2016年6月、サイバー犯罪集団「Lurk(ラーク)」に関連する犯罪者 50人が逮捕されました。Lurkは、遅くとも 2011年から活動を開始し、2016年6月に逮捕されるまで、約4,500万米ドル(約50億円、2017年2月20日現在)相当を窃取しました。私達は、2011年から 2016年中旬まで、Lurk が利用する不正活動のコード解析や、ロシア国内における弊社の侵入検知システムが監視したネットワークトラフィックと URLパターンを分析することにより、このサイバー犯罪集団のネットワークアクティビティを監視、調査してきました。この調査によって収集した情報を元に、逮捕されるまでの約5年間の不正活動の変遷について 2回に分けて報告します。
第1回:
- 痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認
- 2011年から 2012年初期:Lurk、活動を開始
- 2012年中頃から 2014年中頃:マルウェアの向上、組織化した犯罪集団に
■痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認
「Lurk」は、ファイルを利用せずに感染する手法を利用して、金融機関だけでなく IT関連企業や通信事業企業から金銭を窃取してきました。この「fileless」と呼ばれる「ファイルを利用しない」で感染させる手法は、不正なファイルを物理的にダウンロードしたりハードディスクへの書き込みをしたりせずに不正活動を実行する方法です。この手法を用いるマルウェアの例として挙げられるのが 2014年に確認された「POWELIKS(パウリクス)」です。このような侵入した痕跡を残さない手法が確認されて以降、他のマルウェア、例えば、ランサムウェアの拡散や POS(販売時点情報管理)システムの侵害などに利用されており、現在、特に目新しい手法ではありません。とはいえ、物理的な感染方法を利用しないということは、検出が困難になり、ユーザが気づかないうちに感染している可能性が発生します。そして、管理者権限を取得するなどして、攻撃者の必要に応じて、感染PC に潜伏することが可能となるため、企業や個人ユーザにとって深刻な脅威となります。
Lurkは、遅くとも 2012年当時で、金融機関を攻撃対象として痕跡を残さない手法を利用していました。典型的な感染の流れは、不正なiframe が挿入された改ざん Webサイト経由で不正コードを感染させます。この不正なiframe は、Webブラウザの脆弱性を利用して、「drive-by download(ドライブバイダウンロード)攻撃」で PCに感染させ、ロシアの大手 Webサイトが水飲み場型攻撃として利用されたこともありました。ファイルを利用しないマルウェアとして悪名高い「POWELIKS」との大きな違いは、1)感染後、メモリ上に攻撃コードを実行し、2)攻撃対象か否か確認する点です。また、POWELIKS がセキュリティ製品による検出回避を目的に不正コードを Windowsレジストリに上書きする一方、Lurk が利用する手法は、エクスプロイトコードを RAM内で実行し、攻撃対象かどうか感染PC 内を調査することです。そして、インストールされているソフトウェアやそれらのバージョンなどの情報を自身のコマンド&コントロール(C&C)サーバに送信して、攻撃対象であるかどうか判断します。攻撃対象である場合、情報窃取するマルウェアをダウンロードさせ、攻撃対象でないと判断された場合、エクスプロイトコードの実行プロセスで作成されるファイル以外の自身の痕跡を抹消します。
■2011年から2012年初期:Lurk、活動を開始
Lurkの活動が確認され始めたのは、2011年末で、Webサイトへの攻撃を発端に確認されました。そして既に、セキュリティ対策ソフトによる検出を回避する手法を利用していました。例えば、特定の時間帯のリクエスト、または彼らの優先配信地域に含まれていない送信元IPアドレスからのリクエストは、GoogleなどのサードパーティのWebサイトへリダイレクトされるように設計されていました。
Lurkは、不正なiframeが挿入された改ざんWebサイト経由で感染するだけでなく、「malvertising(不正広告)」やソフトウェア「memcached」のキャッシュポイズニングといったコンテンツ配信アプリケーションコンポーネントへの感染なども、トラフィックの誘導手法として利用していました。
上述の通り、“隠密”活動は、すでにLurkの常とう手段でした。次のマルウェアが攻撃対象に送り込まれる前に、ファイルを利用しない不正コードがメモリ内で実行され、感染PCの情報を収集し、事前に調査します。
トレンドマイクロは、調査の際、URLベースの文字列パターン(シグネチャ)を作成し、Lurkに関連するネットワークトラフィックの検出に使用しました。「^[A-Z0-9]{4}$」というシグネチャは、2011年から2013年の間にLurkが利用していたURLのパターンを検出するため特に有効でした。これらのシグネチャの有効期間(Time to Live, TTL)はは、平均2カ月から3カ月でした。このシグネチャのTTLによって、「Lurk」が利用するソフトウェアの更新サイクルについても特定することができました。
