APT&標的型攻撃
行政組織の信頼関係を逆手に取るサイバー諜報活動「Earth Krahang」
世界各地の行政組織を標的とするサイバー諜報活動「Earth Krahang」について解説します。狙われる地域としては東南アジアが最も多く、さらにヨーロッパ、アメリカ、アフリカなども含まれます。
はじめに
トレンドマイクロでは2022年の初頭より、世界各地のさまざまな行政組織を狙った標的型攻撃(APT:Advanced Persistent Threat)について調査してきました。攻撃対象の地域としては東南アジアが最も多く、さらにヨーロッパ、アメリカ、アフリカなども含まれます。背後にいる攻撃者は、インターネット上に公開されたサーバを踏み台にスピアフィッシングメールを送信することで、バックドア型マルウェアの配布を試みます。
当該の攻撃者について分析した結果、中国由来の攻撃グループ「Earth Lusca」との間にさまざまな接点が見出されました。しかし、使用されるインフラは互いに別々であり、バックドアも異なるため、両者はそれぞれ別の侵入セットに属すると考えられます。そこでトレンドマイクロでは、今回の侵入セットに対して新たな名称「Earth Krahang」を割り当てました。本稿では、Earth Krahangによる活動の詳細について、Earth Luscaとの接点も含めて解説します。さらに、中国企業「I-Soon」と繋がっている可能性についても個別で説明します。
今回の攻撃グループは、はじめに行政組織のインフラを侵害した上で、それを踏み台に、他の行政組織を攻撃します。踏み台のインフラに対しては、攻撃用ペイロードや、攻撃用通信データのプロキシ(転送)機能を設置します。さらに、当該インフラを用いる行政組織のメールアカウントを侵害した上で、そこからスピアフィッシングメールを標的組織に送信します。この他にも、本攻撃グループはさまざまな手口を行使します。具体的には、侵害済みのパブリックなサーバ上にVPNサーバの機能を設置し、それを介して標的組織のプライベートネットワークに侵入します。また、ブルートフォース攻撃を仕掛けてメールアカウントの認証情報を取得し、それを元手に標的組織の機密情報を窃取します。攻撃者の主目的は「サイバー諜報活動」であるため、最終的には、窃取した機密情報を外部に流出させます。
今回、攻撃者側のミスがきっかけとなってEarth Krahangのサーバが特定され、そこからさらに、マルウェアの検体や設定ファイル、攻撃用ツールのログファイルなどが発見されました。これらのファイルに加え、トレンドマイクロのテレメトリ情報も合わせて分析した結果、背後にいる攻撃者の動機や活動内容、標的として狙われやすい組織の傾向が明らかになりました。以上の他にも本稿では、攻撃者がよく用いるマルウェアファミリや、侵入後の攻撃用ツールについて解説します。
偵察と初期アクセス
本攻撃の主な侵入経路として、インターネット上に公開されたサーバが挙げられます。攻撃者はオープンソースのスキャンツールを駆使して対象サーバ上のフォルダ「.git」や「.idea」、その内部を再帰的に探索します。さまざまなファイルの中からパスワードや重要ファイルパスなどの機密情報を発見するために、ブルートフォース攻撃を実行します。また、攻撃者にとって興味深いサーバや、適切に管理されていないサーバを可能な限り多く見つけ出すために、サブドメインにまで踏み込んだ探索を行います。以上の他にも、さまざまな脆弱性スキャンツール「sqlmap」、「nuclei」、「xray」、「vscan」、「pocsuite」、「wordpressscan」を用いて脆弱なWebサーバを割り出し、そこにWebシェルやバックドアなどのマルウェアをインストールします。
今回の攻撃では、下記の脆弱性が頻繁に利用されます。
- CVE-2023-32315:command execution on OpenFire(OpenFire上でのコマンド実行)
- CVE-2022-21587:command execution on Oracle Web Applications Desktop Integrator(Oracle Web Applications Desktop Integrator上でのコマンド実行)
Earth Krahangの活動では、標的を絞り込む手段として、スピアフィッシングメールが利用されます。他のスピアフィッシング攻撃と同様、当該のメールには技巧が施され、受信者を騙して添付ファイルやURLを開かせようとします。誘いに乗った受信者が添付ファイルを開くと、利用端末上でバックドア型マルウェアが稼働します。トレンドマイクロのテレメトリ情報やVirus Totalのアップロード情報によると、当該バックドアのファイル名には、地政学的なキーワードが埋め込まれています。攻撃者は、そうしたテーマに興味を抱く標的を意図的に狙ったものと考えられます。
- “Plan of Action (POA) - TH-VN - TH_Counterdraft_as of Feb 2022.doc.exe”
(訳:行動計画 - タイとベトナム - タイ_草稿_2022年2月時点.doc.exe) - คำบอกกล่าวคำฟ้อง.rar(訳:訴えの通知.rar)
