APT&標的型攻撃
攻撃グループ「Earth Lusca」が台湾総統選挙を目前に地政学的トピックを用いてサイバー諜報活動を展開
攻撃グループ「Earth Lusca」が新たなサイバー諜報活動を展開し、中国と台湾に関する地政学的なトピックを餌に標的を誘導し、情報窃取に及んでいることが判明しました。
はじめに
トレンドマイクロでは、中国系の攻撃グループ「Earth Lusca」に関する記事を複数回に渡って公開してきました。Earth Luscaは遅くとも2020年頃から活動を開始し、定期的に攻撃の手口を切り替えてきました。また、一度に複数の攻撃キャンペーンを同時に実行することで知られています。
最近の調査により、本グループが新たなサイバー諜報活動を展開し、中国と台湾に関する地政学的なトピックを餌に標的を誘導し、情報窃取に及んでいることが判明しました。この活動がEarth Luscaによるものと判断できる理由として、使用されるTTPs(Tools:ツール、Techniques:テクニック、Procedures:プロシージャ)が過去の事例に類似する点が挙げられます。
本攻撃キャンペーンが本格化したのは2023年12月から2024年1月にかけてのことと考えられます。その根拠は、標的の誘導に利用されたおとり文書にあります。具体的には、ファイルの作成日が台湾総統選挙のちょうど2日前である点、内容として中国と台湾の地政学的情勢が扱われている点、当該文書が台湾の地政学に関する専門家から流出したと考えられる点、などが挙げられます。
また、最近に入って中国に拠点を置く企業「I-Soon」の情報が流出した件を調査したところ、攻撃グループ「Earth Lusca」との関連性が見出されました。Earth LuscaとI-Soonの間には、被害者、使用するマルウェア、想定される所在地の点でかなりの一致が見られ、少なくとも何らかの接点があると推測されます。本件については現在も調査中ですが、後に個別の章を設けて解説します。
Earth Luscaによる攻撃の流れ
スピアフィッシングによる初期アクセス
本攻撃キャンペーンにおける初期アクセスの手法を分析した結果、不正なファイルの配布経路を特定するには至りませんでしたが、感染の起点となった不正なアーカイブ「China_s gray zone warfare against Taiwan.7z(訳:中国による対台湾グレーゾーン戦法.7z)」が発見されました。Earth Luscaの活動履歴を踏まえると、本アーカイブは、メールの添付ファイル、またはメール内リンクとして配布された可能性があります。
本アーカイブの中には「China’s gray zone warfare against Taiwan」という名前のフォルダが存在し、そのフォルダ内には、2つのWindowsショートカットファイル(.LNK)とサブフォルダ「__MACOS」が格納されています。
サブフォルダの名前「__MACOS」は、macOSで使用される正規なフォルダの名前「__MACOSX」に類似しています。後者は、各フォルダの設定情報を格納するために用いられるものであり、デフォルトで非表示になっています。今回の事例に関して、サブフォルダ「__MACOS」自体のメタデータは空ですが、内部には不正なペイロードに相当する2種のファイル「_params.cat.js」、「_params2.cat.js」が隠されています。
以上に挙げた全ファイルについて、メタデータ上のファイル更新日は「2024年1月11日」となっています。
第1段階:起動オプションが隠されたショートカット(LNK)ファイル
ユーザがLNKファイルをダブルクリックすると、フォルダ「__MACOS」の配下にあるJavaScriptのコードが実行されます。
また、LNKファイルを右クリックして「リンク先」の内容を確認すると、図3、4の通り、explorer.exeの後に空白が埋め込まれただけのようにに見えます。
上図の画面表示からは確認できませんが、今回の攻撃者は、「起動オプション(引数)」として、255桁の空白文字に続く形で不正なスクリプトへのパスを埋め込みました。これは、ユーザに不正を看破されないようにするための手口です。
しかし、「LNK parser」などのツールを用いれば、起動オプションの全体を目視で確認できます。
第2段階:難読化されたJavaScriptファイル
