サイバー諜報活動集団「Patchwork」について解説

Patchwork(別名:Dropping Elephant)」は、外交機関や政府機関、企業等を標的とするサイバー諜報活動集団です。Patchwork という名称は、自身の活動のために既製のツールやマルウェアを修正して利用することに由来しています。ゼロデイ脆弱性を利用し対象に合わせて戦術を調整するその他の集団とは異なり、利用する手法は目新しいものではないかもしれません。しかし、さまざまな感染経路やマルウェアを駆使する Patchwork の攻撃は確かな脅威となっています。

トレンドマイクロは、2017 年に確認された Patchwork の活動を追跡しました。彼らが利用するソーシャルエンジニアリングの手法、攻撃手順、バックドア型マルウェアはそれぞれ多岐にわたります。他にも、「Dynamic Data Exchange(動的データ交換、DDE)」と「Windows Script Component(SCT)」の悪用や、新しく報告された脆弱性の利用も確認されるようになってきました。このような状況から、Patchwork は自身の目的に合わせて再利用するために、その他の脅威や脆弱性に注意を払っていることがうかがえます。また、より慎重かつ効果的に活動しようとしている点も注目に値します。

■Patchwork の標的

Patchwork は中国と南アジアの複数の業界を主な対象としています。また、英国、トルコ、イスラエルの組織に送信された標的型メール(スピアフィッシングメール)も確認されています。

単に著名人だけではなく、「Business to Consumer(B2C)」のオンライン小売業者や通信およびメディア企業、航空宇宙研究者、銀行のような金融機関が標的とされています。また、国際連合開発計画(UNDP)も標的に含まれていました。

企業を標的とする動機は不明ですが、金銭目的ではなく、サイバー諜報活動に関連したものだと考えられています。利用されたマルウェアの解析から、Patchwork は金銭化できる情報よりも、企業の重要業務に関する情報や機密情報を狙っていることが分かっています。

■標的 PC を感染させる手法

Patchwork が標的に侵入する定番の手法は、不正なWeb サイトへ誘導するリンクや直接リンク、不正な添付ファイルを含むスピアフィッシングメールです。例えば、Patchwork は不正なニュースサイトを作成し、訪問者をマルウェアを含む文書に誘導します。この不正な文書にはソーシャルエンジニリングの手法が利用されています。不正な文書への直接トリンクを含むスピアフィッシングメールは Patchwork が保有するサーバでホストされており、そのドメインは正規の Web サイトに似せられています。また、こうしたEメールの送信にはメールおよびニュースレター送信サービスが悪用されています。

他にも、Patchwork は Youku Tudou(中国で人気のあるソーシャル動画プラットフォーム)に偽装した Web サイトを構築し、気付かれないうちにソフトウェアなどをダウンロードさせる「drive-by download(ドライブ・バイ・ダウンロード)攻撃」を実行します。この不正な Web サイトにアクセスしたユーザは、偽の Adobe Flash Player の更新をダウンロードするように促されますが、実際は「xRAT」の亜種がダウンロードされます。

Patchwork は、標的のメールやその他のオンラインアカウントを乗っ取るために認証情報を窃取するフィッシング攻撃も実行します。例を挙げると、正規の Web 開発企業のページをコピーした Web サイトがフィッシングに利用されていました。この Web サイトには標的に送信されたメールに含まれるリンクからのみアクセス可能となっており、それ以外の方法でアクセスしたユーザは正規サイトに偽装した無害なページに転送されます。

■Patchwork が利用する不正な文書

トレンドマイクロが解析した文書の多くは、たまたま公開されたままになっていた Patchwork が利用するディレクトリで確認されたものです。文書から Patchwork が社会や政治に関する話題をソーシャルエンジニアリングに利用していることが判明しました。