- “ร่างสถานะ ครม. รว. ไทย-โรมาเนีย as of 25 Feb 2022.doc.exe”
(訳:2022年2月25日時点におけるタイとルーマニア間での閣僚関連草稿.doc.exe) - “Malaysian defense minister visits Hungary.Malaysian defense minister visits Hungary.exe”
(訳:マレージアの国防省がハンガリーを訪問.マレージアの国防省がハンガリーを訪問.exe) - “ICJ public hearings- Guyana vs. Venezuela.ICJ public hearings- Guyana vs. Venezuela.exe”
(訳:ICJ公聴会 - ガイアナ対ベネズエラ.ICJ公聴会 - ガイアナ対ベネズエラ.exe) - “On the visit of Paraguayan Foreign Minister to Turkmenistan.exe”
(訳:パラグアイ外務省によるトルクメニスタンへの訪問.exe) - “pay-slip run persal payslip.pay-slip run persal payslip.docx.exe”
(訳:給与明細.給与明細.docx.exe)
Earth Krahangの実行グループは、偵察の一環として数百にも及ぶメールアドレスを標的組織から収集しました。実際に、侵害に遭った行政組織の1メールボックスから、同一組織に属する796ものメールアドレス宛てに不正な添付ファイルが送信される事例も確認されています。添付ファイルの実体はRARアーカイブであり、中にはLNKファイルが格納されています。被害者がこのLNKファイルを開くと、XDealerと呼ばれるマルウェア(詳細は「配布されたマルウェアファミリ」の章で解説)が配備され、さらに、当該の行政組織に関するおとり文書(オンライン)が開かれました。本事例では、添付ファイルの送信に利用されたメールボックスのパスワードが比較的単純であり、結果としてEarth Krahangのブルートフォース攻撃によって暴かれたと推測されます。
本攻撃では、行政組織間の信頼関係が利用されます。実際に、侵害に遭った行政組織のWebサーバ上にバックドアが配備され、そのダウンロード用リンクを含むスピアフィッシングメールが別の行政組織に送られる事例が、頻繁に発生しています。当該リンクは正規な行政組織のドメインを指しているため、メールを受信した側でこれを不正なものと見抜くことは難しいでしょう。仮にドメイン・ブラックリストを用いたとしても、不正を検知できない可能性があります。
先述の通り本攻撃では、侵害に遭った行政組織のメールアカウントから、別の行政組織に向けてスピアフィッシングメールが送信されました。こうしたフィッシングメールの件名として、下記のようなパターンが確認されました。
- salary
(訳:給与) - Malaysian Ministry of Defense Circular
(訳:マレーシア国防省による回覧事項) - Malaysian defense minister visits Hungary
(訳:マレーシア国防省がハンガリーを訪問) - ICJ public hearings- Guyana vs. Venezuela
(訳:ICJ公聴会 - ガイアナ対ベネズエラ) - About Guyana Procurement Proposal for Taiwan <一部伏せ字>
(訳:備品調達に関するガイアナから台湾への提案)
トレンドマイクロのテレメトリ情報からも、Earth Krahangが行政組織のWebサーバを侵害し、それを利用して別の行政組織の脆弱性を探っていたことが確認されました。
侵入後のTTPs
今回の攻撃者は、侵害済みの公開サーバにSoftEther VPNをインストールした上で、コマンド「certutil」を用いてSoftEther VPN用サーバをダウンロード、インストールします。SoftEtherサーバの実行ファイルは、正規なものと映るように、インストール先のシステムに応じてリネームされています。例えばWindowsの場合は「taskllst.exe」、「tasklist.exe」、「tasklist_32.exe」のいずれかが、Linuxの場合は「curl」の名前が用いられます。攻撃者は、インストールしたVPNサーバを介して標的のネットワークに入り込み、侵入後の活動を開始します。
侵入後の活動例を下記に示します。
- タスクスケジュールを設定してバックドアの永続化を図る
- Windowsのレジストリ「fDenyTSConnections」を変更してリモートデスクトップ接続を有効化する
- ツール「Mimikatz」や「ProcDump」を用いてWindows用プロセス「LSASS(Local Security Authority Subsystem Service)」のメモリ内容をダンプし、そこから認証情報を入手する
- Windowsのレジストリ「HKLM/sam」からセキュリティ関連データベース「SAM」の内容をダンプし、そこから認証情報を入手する
- ツール「Fscan」によってネットワークをスキャンする