第2段階は不正なJavaScriptコードであり、解析や検知を妨害する手段として、ツール「Dean Edward’s JavaScript Packer」による難読化が施されています。
第3段階:難読化を解除した後のJavaScriptによって不正なファイルを作成
第3段階では、難読化を解除した後のJavaScriptコードにより、16進数の文字列からなるテキストファイルを以下のフォルダに作成します。
%APPDATA%\Roaming
本テキストファイルに含まれる固定データ「4d534346」は、キャビネットアーカイブの識別子「MSCF(Microsoft Cabinet File)」に相当します。この後JavaScriptは、テキストファイルの内容を正しく展開するため、感染端末に最初から存在しているツール(LOLBins:Living Off the Land Binaries)を利用します。まず、「certutil.exe」によって16進数文字列をバイナリファイルに変換します。次に、「expand.exe」によって当該のバイナリファイル(キャビネットアーカイブ)を展開します。
キャビネットアーカイブの中には、おとり文書、署名付きの正規な実行ファイル、不正なDLLファイルが格納されています。
本調査では、おとり文書の形式としてMicrosoft Word、Microsoft PowerPoint、PDFの3種が確認されました。これらの文書は中国・台湾間の政治的関係に関与する専門家が記したものですが、オンライン上では発見されませんでした。一連の状況を踏まえると、当該の文書は執筆者や関係者から盗み出された可能性が高いと考えられます。トレンドマイクロでは、該当する個人や企業、組織に連絡を取り、システムが侵害されている可能性について注意喚起を行いました。
署名付きの正規な実行ファイル「pfexec.exe」は、元々「360se.exe」という名前で、中国の企業「Qihoo 360」から提供されたものです。今回、Earth LuscaはこれをリネームしてDLLハイジャックのために不正利用しました。本ファイルが起動すると、同一フォルダ内にあるDLL(chrome_elf.dll)を呼び出します。
第4段階:Cobalt Strikeのステージレス型クライアント(難読化された不正なDLLファイル)
感染チェーンの最終段階は、ステージレスなCobalt Strikeのペイロードとなります。本ペイロードに埋め込まれた設定情報を調べたところ、注目すべきパラメータとして下記が確認されました。
C2Server - upserver.updateservice.store,/common.html
HttpPostUri - /r-arrow
Watermark - 100000000
類似する攻撃
本攻撃キャンペーンの調査中、上記以外のアーカイブも追加で発見されました。両アーカイブを比較すると、構造や手口は類似しているものの、ファイル名やコマンドコントロール(C&C:Command and Control)サーバの設定に差異が見られました。
特に目を引くアーカイブが「ppt-cih1w4.7z」であり、図8の通り、「Sino-Africa_relations(訳:中国とアフリカの関係)」という名前のフォルダが格納されていました。
先と同様、本フォルダにもサブフォルダ「__MACOS」が含まれ、その中にはペイロードが配備されていました。一方、タイムスタンプは先程と異なり、2023年12月22日となっていました。
最終段階(Cobalt Strike)に至る処理の過程も先述のアーカイブと同様ですが、設定情報に差異があります。まず、C&Cのサーバ名として、サイバーセキュリティ企業「Cybereason」を真似たものが使用されています。Malleableのプロファイルに用いられるURLも先述のケースと異なりますが、ウォーターマーク自体に変わりはありません。
C2Server - www.cybereason.xyz,/mobile-android
HttpPostUri - /RELEASE_NOTES
Watermark - 100000000
攻撃は2024年の幕開け直前に開始
冒頭で述べた通り、今回の攻撃キャンペーンは2023年12月から2024年1月にかけて行われたと考えられます。おとり文書の作成日付も、台湾総統選挙の2日前となっています。
Earth Luscaが用いる以下のC&Cドメインは、2023年12月12日に匿名ユーザによって登録されました。
updateservice[.]store
