APT&標的型攻撃
攻撃グループ「Pawn Storm」が有力な組織に対してステルス型のブルートフォース攻撃を展開
攻撃グループ「Pawn Storm」による近年の手口について、技術的な視点を交えて解説します。本稿で伝える情報は、Pawn Stormの活動を把握し、的確な対策を打ち立てる上で役立つものと考えられます。
はじめに
Pawn Storm(別称:APT28またはForest Blizzard)は、標的型攻撃(APT:Advanced Persistent Threat)を展開するグループであり、同じTTPs(Tactics:戦略、Techniques:テクニック、Procedures:プロシージャ)を幾度となく繰り返し用いる点で特徴的です。本グループは時として、1組織内の数百名に及ぶ従業員を相手に、同じ攻撃手段を一斉に行使する場合があります。
本グループは、十年来に及ぶ古いフィッシングメールキャンペーンを展開し続けていることで知られています。その標的として、世界各地に存在する有力な企業や組織が狙われています。一方、この古くから続く活動に使用される手口やインフラに、大きな変化は見られません。そのため、過去の活動履歴が、現在のインフラ構成や手口を解析する際の貴重な手がかりとなっています。このことは、本グループが行うさらに高度な攻撃キャンペーンについても同様です。
同じ手口に固執し続ける姿勢は、必ずしも攻撃グループとしての失策や、脅威の低下を示すものではありません。実際のところPawn Stormは、時間をかけて数千にも及ぶメールアカウントを侵害しています。表面的には同じ攻撃手段が繰り返されているだけに見えても、実際には巧妙でステルス性の高い手口が織り込まれていたケースが存在します。さらに、より高度なTTPsの使用も確認されています。ここで注意すべき点は、何度も繰り返される目に付きやすい手口に気を取られるあまり、慎重かつ静かに実行される手口に気づけない場合があることです。後者として、Pawn Stormによる初期侵入や、標的システムにおける足場の構築後に行われる諸活動が該当します。
トレンドマイクロの分析によると、Pawn Stormは2022年4月から2023年11月にかけて、さまざまな手段を駆使して「NTLMv2 ハッシュリレー攻撃」を実行しました。標的としては特に行政機関が狙われやすく、組織数、亜種数の双方において、分布上の大きな山が見られました。実際にPawn Stormがスピアフィッシングメールを送りつけた標的として、外交、エネルギー、防衛、運輸、労働、社会福祉、金融、子育てに関する組織の他、地方自治体、中央銀行、裁判所、軍隊所属の消防組織などが挙げられます。
本グループによるNet-NLTMv2ハッシュリレー攻撃は、ただ回数が多いだけの乱雑な作戦と見るべきでしょうか。それとも、世界各地の政府や防衛産業、軍隊が管理するネットワークに侵入する試みをブルートフォース攻撃によって自動化し、対費用効果の向上を狙った作戦と見るべきでしょうか。
トレンドマイクロの分析では、後者の可能性が高いと考えられます。また、ポーランドの防衛省やMicrosoft社が最近報告したように、一部地域の行政機関、流通、防衛産業を狙って延々と繰り返される攻撃においては、巧妙な活動を隠そうとする動きが見られます。実際にPawn Stormは、標的システムの侵害後、被害者のメールボックスにあるフォルダの権限設定を改変し、永続化の効果を高めようとします。さらに、当該メールアカウントを利用して、同じ組織に属する別アカウント宛てに不正なメールを追加送信するなど、水平移動・内部活動に及ぶ場合もあります。
Pawn Stormが狙う標的の種別は多岐に及び、行政機関、防衛産業、エネルギー、運輸、軍事部門などが挙げられます。また、弊社のテレメトリ情報によると、標的の所在地としてヨーロッパ、北米、南米、アジア、アフリカ、中東諸国が挙げられます。
Pawn Stormが活動を開始したのは2004年のことであり、最近では運用セキュリティに焦点を移しています。これに伴い、使用するTTPsも徐々に変化しています。
Pawn Stormがシステムに侵入する際によく用いる手段として、認証情報のブルートフォース攻撃が挙げられます。本グループは2019年以来、このブルートフォース攻撃によって世界各地のメールサーバや企業VPN(Virtual Private Network)への侵入を試みています。
弊社の分析によると、こうした攻撃活動によって数千に及ぶメールアドレスが侵害されたと考えられます。さらに、侵害されたメールアドレスを起点として、スピアフィッシングメールの第二波が拡散されました。その多くは情報収集を意図したものですが、別の攻撃活動でのインフラとして利用される場合もあります。
本稿では、近年のPawn Stormが利用する手口の詳細について、技術的な視点を交えて解説します。ここで述べる情報は、防御チームが当該グループによる活動を明確に把握する上で役立つものであり、的確な対策の実施に寄与すると考えられます。
匿名化の階層