- WMIのコマンドラインツール(WMIC)を使用し、他端末上でコードを実行する
- Windowsの権限昇格ツール「BadPotato」、「SweetPotato」、「GodPotato」、「PrinterNotifyPotato」などを使用する
- Linux上で権限昇格を行うため、脆弱性「CVE-2021-4034」、「CVE-2021-22555」、「CVE-2016-5195」を利用する
メールの流出
Earth Krahangの実行者は、被害者のOutlook用Webポータル(以前の「OWA:Outlook Web Access」に相当)にアクセスし、そこからExchangeサーバに対するブルートフォース攻撃を実行しました。各メールアカウントのテストには、典型的なパスワードリストが使用されました。また、ブルートフォース攻撃の実行手段として、OWAサーバ上でActiveSyncサービスを狙うように設計されたPythonスクリプトが用いられました。
上記の他、ブルートフォース攻撃の実行手段として、オープンソースツール「ruler」の利用も確認されました。弱いパスワードでは、本攻撃グループによって暴かれ、メールの内容が流出する他、スピアフィッシングメールの送信元として利用される可能性もあります(詳細は後述)。
上記とは別に、Zimbraのメールサーバからメール内容を流出させるPythonスクリプトも発見されました。本スクリプトは、メールサーバのAPIを介して標的のメールボックス自体をパッケージ化します。その際、攻撃者によって窃取済みの認証用クッキーが利用されます。しかし、攻撃者がどのように当該のクッキーを窃取したかについては、判明していません。
配布されたマルウェアファミリ
今回の攻撃者は、標的端末内でのアクセス権を得る手段として、バックドアなどのツール類を配布します。初期段階で確認されたツールとして、独自仕様による2種のバックドア「RESHELL」と「XDealer」に加え、攻撃用ツール「Cobalt Strike」などが挙げられます。これらツールは、スピアフィッシングメールや、侵害済みサーバに設置されたWebシェルを経由して標的環境に配備されました。
バックドア「RESHELL」は、2022年の攻撃で複数回に渡って使用されました。Palo Altoからの報告でも、東南アジアの行政組織に対する標的型攻撃にRESHELLが使用された旨が述べられています。RESHELLは.NETで作成された簡易なバックドアであり、情報収集やファイル作成、システムコマンドの実行など、基本的な機能を備えています。そのバイナリデータはConfuserEXによって圧縮され、コマンドコントロール(C&C:Command and Control)サーバとの通信データはAESアルゴリズムで暗号化されます。
2023年以降、Earth Krahangの実行グループは別のバックドア(呼称としてTeamT5は「XDealer」、ESETは「DinodasRAT」を使用)を用いるようになりました。RESHELLと比べ、XDealerはバックドアとしての機能を多く備えています。さらに、標的システムに応じてWindows版XDealerとLinux版XDealerの双方が使用されていることも判明しました。
XDealerの検体には、バックドアのバージョン情報を示す識別文字列が埋め込まれています。本調査では、下記のバージョン情報が確認されました。
上表より、バックドア「XDealer」はかなりの期間に渡って使用され、その開発は現在なお進行していると考えられます。
初期段階で発見されたXDealerの検体は、その多くがDLLファイルであり、さらにインストーラ、窃取用DLL、ID関連のテキストファイル、LNKファイルがパッケージとして同梱されていました。感染の流れとして、はじめにLNKファイルによってインストーラが起動され、インストーラによってXDealerのDLLと窃取用DLLが標的システム内にインストールされます。窃取用DLLの機能として、スクリーンショットの採取、クリップボードの窃取、キー入力の記録などが挙げられます。
さらに、LNKファイルが別の実行ファイルに置き換わっているケースも存在します。本実行ファイルは、インストーラのローダとして稼働します(Earth Krahangは、インストーラの実行系統をスタンドアローンの1実行ファイルに集約する代わりに、複数の実行ファイルに分散させる方式を選んだものと考えられる)。特記事項として、ローダによっては、有効なコード署名証明書が付与されていました。これらの証明書は、GlobalSignが中国の2企業に対して発行したものとなります。そのうちの1企業は人材関連の業務を、別の1企業はゲーム開発の業務を扱っている旨が、インターネット上の情報から示されています。当該の証明書は窃取されたものであり、今回、不正な実行ファイルの署名に不正利用されたと考えられます。
先述したように、攻撃の初期段階では、Cobalt Strikeも多用されます。Earth KrahangによるCobalt Strikeの用法は特殊であり、オープンソースのプロジェクト「RedGuard」によってC&Cサーバを保護する機能が追加されています。RedGuardは、Cobalt StrikeのC&Cプロファイル情報を隠蔽する機能を備えたプロキシツールの一種であり、レッドチームなどで使用されています。
