「Taidoor」は 2009 年以来活動が確認されている標的型攻撃キャンペーンです。「Taidoor」は、これまでは主に台湾の政府機関を標的としたキャンペーンであると考えられてきました。しかしトレンドマイクロでは、2017 年末から日本の複数の組織を標的とした「Taidoor」の活動を確認しています。このような日本を標的とした「Taidoor」の活動が、今後も継続していくことが懸念されます。
■日本へ矛先を向け始めた「Taidoor」
トレンドマイクロのリサーチチームでは「Taidoor」について継続的に追跡・調査を行っており、その過程において、2017 年末から日本での「Taidoor」の活動を確認しました。攻撃は日本の複数の組織に及んでおり、ソーシャルエンジニアリングを駆使した標的型メールを主な侵入口として、「SIMBOT」や「EXFRAM」といったバックドアを感染させます。感染後はハッキングツール「MIMIKATZ」を用いた認証情報の窃取などの巧妙な手口も確認されています。使用されたバックドアの中には予め被害組織のプロキシの IP アドレスや、認証プロキシに用いるための認証情報がハードコードされた検体も確認しており、ある攻撃で窃取した情報を次の段階の攻撃で活用している様子がうかがえます。
また、さらなる不正プログラムのダウンロード元や窃取した情報のアップロード先として正規の共有Webサービスである「GitHub」を利用する検体や、正規のオンラインストレージサービスである「Dropbox」上でバックドアコマンドやその実行結果の送受信を行うことで、当該サービスを C&C サーバとして利用する検体も確認されています。これらは正規サイトを利用することで、ネットワーク上のセキュリティ製品による検知・ブロックの回避を狙う手口と見られます。
■「Taidoor」による攻撃有無の確認方法
「Taidoor」の攻撃が既に侵入済みかどうかは以下の情報を確認することで判断可能です。
- ローカルネットワーク内から特定 URL へのアクセス有無
Proxy のログなどから、以下の URL に対し、ユーザが意図しないアクセスが発生していないか確認します。- hxxps://raw[.]githubusercontent[.]com/
- hxxps://api[.]dropboxapi[.]com/2/files/
- hxxps://content[.]dropboxapi[.]com/2/files/
※誤アクセス防止のため https を hxxps、.を [.] と表記しています
※上記 URL は正規 URL です - 対策製品による特定の検出の有無
「Taidoor」に関連する不正プログラムの検出が無いか、対策製品のログを確認します。トレンドマイクロ製品では、「Taidoor」に関連する不正プログラムを以下のファミリ名で検出しますので、ご使用のトレンドマイクロ製品のログからこれらの検出有無を確認してください。- DALGAN
- ENCBUXZOP
- EXFRAM
- MOCELPA
- SIMBOT
- TAILDR
- TALERET
また、トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery Inspector」では、「Taidoor」に関連する不正プログラムが行う不審なネットワーク上の挙動を以下のルールで検出可能です。「Deep Discovery Inspector」をご使用の場合は以下のルールでの検出有無を確認してください。
- 910 – APT – TALERET – HTTP (Request)
- 1347 – Possible SIMBOT – HTTP (Request) – Variant 3
- 1704 – APT – TALERET – HTTP (Request) – Variant 2
- 1796 – MOCELPA – HTTPS (Request)
- 2019 – APT – DALGAN – HTTP (Request)
- 2257 – APT – SIMBOT – HTTP (Request)
■被害に遭わない・被害を拡大させないためには
「Taidoor」の初期侵入方法として、不正ドキュメントを添付した標的型メールの事例を確認しております。受信者が添付の不正ドキュメントを開くと、マクロ機能を悪用して PowerShell を実行することで、前述のバックドアなどの不正プログラムをダウンロードして感染させます。これを防ぐために、以下の対策の実施を推奨します。
クライアントPCにおける Microsoft Office 製品のマクロ機能を無効化
業務で使用していない場合には、Microsoft Office 製品のマクロ機能を無効化することを推奨します。グループポリシにて、マクロの設定を「警告を表示せずにすべてのマクロを無効にする」に強制することにより、ユーザが誤ってマクロを有効化し、感染へと至ることを防ぐことが出来ます。
マクロが埋め込まれた添付ファイルをメールゲートウェイのサンドボックスで検査
マクロが埋め込まれた不正ドキュメントについて、メールゲートウェイ製品にてサンドボックスでの検査を行い、不審な動作を行った場合にはメールをブロックします。これにより、マクロ機能を悪用する不正ドキュメントがユーザまで配信され、感染へと至るリスクを低減させることが出来ます。トレンドマイクロ製品では、「InterScan Messaging Security Virtual Appliance」と「Deep Discovery Analyzer」を連携させることにより本対策が実施可能です。
クライアント PC における PowerShell の利用を制限
PowerShell の無効化、または、PowerShell プロセスからの直接のインターネット通信をファイアウォールでブロックすることにより、マクロ機能を悪用する不正ドキュメント等が PowerShell を利用してインターネットからさらなる不正プログラムをダウンロード・インストールすることを防ぐことが出来ます。
無効化やブロックの設定が出来ない場合は、PowerShell の使用履歴を遡れるよう、PowerShell のロギング機能を有効化することを推奨します。
「Taidoor」の攻撃有無の確認を行った結果、被害に遭っている可能性が確認された場合、セキュリティベンダーへの相談に併せて、以下の対策による影響範囲の特定・被害拡大防止を行うことを推奨します。
特定のドメインに対する通信のネットワーク機器での監視
攻撃で利用された通信先が業務で利用しないドメインであった場合、プロキシサーバや監視機器等にて当該ドメインへの通信を監視することを推奨します。「Deep Discovery Inspector」をご利用の場合、拒否リストに「監視のみ」として登録することで、通信を監視することが可能です。
パスワード取得ツールも併せて発見された場合、当該端末で利用するユーザのパスワードを変更
「MIMIKATZ」などのパスワード取得ツールも併せて発見された場合、そのツールを用いて得た認証情報を用いてさらなる攻撃が実施される可能性が高いものと考えられます。したがって、当該端末で利用したユーザアカウントのパスワード変更を推奨します。また、ドメイン管理者の認証情報が窃取された可能性がある場合は、権限の高いユーザのパスワード変更を推奨します。
※執筆協力: Threat Solution Team (台湾)
※記事構成: 岡本勝之(セキュリティエバンジェリスト)
■参考情報
- The Taidoor Campaign AN IN-DEPTH ANALYSIS (2012/08/18)
- Taidoor Update: Taidoor Gang Tags Its Victims(2012/12/03)
- Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero-Day(2014/05/12)