APT&標的型攻撃
サイバー諜報グループ「Earth Hundun」による2024年の活動状況を追跡
アジア太平洋地域を標的とするサイバー諜報グループ「Earth Hundun」が用いる攻撃ツール「Waterbear」と「Deuterbear」の仕組みや機能について、2024年の活動状況をベースに解説します。
概要
- アジア太平洋地域を標的とするサイバー諜報グループ「Earth Hundun」は、最近に入って通信手段や戦略を刷新し、マルウェア感染のさらなる拡大を図っています。
- 本稿では、WaterbearとDeuterbearの仕組みや機能について、その感染過程やコマンドコントロール(C&C:Command and Control)サーバとのやり取り、各種コンポーネントの挙動も含めて詳しく解説します。
- Deuterbearは多くの点でWaterbearに類似しますが、シェルコードによるプラグインのサポート、RAT操作におけるハンドシェイク通信の回避、C&C通信におけるHTTPSプロトコルの利用など、さまざまな機能強化が施されています。
- Waterbearと比べてDeuterbearは、シェルコード形式のRATを利用し、メモリスキャンの回避機能を備え、さらにRATとダウンローダ間で通信用鍵データを共有している点で特徴的です。
- WaterbearからDeuterbearへの進化を踏まえると、Earth Hundunは検知回避や解析妨害を目的とするツールの開発に相当の力を注いでいると考えられます。
はじめに
サイバー諜報グループ「Earth Hundun」に関する前回の記事では、同グループが主にアジア太平洋地域の標的を狙い、マルウェア「Waterbear」やその最新版である「Deuterbear」を用いて巧妙な作戦を展開していることを述べました。トレンドマイクロでは、2022年10月にDeuterbearの存在を初めて確認しました。それ以降も、本マルウェアはEarth Hundunの活動に利用され続けてきました。
WaterbearとDeuterbearを分析した結果、そのダウンローダによる挙動や、感染の流れ、通信の仕様、解析妨害の手口、機能改変の履歴が細部に渡って明らかになりました。
本稿では、2024年におけるEarth Hundunの活動で使用される最終段階用RAT(Remote Access Trojan:リモートアクセス型トロイの木馬)に焦点を当て、その機能や動作について解説します。なお、調査対象のRATは、最近に入ってC&Cサーバから入手したものです。
前回の調査では、主にWaterbearのダウンローダ(第1段階)に焦点を当て、ネットワーク上の動作を分析しました。本稿では、WaterbearのRATや各種プラグイン(第2段階)について、調査事例をベースに解説します。さらに、攻撃者が検知や追跡を回避するために、Waterbearダウンローダを他の端末に拡散させた手口についても説明します。
Waterbearの最新版であるDeuterbearについても、さまざまなアップデート事項を含めて解説します。例えば、シェルコード形式のプラグインを受け付ける機能や、RAT操作をハンドシェイク通信なしで実行する仕組みなどを取り上げます。
最後に、Earth Hundun と被害者間でWaterbearやDeuterbearを介して行われる相互通信や、それに関わる発見事項について解説します。一連の手口は、Earth Hundunによる作戦の巧妙さを特徴づけるものです。
Waterbearの調査事例
図2に、前回のWaterbearによる活動で確認された攻撃の流れを示します。本図には、被害環境内におけるWaterbearの活動や、内部ネットワーク経由で追加のWaterbearダウンローダを拡散させる手口が含まれます。
第1段階
前回の記事で述べた通り、Waterbearによる攻撃の第1段階では多くの場合、ダウンロードを目的とする3種のファイルが使用されます。その内訳は、「正規な実行ファイルの改変版」、「ローダ」、「暗号化済みダウンローダ」となります。
第2段階
- C&Cサーバへの接続後、WaterbearRAT(A)がメモリ内にダウンロードされます。本RATの内部には、多数のコマンドコードが定義されています(内容は表1を参照)。本事例においてWaterbearRAT(A)は、コマンドコード「1010」によって「Waterbearプラグイン」をダウンロードする目的でのみ使用されました。表1に示すようにコマンド「1010」は、プラグインをダウンロードした上で、さらにその第1エクスポート関数「Start」を呼び出すことで、指定プロセスに対するインジェクション(不正なコードの埋め込み)を実行します。
- Waterbearプラグインには、Waterbearダウンローダのバージョン「0.27」、「0.28」が含まれます。双方とも、暗号化はされていません。どちらが使用されるかは、インジェクト対象プロセスのビット数に依存します。具体的に32ビットの場合はバージョン「0.27」が、64ビットの場合は「0.28」が選択され、ダウンロード処理が進行します。現状確認されているWaterbearダウンローダの最新バージョンは0.27、0.28であり、その挙動自体は2020年当初から変わっていません。
- 本事例では、インジェクト対象プロセスが64ビットであったため、Waterbearダウンローダのバージョン「0.28」が稼動し、新たなC&CサーバからWaterbearRAT(B)のダウンロードを試みました。新規C&CのIPアドレスは、WaterbearRAT(A)によって指定されます。また、WaterbearRAT(B)はWaterbearRAT(A)とほとんど同一ですが、内部のRSA鍵が異なります。
- WaterbearRAT(B)は、感染端末からドライブやファイルの一覧を収集し、Waterbearダウンローダを他の端末に拡散する目的で使用されます。この結果、新たな感染過程が「第1段階」から再び進行します。この感染過程に必要なダウンローダやRATのダウンロードが完了すると、Earth Hundunは、C&Cの文字列を内部IPアドレスで書き換えます。これは、Earth Hundunが被害環境からC&Cサーバへのアクセス履歴を消去すると同時に、接続先を任意に切り替えられることを意味します。
本RATは、バックドアコマンドを受け取る前に、コマンドコード「8002」を介して被害者情報をC&Cサーバに送信します。下表に、被害者情報のフォーマットを示します。