Pawn Stormは、攻撃を隠蔽するために、VPNサービス、Tor、データセンターのIPアドレス、侵害済みEdgeOSルータなど、さまざまなツールを不正利用します。EdgeOSルータについては、資金獲得を目的とする他のサーバ犯罪者と共用している場合もあります。また、本グループは世界各地のメールアカウントを多量に侵害し、これをスピアフィッシングメールの送信元として利用しています。他にも、無料のURL短縮サービス、ファイルホスティングサービス、メールサービスなどを利用し、作戦の選択肢を広げています。
遅くとも2019年より、Pawn Stormはさまざまな地域のMicrosoft Outlookサーバや企業VPNサーバに探りを入れています。この探索活動は、企業や行政機関にブルートフォース攻撃を仕掛け、そのアカウントに不正アクセスする試みの一環と考えられます。活動の実行拠点を追跡した結果、以前から弊社がPawn Stormと関連付けていたデータセンター用コンピュータサーバに行き着きました。
2020年に入ると、当該の探索活動が続く一方で、実行拠点を隠す匿名化の階層(Torや商用VPNネットワークなど)が新たに追加されました。こうした匿名化の階層は、Pawn Stormによる近年のスピアフィッシングメール攻撃にも取り込まれています。具体的な手口として、攻撃者はTorやVPNの出口ノードを経由して中東やアジアの侵害済みメールアカウントに不正アクセスし、そこからスピアフィッシングメールを送信しました。その際のメール管理プロトコルとして「IMAP(Internet Message Access Protocol)」を利用しました。Pawn Stormが2022年から2023年にかけて利用したVPNサービスについて、フランス全国情報処理システム・セキュリティ(ANSSI:Agence Nationale de la Sécurité des Systèmes d'Information)とトレンドマイクロの分析を双方重ねた結果、計10件以上が特定されました。
また、Pawn Stormはスピアフィッシングメールの送信、Outlookの脆弱性「CVE-2023-23397」によるコールバック、フィッシングサイトを介したプロキシ型の認証情報窃取を行う目的で、EdgeOSルータを利用しました。これらのEdgeOSルータには、さまざまな機能が埋め込まれていると考えられます。具体的にはPythonによるWSGI(Web Server Gateway Interfaces)ツールである「Waitress」や「Werkzeug」、脆弱性「CVE-2023-23397」の利用に関わるSMBサーバ(ポート445)、SOCKS5プロキシ(ポート56981)、追加のSSHサーバ(標準では使用されないTCPポート:2222、58749、59417など)が挙げられます。
これらのEdgeOSルータをPawn Stormが侵害したのか、それとも別のサードパーティが侵害したのかについては、判明していません。しかし、調査の結果として、100を超える侵害済みEdgeOSルータから一定の共通性が見出されました。
まず、当該EdgeOSルータの一部は、医薬品または出会い系のスパム、SSHブルートフォース攻撃、その他不正行為の発信源となっていました。その中の一部が、Pawn Stormによる攻撃活動と各種サイバー犯罪活動のために同時併用されました。例えば、IPアドレス「202.175.177[.]238」は医薬品スパムの発信源でしたが、2023年3月に先述のWerkzeug(ポート8080)が埋め込まれ、Pawn Stormによるプロキシ型認証情報窃取に利用されました。以上のようにPawn Stormは、EdgeOSルータ上でさまざまな不正行為を混在させることで自身の姿を見えにくくし、これによって匿名化の階層を作り出していると考えられます。
Net-NTLMv2ハッシュリレー攻撃
2023年3月、Outlookの重大な脆弱性「CVE-2023-23397」に対する修正が行われました。本脆弱性は内容として簡潔であり、不正利用に際してユーザ側の操作を必要としないなど、攻撃者に都合のよい性質を有していました。その影響範囲は、Windowsで稼働するOutlookアプリの全バージョンに及びました。前回の記事で述べた通り、本脆弱性を突いた攻撃では、標的組織宛てに拡張MAPI(Message Application Interface)のプロパティ値を含むメールが送信されます。当該プロパティ値には、攻撃者が管理するリモートSMBサーバ(TCPのポート445)へのUNC(Universal Naming Convention)パスが含まれます。標的とされた組織は、「.msg形式(Outlookのリマインダをサポートするメッセージ)」の不正なカレンダー招待を攻撃者から受信します。この結果、リマインダのアラートサウンド用オプション「PidLidReminderFileParameter」が設定され、最終的には脆弱なAPIエンドポイント「PlayReminderSound」が稼働します。