これらの文書には、以下のように特定の脆弱性を狙ったコードが埋め込まれていました。

脆弱性 ファイル形式 更新プログラム 説明
CVE-2012-1856 Rich Text Format(リッチ・テキスト・フォーマット、RTF) MS12-060
2012 年 8 月
Windows の ActiveX Control モジュールの 1 つである共通制御 MSCOMCTL の脆弱性、Remote Code Execution(遠隔からのコード実行、RCE)が可能。
CVE-2014-4114
(別名:Sandworm)
PowerPoint Open XML Slide Show(PPSX) 2014 年 8 月 Windows の Object Linking and Embedding (OLE)の脆弱性、RCE が可能。
CVE-2017-0199 PowerPoint(PPT) 2017 年 4 月 Microsoft Office の脆弱性、RCE が可能
CVE-2017-8570 PPSX 2017 年 7 月 Microsoft Office の脆弱性、RCE が可能。Patchwork が保有するサーバからダウンロードされた不正な SCT ファイルが xRAT をダウンロードする。
CVE-2015-1641 RTF 2015 年 4 月 Microsoft Office のメモリ破壊脆弱性。実行後、バックドア型マルウェア「Badnews」を含む「Dynamic Link Library(ダイナミック・リンク・ライブラリ、DLL)」を作成。この DLLは「DLL side-loading(サイドローディング)」によって読み込まれ、実行される。

表 1:Patchwork の文書が利用する脆弱性

文書に埋め込まれた脆弱性攻撃コード(エクスプロイトコード)の他に、Patchwork は DDE を悪用して感染 PC に xRAT をダウンロードし、実行します。また、実行ファイルが埋め込まれた文書を送信することもあります。この文書はおとり文書とバックドア型マルウェアをダウンロードし、後者を実行します。

■Patchwork が利用するマルウェア

Patchwork はバックドア型マルウェアと情報窃取型マルウェアを組み合わせて利用します。別々に利用されることもあります。

マルウェア 説明
xRAT GitHub にソースコードが公開されている「Remote Access Tool(RAT)」、誰もがプロジェクトをコピーして利用可能。
NDiskMonitor Patchwork が保有していると考えられている独自のバックドア型マルウェア。感染 PC のファイルと論理ドライブのリスト化、指定した URL からファイルをダウンロードして実行することが可能。
Socksbot モジュールとして実行される DLL。応答のステータスコードに応じて以下のような機能を実行する。

  • Socket Secure(SOCKS)プロキシの起動
  • スクリーンショットの取得
  • 実行ファイルや PowerShell スクリプトの書き込みと実行
Badnews 強力な情報窃取能力とファイル実行機能を備えたバックドア型マルウェア。USB 機器の監視、対象ファイルのコピーおよび C&C への送信も可能。
Taskhost Steale
Wintel Stealer
プログラミング言語「AutoIt」で作成されたさまざまな情報収集型マルウェア
対象ファイル

  • Microsoft Word、Excel、PowerPoint文書(拡張子:「doc」「docx」「xls」「xlsx」「ppt」「pptx」)
  • Portable Document Format(拡張子:「pdf」)
  • Rich Text Format(拡張子:「rtf」)
  • メール(拡張子:「eml」「mst」)

表 2:Patchwork が利用するマルウェア

■Patchwork の活動

トレンドマイクロは 2017 年に、Patchwork が利用する 30~40 の IP アドレスとドメイン名を確認しました。各サーバはそれぞれ別の目的を持っています。情報収集型マルウェアが送信した情報を受信するコマンド&コントロール(C&C)サーバとしてのみ利用されているIP アドレスにはドメイン名がありません。また、C&C 通信、正規 Web サイトからコピーしたコンテンツのホスティング、マルウェアや不正な文書の拡散に同じサーバが利用されている場合もあります。他にも、フィッシング攻撃のための Web サイトのホスティングだけに利用されているサーバも確認されています。