以降では、Earth HundunによるDeuterbearの利用法や、DeuterbearRATの詳細な解析結果を解説します。
Deuterbearのインストール
Deuterbearのインストール経路を図3に示します。Waterbearの場合と同様、バックドア機能が2段階でインストールされます。
第1段階では、はじめにDeuterbearローダが簡素なXOR演算によってダウンローダを復号します。このダウンローダは、C&Cサーバに接続して第1段階のRATを取得します。続いて、攻撃者が第1段階のRATを利用して被害システムを分析し、永続化用フォルダを特定します。本フォルダは、第2段階用コンポーネントの格納先であり、API「CryptUnprotectData」による復号機能を備えたローダ、暗号化済みダウンローダ、関連レジストリ(復号手順について、前回の記事をご参照ください)などがインストールされます。
Deuterbearに感染したシステムの大半は、第2段階用コンポーネントのみが残された状態で発見されます。監視結果に基づくと、図3の「永続化」が完了した時点で、第1段階に該当するコンポーネントは完全に削除されます。Earth Hundunは、第1段階でDeuterbearのインストールに成功した場合でも、復号用API「CryptUnprotectData」によってローダを保持する傾向が見られます。一連の動きは、不正行為やマルウェアの痕跡を脅威分析者の目から隠し、解析や追跡を妨害するための手口です。特にマルウェアが実際の被害システムではなくテスト環境で稼動している場合に、その効果が高まります。
DeuterbearRAT
DeuterbearRATは、ダウンローダが有するコンポーネントの一部をそのまま引き継いで使用します。具体例を下記に示します。
- 全ての解析妨害技術(詳細については前回の記事をご参照ください)
- HTTPSトンネリング
- データ送受信の手続き
- 通信データの暗号化や復号に必要なRC4鍵データ
- 利用する関数の暗号化や復号に関わる手続き
- 利用する関数の暗号化や復号に必要な鍵データ
DeuterbearRATは、ダウンローダと同じHTTPSチャネルやRC4鍵データを利用します。そのため、通信プロトコル切り替えのためにハンドシェイク通信を行う必要がありません。結果として攻撃者は、ダウンローダを扱う時もRATを扱う時も、被害システムをシームレスに操作することが可能となります。Deuterbearは、バックドアコマンドを実行する前に、RATコマンド「975」を介して被害者情報をC&Cサーバに送信します。被害者情報のフォーマットは表3の通りであり、WaterbearRATの場合(表2)とかなり類似しています。
DeuterbearのRATコマンド
Deuterbearは、WaterbearからRATコマンドの一部をそのまま引き継いで利用します。例えば「プロセスの管理」、「ファイルの管理」、「リモートシェルの管理」に相当するものが挙げられます。
WaterbearのRATコマンドは60種以上(表1)ありましたが、Deuterbearでは機能の並列化に伴って20種のみ(表4)に削減されています。その一方でDeuterbearRATは、コマンド「979」を介してより多くのプラグインを受け取り、柔軟に機能を追加できる作りとなっています。主な追加機能として、2種のシェルコード、および1種のPE実行形式DLLが含まれます。続いて攻撃者は、起動対象のプラグインを判別するための通信データを別途送信します。プラグインの起動方式として、下記の3パターンが存在します。
- 第1のシェルコード、およびPE(DLL)の第1エクスポート関数を実行
- 第2のシェルコード、およびPE(DLL)の第1エクスポート関数を実行
- PE(DLL)の第1エクスポート関数のみを実行
WaterbearとDeuterbearのコマンドが一部類似していることは、コードの比較分析からも確認されました。その例を、図4~6に示します。
WaterbearRATとDeuterbearRATの比較
WaterbearRATとDeuterbearRATの差異を、表5にまとめます。
まとめおよびセキュリティ推奨事項
Waterbearは進化を繰り返し、最終的には新型マルウェア「Deuterbear」に派生するに至りました。一方、新しい方が古い方を駆逐するわけではなく、双方とも独立して進化を続けている点は、注目に値します。
ダウンローダに主眼を置いた2024年4月の調査結果に基づき、今回はRATの方を細部に渡って解析しました。C&Cサーバのポートは一時的にしか開かれていないため、これらのRATを実際に取得できることは、かなり稀です。さらに本調査では、WaterbearやDeuterbearの構成要素であるローダやダウンローダ、RATの挙動を体系的に比較することで、Earth Hundunが用いる技術や手口の進化に関する洞察が得られました。マルウェアファミリ「Waterbear」や「Deuterbear」は、Earth Hundunが行使する攻撃手段の一部分でしかありません。しかし、特に解析妨害や検知回避、通信手順、ファイル操作の手口については、今後も継続的に強化され、他のマルウェアにも実装されていくと考えられます。
企業や組織のシステムをEarth Hundunの攻撃から保護する上では、WaterbearやDeuterbearのダウンローダやRATに対するメモリスキャンが有効です。また、Deuterbearダウンローダの復号に使用されるレジストリを調べることも、システムが当該マルウェアに感染していることを判別する際の重要な手がかりとなります。
MITRE ATT&CK Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
侵入の痕跡(IoC:Indicators of Compromise)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
·Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024
By: Pierre Lee, Cyris Tseng
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)