降に署名された検体の全てが無効化されました。このような問題は「効果のない失効日の設定」として知られており、過去の調査報告でも指摘されてきました。
今回調査した証明書のシリアル番号は「5927C49718E319C84A7253F7DEB1A420」であり、下図に示す証明書の失効一覧(CRL:Certificate Revocation List)を見ると、その失効日が8月3日から3月21日に更新されたことが分かります。
技術分析
RedLineとVidarの背後にいる攻撃グループは、被害者を誘導して不正なファイルを起動させるために、従来からよく使用されている手段を行使します。
- スピアフィッシングメール上で健康管理やホテル設備に関するテーマを持ち出し、緊急を装って被害者に行動を促すような文言を使用する。
- 被害者が感染処理の実行ファイルを躊躇なくクリックするように、二重拡張子の手口を用いて当該ファイルを実行形式「.exe」ではなく、文書形式「.pdf」や.画像形式「.jpg」のように見せかける。特に拡張子を非表示に設定している一般ユーザの場合、ファイルの実体が.exeであることに気づきにくくなるため、被害に遭う可能性が高まる。
- 検知回避の手段として、不正なファイルの実行コマンド文が埋め込まれたショートカットファイル(.lnk)を使用する。
- ファイルストレージサービス「Google Drive」にはファイルを自動で検査してマルウェアを排除する仕組みが備わっているが、今回の攻撃者はそれをかいくぐる形で不正なファイルを転送した。
本調査事例の被害者は、今年の6月10日当初、一連の攻撃キャンペーンによって情報窃取型マルウェアを受信していました。しかし8月9日、TripAdvisorの苦情を装った添付ファイルを開くように誘導されたことが引き金となり、今度はランサムウェアを受信しました。添付ファイルは二重拡張子(.pdf.htm)によって無害な.pdfに偽装されていますが、実体としては、.htmのペイロードが隠されています。
被害者が添付ファイルを開き、「Read Complaint(苦情を確認)」のボタンを押すと、自動で下記のJavaScriptファイルが「samuelelena[.]co」からダウンロード、実行されました。
hxxps://samuelelena[.]co/npm/module.external/jquery.min.js
hxxps://samuelelena[.]co/npm/module.external/moment.min.js
hxxps://samuelelena[.]co/npm/module.external/client.min.js
hxxps://samuelelena[.]co/npm/module.tripadvisor/module.tripadvisor.js
上記JavaScriptが読み込まれた結果、さらに「TripAdvisor Complaint-Possible Suspension.exe」がダウンロード、実行されました。なお、コンピュータヘルプサイト「BleepingComputer」では、添付ファイルの別バージョンに関する報告も上がっています。別バージョンの場合、「Read Complaint」ボタンの押下時に「.exe」ではなく、「XLL」形式のファイルがダウンロードされます。「XLL」は.NETをMicrosoft Excelに統合するものであり、その作成にはExcel-DNAが使用されます。被害者が本ファイルを開くと、マルウェアの処理が進行します。
実行ファイル「TripAdvisor Complaint-Possible Suspension.exe」が起動すると、まず、下記URLに接続しました。
- hxxps://doi[.]org(デジタルオブジェクト識別子の運用システム)
- hxxps://i.ibb[.]co/Gp95Qcw/2286401330.png(画像のホスティングサイト)
さらに、ファイル「2286401330.png」の内容を読み取り、これを暗号化状態のシェルコードに変換し、下記パスに保存しました。
C:\Users\<username>\AppData\Roaming\KYMRCRHEVFUJGZHWNKKD\YUUUBCFJVYCNCBMABZLBL
続いて、暗号化状態のシェルコードを復号し、それを使用してもう1つのシュルコードを生成し、下記パスに保存しました。
C:\Users\<ユーザ名>\AppData\Local\Temp\70685a9e
この後、「TripAdvisor Complaint-Possible Suspension.exe」はcmd.exeを起動し、そこに復号済みの第二シェルコード「70685a9e」をインジェクト(埋め込み)しました。続いてcmd.exeが正規な7-Zip形式のスタンドアローン型コンソールアプリケーション「rgb9rast.exe」をパス「%temp%」に作成し、これを下記のコマンドで起動しました。
C:\Users\<username>\AppData\Local\Temp\rgb9rast.exe