被害者が攻撃者のSMBサーバにアクセスすると、その際の接続を介してユーザの「NTLMプロトコル・ネゴシエーション・メッセージ」が送信されます。攻撃者は、本メッセージに含まれるNet-NTLMv2ハッシュ値を利用することで、NTLMをサポートする他システムでも認証を受けられるようになります。これが、ハッシュリレー攻撃と呼ばれるものです。本攻撃の実行者は、被害者の端末から取得したネゴシエーションメッセージを、何らかの方法でリレー(転送)する必要があります。対象のリレー先として、被害者と同じ組織またはドメインに属するMicrosoft Exchangeサーバなどが挙げられます。また、攻撃者がハッシュ値をクラックして平文のパスワードを入手するケースも考えられます。しかし、実際にそれが可能であるかは、パスワードの長さや複雑さに大きく依存します。クラックの手段に辞書攻撃やブルートフォース攻撃を用いる場合は、特にそのことが言えます。
Pawn Stormは、本脆弱性(CVE-2023-23397)をゼロデイの頃(脆弱性の公表前:2022年4月頃と推測)から利用していたと考えられます。不正なメールの送信源は、主に中東やアジアの侵害済みメールアカウントであり、Pawn Stormが十年来に渡って行ってきた認証情報フィッシング・キャンペーンと同様です。唯一の違いは、侵害済みメールアカウントへのアクセス元であり、本脆弱性を突くパターンでは侵害済みのEdgeOSルータが利用されたのに対し、それ以前のパターンではCactus VPNを含むVPNの出口ノードが利用されていました。この点については、弊社のテレメトリ情報から確認されました。
上記の活動は、少なくとも2023年8月頃まで続きました。また、2023年4月を皮切りに、より緻密な手口が利用されるようになりました。例えば、HTTPリクエストの検証サービス「Mockbin(mockbin.org)」に特殊なスクリプトを配備し、そのURLを標的のメールアドレスに送信する手口が確認されています。本スクリプトは、User-Agentの値や国コードをチェックし、その結果に応じてユーザを無料ホスティングドメインにあるPHPスクリプトに転送(リダイレクト)します。利用された無料ドメインの多くは、末尾が「infinityfreeapp[.]com」となっていました。当該の無料ドメインサービスは、遅くとも2021年頃からPawn Stormの認証情報フィッシングキャンペーンに不正利用されています。
なお、Pawn Stormは、不正なWebサイトの存在をセキュリティ調査員や自動解析スクリプトから隠すため、強固なフィルタリングシステムを採用しています。
マルウェア解析サービス「VirusTotal」にアップロードされたファイルを分析した結果として、本攻撃ではさまざまな亜種が使用されたと考えられます。その中には、最終ペイロードとしてNet-NTLMv2ハッシュの窃取を支援する以下のPowerShellスクリプトも含まれます。
SHA256値:52951f2d92e3d547bad86e33c1b0a8622ac391c614efa3c5d167d8a825937179
図2の通り、本スクリプトは、起動すると2つのバックグラウンドスクリプトを生成します。当該のバックグラウンドスクリプトは、ローカルホストのポート8080宛てにリクエストを送信する機能を持ちます。これにより、HTTPベースのWebファイル編集サービス「WebDAV」を介してNTLMv2の認証手続きが開始されます。
さらに本スクリプトは、当該リクエストを受信するためにHTTPリスナーを作成します。
次に、生成されたプロセス(クライアント)が「NEGOTIATE(ネゴシエート)」のメッセージをリスナー用スクリプト(サーバ)に送信します。これに対してサーバは、「CHALLENGE(チャレンジ)」のメッセージを返します。正規のNTLM認証であれば、チャレンジメッセージとして8桁のランダムな数値が使用されますが、本攻撃では固定のバイト列が設定されます。次に、クライアントが「AUTHENTICATE(認証)」のメッセージをサーバ宛てに送信し、サーバがそれを「mockbin.org」に転送します。
調査のために本スクリプトを「ftr.com」のドメイン上で、ユーザ「alice」として起動したところ、下記のパケットが流出しました。
上記キャプチャの取得にあたっては、事前にWindows 10 Proのクライアントを用意し、デフォルト設定の状態でWindows Server 2019のドメインに参加させました。流出したデータは、NTLMプロトコルで使用される「AUTHENTICATE_MESSAGE(認証メッセージ)」にちょうど一致することが判明しました。この際、一致の判別手段として、バイナリ構造の記述言語「Kaitai Struct」を使用しました。本パケットには、Net-NTLMv2のハッシュ文字列を作成する上で必要なデータの全てが含まれています。攻撃者に窃取された場合は、辞書攻撃やリレー攻撃に発展する可能性があります。
以上の他にも、Pawn StormはWinRARの脆弱性「CVE-2023-38831」を突いたハッシュリレー攻撃を展開しています。
最近における認証情報フィッシングキャンペーン
Pawn Stormは2023年の11月29日から12月11日にかけ、ヨーロッパのさまざまな行政機関に対して認証情報フィッシングキャンペーンを展開しました。この際、メールの送信手段としてWebフックサービス「webhook[.]site」の他、VPNサービス「Mullad」、「Whoer」、「IPVanish」のIPアドレスを使用しました。本攻撃は、さまざまな技術要素において、先述したNet-NTLMv2のハッシュリレー攻撃に紐付けられます。例として、両攻撃で同一のコンピュータ名が使用された点が挙げられます。本コンピュータ名は、Net-NTLMv2ハッシュリレー攻撃において、スピアフィッシングメールの送信やLNKファイルの作成に使用されました。