Patchwork は、公開されている PHP スクリプトを悪用し、実際のパスは隠ぺいしつつそれらのサーバからファイルを取得します。これは、アクセス元を追跡するための手法かもしれませんが、リサーチャによって公開ディレクトリが発見されるのを防ぐためだと考えるのが自然です。一時的にファイルが削除され、ダウンロードできない状態になっていたことも何度か確認されています。リサーチャを欺くために正規ファイルに置き換えられていたこともあります。Patchwork のサーバのホームページの中には、既にファイルが存在しないとリサーチャに思いこませるために偽の 302 リダイレクトページを表示しているものもありました。

■被害に遭わないためには

既存のツールやマルウェアを修正して利用する Patchwork の攻撃は悪循環を形成しています。つまり、利用するツールやマルウェアが増えるほど、それまで利用していたツールやマルウェアとの間で相乗効果が生まれます。では、企業はどのような対策を取るべきでしょうか。Patchwork が利用するツールや手法から、厳重なセキュリティの重要性が分かります。ゲートウェイやエンドポイントから、ネットワークサーバにわたる各層で脅威を阻止するための積極的な対策を実施してください。

企業はオペレーティングシステム(OS)とアプリケーションを更新し、攻撃者がセキュリティの隙間を利用できないようにレガシーシステムには仮想パッチを適用してください。侵入検知および侵入防御システムと同様に、ファイアウォールサンドボックスはネットワーク内の不審な活動の検知に役立ちます。最小権限の原則を適用し、通常システム管理者のために用意されている PowerShell のようなツールをブラックリスト方式で管理することによって管理ツールを安全に利用してください。ネットワークのセグメント化とデータの分類は情報探索やさらなる情報窃取を防ぐのに役立ちます。一方、挙動監視は不審なファイルが実行した変則的な活動をブロックし、ホワイトリスト方式のアプリケーションコントロールは不要なアプリケーションの実行を防ぐことが可能です。さらに重要なことは、メールのゲートウェイを守ることです。Patchwork は脆弱性攻撃コードやマルウェアを再利用しているに過ぎないかもしれませんが、その効果は実証済みで、ネットワークの中に脆弱な部分があれば利用可能です。

Patchwork の感染経路、不正な文書、マルウェア、インフラストラクチャなど、活動の詳細については技術的概要を、侵入の痕跡についてはこちらを参照してください。

■トレンドマイクロの対策

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処します。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しで Patchwork のような集団による攻撃を検知します。

サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」や「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」、ネットワーク型 IPS 製品「TippingPoint」は、仮想パッチにより更新プログラムが配信されていない脆弱性を狙う攻撃からエンドポイントを保護します。

Patchworkは侵入経路の 1 つとしてメールを利用します。そのため、メールゲートウェイの防御が重要です。「Trend Micro Hosted Email Security™」は、トレンドマイクロがクラウド上で運営しているサービスを利用するため、機能が継続的にアップデートされ、スパムメール、マルウェア、スピアフィッシング、ランサムウェア、標的型サイバー攻撃などを常に最新の情報でブロックすることが可能です。「Deep Discovery™ Email Inspector」は、不正な添付ファイルや URL を検出し、企業ユーザを保護します。

メール攻撃対策製品「Deep Discovery™ Email Inspector」やWebゲートウェイ対策製品「InterScan Web Security」は、マルウェアからユーザを保護します。

ウイルスバスター クラウド」、「ウイルスバスター™ コーポレートエディション」、「ウイルスバスター™ ビジネスセキュリティサービス」などのエンドポイント製品は、Patchwork による攻撃の影響を軽減するさまざまな機能を備えています。

クロスジェネレーションで進化を続ける「XGen™セキュリティ」は、AI 技術をはじめとする先進技術と実績の高いスレットインテリジェンスを融合した防御アプローチにより、データを保管するサーバ、データを交換するネットワーク、データを利用するユーザの各レイヤーで最適化されたセキュリティを提供します。

参考記事:

翻訳:澤山 高士(Core Technology Marketing, TrendLabs)