今回の攻撃者は、RedGuardを不正利用することで、C&Cサーバを検索エンジン用Webクローラや、ブルーチームのCobalt Strike用C&Cスキャナから隠そうとしました。さらにRedGuardには、誰がC&Cプロファイルへのアクセスを試みたかを確認する機能も備わっています。調査の結果、Earth KrahangのC&Cサーバは、想定外のリクエストをセキュリティベンダーのWebサイトにリダイレクトすることが判明しました。これは、RedGuardの保護機能によるものです。
Cobalt Strikeは、その攻撃手段として、DLLサイドローディングの脆弱性を利用します。今回の攻撃者は、Cobalt Strikeを運用するにあたり、3つのファイル「fontsets.exe」、「faultrep.dll」、「faultrep.dat」を作成しました。このうち、以下は正規の実行ファイルであり、
fontsets.exe(SHA256値:97c668912c29b8203a7c3bd7d5d690d5c4e5da53
今回、以下のDLLのサイドロードに利用されました。
faultrep.dll (SHA256:a94d0e51df6abbc4a7cfe84e36eb8f38bc011f46
DLL「faultrep.dll」は、暗号化済みシェルコードを読み込み、これを復号します。当該のシェルコードがCobalt Strikeであり、ファイル「faultrep.dat」の中に格納されています。本調査では、DLLローダの亜種も発見されました。本亜種について、復号のプロセス自体は同様ですが、復号用のバイト列や、シェルコードの取得元ファイル名(conf.data)に差異が見られました。
以上の他、攻撃者はマルウェア「PlugX」や「ShadowPad」を標的環境内に作成したことが、トレンドマイクロのテレメトリ情報から確認されました。PlugXのファイル名は「fualtrep.dll」であり、先述のCobalt Strikeと同じ手続きでDLLサイドローディングに使用されたと考えられます。ShadowPadについては、前回のEarth Luscaに関する調査で発見されたものと同じ性質を有していました。
標的として狙われやすい組織の傾向
調査により、23の国や地域にまたがる約70の被害者(侵害を受けたことが確認された組織)が特定されました。さらに今回は、Earth Krahangの履歴ファイルにもアクセスできたため、追加で35の国や地域にまたがる116の標的(侵害を受けたことまでは確認されていない組織も含む)が特定されました。
全体として、45の国や地域にまたがる組織が、Earth Krahangに狙われた、または侵害されました。地域別の頻度としては、アジアやアメリカ圏が特に、ヨーロッパやアフリカ圏がこれに続きます。
Earth Krahangの主要な標的は、行政組織です。実際に、ある国では11種の省庁に属する多種多様な組織が侵害に遭いました。
行政関連では、最低でも48組織が侵害に遭い、それとは別に、49組織が標的として狙われました。その中でも特に目立つのが外務省であり、関連する10組織が侵害を受け、5組織が狙われました。
今回の攻撃者が関心を寄せているもう1つの領域として、教育分野が挙げられます。少なくとも2組織が侵害に遭い、さらに12組織が狙われました。電気通信事業も比較的狙われる傾向にあり、複数のプロバイダが侵害されました。以上の他、郵便事業(少なくとも3カ国以上で確認)、流通拠点、雇用支援サービスなども標的に含まれます。
さらに下記の業界も狙われましたが、小規模な範囲にとどまります。
- 金融/保険
- 財団/NGO/シンクタンク
- ヘルスケア
- IT
- 製造
- メディア
- 軍事
- 不動産
- 小売業
- スポーツ
- 旅行
実行グループの特定
調査当初の時点では、マルウェアファミリ「RESHELL」を用いた事例が他になく、同じインフラの使用例もなかったため、既存のいずれの攻撃グループにも該当しないと考えられました。Palo Altoの調査報告では、マルウェア「RESHELL」を用いた一連の攻撃活動が「GALLIUM」に帰するという見解が、中程度の確実性で示されています。しかし、その評価基準とされるツールセットは多数の攻撃グループによって広範に使用されているものであり、今回の攻撃グループを特定する上では不十分であると考えられます。さらに、マルウェア「RESHELL」が異なる攻撃グループ間で共有されている可能性もあります。
先述の通り、Earth Krahangの実行グループは、活動の後半からRESHELLの代わりにXDealerを用いるようになりました。TeamT5の調査報告では、XDealerに紐づく攻撃グループとして、中国起源の「LuoYu」が挙がっています。LuoYuは、マルウェアファミリ「WinDealer」や「ReverseWindow」を用いたことで知られています。また、過去にLuoYuを分析したメンバーの見解として、古いXDealerの検体とSpyDealerの検体で同じ暗号鍵が使用されていたことから、両マルウェアファミリの繋がりが示されるという報告がありました。他方、XDealerに「DinodasRAT」の名を付与したESETは、当該マルウェアの特徴を細部に渡って報告しました。しかし、攻撃グループの特定に関しては、中国起源と予想される点を除き、言及されていません。