最終的に、rgb9rast.exeの内部にランサムウェア用ペイロード(トレンドマイクロでは「Ransom.Win64.CYCLOPS.A」として検知)がインジェクトされました。このrgb9rast.exeの動作を検証したところ、ランサムノート(脅迫状)の作成、ファイルの暗号化、暗号化済みファイルに対する拡張子「.knight_l」の付加、さらに、ネットワーク上のファイルを暗号化するために外向きのSMB(Server Message Block)通信を行うことが分かりました。
今回観測したオペレーションでは、攻撃者が利用する不正なファイルの名前として、下記が確認されました。これらのファイルもまた、EVコード署名が付与されていました。
- Additional information about the reservation.exe
- doctor's opinion.exe
- Doctor's recommendations.exe
一方、EVコード署名が付与されていない不正なファイルの名前として、下記が確認されました。
- Additional information about the reservation.exe(「information」は「information」の誤記と考えられる)
- TripAdvisor Complaint - Possible Suspension.exe(ランサムウェア)
二重拡張子が付与されたファイル名としては、下記が挙げられます。
- Additional information about the reservation.jpg.exe
- Additional information about the reservation.pdf.exe
- cleaning products recommendations.pdf.exe
- doctor's opinion.pdf.exe
- doctor's opinion.pdf.exe.exe
- Doctor's recommendations.pdf.exe
- Requests.pdf.exe
- requests.pdf.exe
ランサムウェア用ペイロードの配布手段として頻繁に利用されたパスを、下記に挙げます。
C:\Users\[ユーザ名]\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\AHYEW8U2\TripAdvisor-Complaint-Lcn5en.PDF.htm
C:\Users\[ユーザ名]\AppData\Local\Temp\gigiduru.PDF.htm
C:\Users\[ユーザ名]\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\MNV4PEH3\TripAdvisor-Complaint-9dyl66.PDF.htm
C:\Users\[ユーザ名]\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\J53L41BP\TripAdvisor-Complaint-1uy8dx.PDF.htm
まとめ
CABFのセキュリティ強化策により、EV証明書の発行手続きが厳格化され、秘密鍵もより厳重な保護下に置かれるようになりました。そうした状況にも関わらず、今回の攻撃グループはEV証明書によるコード署名を情報窃取型マルウェアに付与し、これを拡散させました。侵害された秘密鍵を使用したコード署名が確認され、その証明書を失効する場合、不正なファイルの全てが確実に無効化されるように、適切な失効日をCAと調整することが求められます。
今回挙げた情報窃取ツールの検体がEV証明書でコード署名されていたのに対し、ランサムウェア用ペイロードの作成を担うファイルにはいかなるコード署名もありませんでした。しかし、双方とも同じ攻撃グループから来たものであり、同じ経路で配布されています。以上を踏まえると、ペイロードの供給者と運用者の間にはある種の分業体制が敷かれていると推測されます。
情報窃取ツールに遭遇したユーザは、ランサムウェア攻撃の可能性にも注意することを推奨します。特に今回の事例を踏まえると、攻撃グループは異なる目的や活動に合わせて様々な技術を効率的に活用することに意欲的であると考えられます。
本稿で述べた調査結果は、アタックサーフェス(攻撃境界)の保護機能を的確に運用し、不正なファイルがユーザ側に到達する前に排除することの重要性を示すものです。企業や組織では、脅威が進行する前の早い段階から攻撃を阻止し、システム侵入による被害が広がる前にこれを検知できるように、シフトレフト(Shift Left:攻撃ライフサイクルの早い段階に焦点を向ける)の発想に基づく対策の実施を推奨します。ランサムウェアの場合、早期の検知と緩和策により、機密情報が攻撃者側に窃取され、利用されるような事態を回避できるでしょう。ユーザの方は、未確認のWebサイトや提供元からファイル、プログラム、ソフトウェアをダウンロードしないように注意し、さらに個人または企業システムの安全性を高めるため、多層保護システムの導入を推奨します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)についてはこちらで確認してください。
参考記事:
RedLine/Vidar Abuses EV Certificates, Shifts to Ransomware
By: Trend Micro Research
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)2