C&Cサーバを使用しない情報窃取ツール
2022年10月にPawn Stormは、大使館を含む少数の著名な組織に対してスピアフィッシングメールを送信しました。当該メールに添付された不正なファイルにより、小型の情報窃取ツールがインストールされます。本ツールには、コマンドコントロール(C&C:Command and Control)サーバへの接続処理がありません。
被害端末にインストールされた本情報窃取ツールは、自身のみで完全稼働します。この際、自身を向き先とするインターネット・ショートカットファイルをに作成します。これにより、Windowsのスタートアップ時に本ツールが自動起動するようになります。本ツールの主機能として、下記ファイルを定期的に検索し、その内容を窃取します。
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\search.url
- .docx
- .doc
- .xlsx
- .txt
- .zip
- .xls
続いて、対象ファイルの内容を無料のファイル共有サービス「free.keep.sh」宛てに、HTTPのPUTリクエストでアップロードします。
keep.shは、アップロードされた各ファイルについて、そのアクセス用URLを返します。対象ファイルのパスは「log.txt」に記録され、二重アップロードの防止に使用されます。
次に、本情報窃取ツールは以下にGETリクエストを送信し、クッキー内の「XSRF-TOKEN」から値を抽出します。
https://tinyurl.com
さらに以下にPOSTリクエストを送信することで、「free.keep.sh」にアップロードしたファイルごとに短縮版URLを作成します。この際に送信するJSONデータを下記に示します。
https://tinyurl.com/app/api/create
生成される短縮版URLは、「tiny.com/」の後に上図の「alias(エイリアス)」を付加した形式を持ちます。本URLを通して、攻撃者は窃取済みファイルにアクセスします。また、被害者間でエイリアスが重複しないように、20秒間の遅延が設けられます。
短縮版URLは、その生成日時に基づいて決定されますが、形式自体は常に同一です。生成日時は秒単位で算出されるため、1日に最大で86,400個の短縮版URLが作成されます。攻撃者が窃取済みファイルにアクセスする際には、形式に準拠するURLの中で、実在するものをブルートフォースで探し出す必要があります。この手法は、情報窃取ツールとしてやや雑であるようにも感じられるでしょう。一方、そのようなマルウェアが実際の攻撃で発見された場合、有効な外部情報がない限り、対応する既知の攻撃グループや侵入セットの特定が困難になると考えられます。しかし、以下のSHA256値である今回の情報窃取ツールについては、標的への配布経路に絡む有力な情報があったため、Pawn Stormのものと特定するに至りました。
SHA256値:4f3992b9dbd1c2a64588a5bc23f1b37a12a4355688d6e1a06408ea2449c59368
まとめおよび今後の展望
Pawn Stormは20年にも渡って活動を続けていますが、その攻勢が止む様子はなく、依然として世界各地の著名な企業や組織を狙い、メールやネットワークへの侵入を画策しています。
本攻撃グループは遅くとも2019年以降、ブルートフォース攻撃(初回は専用サーバを利用、以降、商用VPNサービスによる匿名化の階層を追加)を展開することに加え、Torや、一般的なサイバー犯罪者の間で共有されているインフラを利用するようになりました。最近では、大胆で目に付きやすい手口に加え、巧妙でステルス性の高い手口も併用する傾向が見られます。この結果、侵害後に被害ネットワークで何が起きているのかを分析することが困難になっています。
企業や組織のネットワーク防御チームでは、自身が狙われているかを分析する上で、以降に示す「侵入の痕跡」をご参照いただけます。Pawn Stormは、商用VPNサービスや侵害済みEdgeOSルータをはじめとする共有IPアドレスを駆使しますが、その一方、同一のVPN出口ノードを数日または数週間に渡って使い続ける傾向があります。また、TTPsをあまり変更しない点も、特記に値します。防御チームでは、こうした傾向を踏まえた対策を実施することで、初期侵害や、後続段階における高度な手口(ゼロデイ脆弱性も含む)をより的確に検知できると考えられます。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)について、こちらで確認してください。
参考記事:
Pawn Storm Uses Brute Force and Stealth Against High-Value Targets
By: Feike Hacquebord, Fernando Merces
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)