トレンドマイクロの見解として、今回のサイバー諜報活動にLuoYuが関わっている可能性は否定できませんが、XDealer以外に、マルウェアファミリの接点が見られません。先述した同一の暗号鍵についても、今回発見された検体の暗号鍵とは異なることが判明しました。そのため、本マルウェアファミリには複数のビルド型が存在すると考えられます。さらに、当該の鍵が開発の途中で変更されたか、または、本マルウェア自体が異なるグループ間で共有されている可能性も示唆されます。
2022年1月、トレンドマイクロは中国起源の攻撃グループ「Earth Lusca」について報告しました。さらに、本グループに関する続報として、新たなバックドア「SprySOCKS」を用いた手口や、台湾総統選挙に付け込んだ活動の実態について解説しました。一方、本稿で挙げたサイバー諜報活動では、水平移動・内部活動の段階で、Earth Luscaと同じIPアドレス(例:45[.]32[.]33[.]17、207[.]148[.]75[.]122)からマルウェアがダウンロードされることが判明しました。これは、今回の活動とEarth Luscaの繋がりを示すものです。他にも、インフラに関するさまざまな接点が見出されました。例えば、マルウェアの接続先C&Cサーバが一部重複すること、同一のドメイン名「googledatas[.]com」が使用されていることなどが挙げられます。
一方、初期段階で使用されるバックドアやインフラに関して、両活動の間に明確な接点は見られません。そのため、現状での見解として、両活動は別々に展開される独立した侵入セットに属する一方、似通った組織を標的として狙い、目的の到達が近づくにつれて、さまざまな接点が浮かび上がってくるものと考えられます。また、両活動が同一グループによって実行されている可能性も、残されています。以上を踏まえ、本調査においては、今回の侵入セットに対して新たな名称「Earth Krahang」を割り当てました。
前回の報告では、Earth Luscaが中国企業「I-Soon」のレッドチームに相当する可能性について述べました。I-Soonは最近、その機密情報がGitHubから流出した件で話題になりました。流出した情報より、I-Soonはペネトレーションチームを2つのサブグループに分けていることが判明しました。今回、2つの独立した活動が確認され、両者の間に若干ながらの接点が見られた背景には、こうした事由が絡んでいる可能性があります。一方、Earth KrahangがI-Soonに属するもう1つのペネトレーションチームに該当するケースも考えられます。
まとめ
本稿では、攻撃グループ「Earth Krahang」によるサイバー諜報活動の実態について解説しました。本グループは世界各地の行政組織を標的として狙い、侵害したインフラを不正な活動に利用する点で特徴的です。
今回の調査により、Earth Krahangの攻撃に使用される2つのマルウェアファミリが特定されました。また、Earth Krahangが用いるサーバ上で発見されたファイルやトレンドマイクロのテレメトリ情報より、本攻撃グループによる活動内容や、その標的を取り巻く全体像が浮かび上がりました。
実行グループの分析を通し、Earth KrahangとEarth Luscaの間に複数の接点が見出されました。2つの侵入セットは、同じグループによって展開されている可能性もあります。
Earth Krahangの実行グループは、社会的なインパクトの強い行政組織を集中的に狙い、実際にそのサーバやメールアカウントを侵害するに至っています。この点を踏まえ、企業や組織では、セキュリティ・ベストプラクティスを実践することが強く推奨されます。例えば、従業員や業務に関わる個人に対してセキュリティ教育を実施し、ソーシャルエンジニアリングなどの可能性を踏まえて適切な警戒心を持つように指導することが、有効な一手となります。また、添付ファイルやリンクをクリックする前に、送信者の正当性を検証する習慣を身に付けさせることも重要です。今回の攻撃者は、標的システムの脆弱性を積極的に利用しようとします。侵害のリスクを最小限に抑え込むため、企業や組織では、使用中のソフトウェアやシステムをアップデートし、最新のセキュリティパッチを適用することを推奨します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
MITRE ATT&CK Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
参考記事:
Earth Krahang Exploits Intergovernmental Trust to Launch Cross-Government Attacks
By: Joseph C Chen, Daniel Lunghi
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)