そして、そのサブドメインがC&C通信に利用されました。
upserver.updateservice[.]store
一方、本攻撃で用いられたもう1つC&Cドメイン「Cybereason[.]xyz」は、2023年10月27日に匿名ユーザによって登録されました。
なお、本稿執筆時点で両C&Cサーバとも利用できない状態となっています。
今回のEarthLuscaによる攻撃では、その標的として、国際情勢や経済情勢を研究する台湾の学術的シンクタンクが狙われました。
それ以外の標的については、本稿執筆時点で確認されていません。しかし、Earth Luscaは今後、政治関連の組織をさらに広く狙っていく可能性があります。
「I-Soon」との繋がり
最近、中国に拠点を置く企業「I-Soon」のデータがGitHubから多量に流出した件が話題に上がりました。I-Soonがビジネスを開始したのは2016年頃と考えられます。当該企業は、Webサイト上で自社の位置づけを「標的型攻撃(APT:Advanced Persistent Threat)に対する防御および研究」と記載し、提供するサービスとして「攻撃型または防御型のセキュリティ」、「詐欺防止のソリューション」、「ブロックチェーンのフォレンジックソリューション」、「セキュリティ製品」などに言及しています。さらに、業務提携先として、複数の法執行機関や行政機関を挙げています。特記事項として、I-Soonは2017年から幾度かに渡って資金提供を受けていました。その資金提供者の1つが、アンチウイルス製品を扱う中国の企業「Qihoo」です。先述の通り、この企業から提供された実行ファイルが、Earth LuscaのDLLハイジャックに不正利用されました。
今回発生したI-Soonの情報流出について分析すると、当該企業とEarth Luscaの活動には何らかの接点があることが示唆されます。両者の繋がりを示す事項として、下記が挙げられます。
- 被害者が一部重複:I-Soonの情報流出によって挙がった被害者リストの中には、Earth Luscaによる被害者の名前が一部含まれている。
- 使用するマルウェアやツールが一部重複:I-SoonとEarth Luscaの双方が、「ShadowPad」や「Winnti」を始めとするマルウェアや、その他同一ツールを積極的に利用している。
- 所在地が部分的に一致:トレンドマイクロは2023年9月の記事において、Earth Luscaの発信元IPアドレスに紐づく地域が「Chengdu, Sichuan province」であることを示した。一方、I-Soonが擁するペネトレーションチームも、同じ場所に拠点を置いている。
まとめ
Earth Luscaはサイバー諜報活動を主軸とする攻撃グループであり、依然として勢いを維持しています。企業や組織では、巧妙なTTPsを用いるAPTグループに対して十分に警戒することを推奨します。特に行政機関の機密情報が流出した場合、その影響は自国の経済や安全保障にとどまるだけでなく、国際関係にまで波及しうる点に注意する必要があります。一方、企業がサイバー諜報活動の手に落ちた場合、業務上の混乱や顧客からの信頼低下に直面し、最終的には経済的な損失に至るリスクがあります。
Earth Luscaは、標的に不正なファイルを送る経路としてメールを利用し、さらに、ソーシャルエンジニアリングの手口によって被害者を誘導します。特に今回の攻撃キャンペーンでは、被害者を呼び寄せる餌として、政治問題や国際情勢に関するトピックが巧妙に利用されました。一連の状況を踏まえ、企業や組織、個人ユーザの方は、セキュリティ上のベストプラクティスを敢行することを推奨します。例えば、メールやWebサイト上の不審なリンクをクリックしない、ソフトウェアを的確なタイミングで最新版に更新することなどが挙げられます。そうすることで、Earth Luscaをはじめとするサイバー攻撃の被害に遭うリスクを最小限に抑え込むことが可能です。
MITRE ATT&CK Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Earth Lusca Uses Geopolitical Lure to Target Taiwan Before Elections
By: Cedric Pernet, Jaromir Horejsi
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)