■2012年中頃から 2014年中頃:攻撃手法の向上、組織化した犯罪グループに
Lurk は、この期間中に最も活発に活動し、ロシア内での活動を広範囲に展開しました。大量のトラフィックを扱う大手 Webサイトが、知らずに訪れるユーザを「XXX Exploit Kit(XXX EK)」というエクスプロイトキットに誘導するための中間プラットフォームとして利用されていました。
Lurk はまた、特殊な広告インフラを狙い、攻撃規模を拡大しました。例えば、2012年2月、通信社である「RIA Novosti」や「ria[.]ru」の広告配信サーバが iframe を利用して Lurk関連の Webサイトへ誘導していることが確認されました。この一環で、選択された IPアドレス範囲にのみ、問題の不正コードが拡散されていました。
トレンドマイクロは、2012年8月までに、感染中と感染後の HTTPリクエストの配列を確認することができました。それには、感染PC からのコマンド&コントロール(C&C)通信が含まれていました。2014年に入ると、Lurkは「Angler Exploit Kit(Angler EK)」と同様のパターンを表し始めました。例えば、Lurk はランディングページの URLパターンとして「indexm[.]html」を多用するようになりましたが、これは Angler EK が利用する攻撃手法の1つにも、間もなく確認されています。
図1:「ria[.]ru」で、エクスプロイトコードが読み込まれる順序(2012年2月)
図2:「[bg].ru」の閲覧者がLurkのエクスプロイトキットへ誘導される(2012年2月)
図3:「adfox[.]ru」のバナー広告から、Lurkのランディングページへ誘導される
図4:「tks[.]ru」に埋め込まれた不正なiframeコンテンツ(2013年8月)
Lurk が「Webブラウザの脆弱性の利用」という単純な手法で活動する集団から、組織立ったサイバー犯罪グループへと変化を遂げたのも注目すべき点です。活動範囲を拡大し、攻撃頻度も増加しました。攻撃基準が頻繁に修正され、不正活動も何度も更新されました。ある種のブラウザに存在する脆弱性だけを悪用していた一方、エクスプロイトコードも頻繁に変更されました。データサイズの大きなコードは、大抵の場合、より多くの機能が埋め込まれたことを意味し、サイズの小さな変更のときは、既存の不正コードをリパックして再利用されたことを意味していました。
Lurk は、サンドボックスによる検出の回避手法を開発しました。IPアドレス 1つにつき不正なコンテンツを 1度しか拡散しない、というだけでなく、彼らは IPアドレスの範囲を攻撃対象のサブセットのみに限定しました。Lurk が実行する不正活動は、複数段階、連続で実行され、後期の段階で配信されるコンポーネントだけが持続的機能を備えていました。最初に感染する、ファイルを利用しない不正コードは、エクスプロイトキットのシェルコードによって起動するように設計されています。このエクスプロイトキットのシェルコードは、感染PC の動作確認をします。その後、Lurk の C&Cサーバに Windows実行可能ファイル形式でコールバックし、次に別の分析を実行し、感染PC にインストールされたソフトウェアのパッケージとそのバージョン、オペレーティングシステム(OS)情報などのシステム情報を収集します。この情報は C&Cサーバに送出され、次の不正活動が決定されます。この包括的な精査によって、Lurk の画策に沿った次のモジュールを感染PC に送り込むかどうかを決定します。
Lurk は、コードが実行された環境によって活動内容が大きく左右されたため、実際の検体を取得することが困難でした。例えば、Lurk が利用する URL をサンドボックス環境下で読み込んだ場合、マルウェアのモジュールを追加で取得することは、ほとんど不可能でした。
Lurk の不正なコンテンツは、大抵、モスクワのタイムゾーンでの昼食時、非常に短い間隔で拡散されました。トレンドマイクロは、これがサンドボックスによる自動検出を回避する手段であると推測しています。Lurk にとって関心のある地域である、ロシアおよび独立国家共同体(CIS)の領域かどうかを確認するため、訪問者IPアドレスの地理情報が詳細に照合されていました。また、金曜日と祝日の前日という特定の曜日に拡散頻度が増しました。
Lurk で利用されるインフラにも新しい機能が加えられていました。中でも、HTTPリクエストとホスティングプロバイダに利用される明確なパターンが確認されました。トレンドマイクロは、Lurk が利用していたホスティングプロバイダと、ホスティングプロバイダ移行のタイミングから、彼らがソフトウェア配布会社の Webサイトを改ざんし、ソフトウェアのインストールファイルを書き換えていたことを確認しました。
Lurk の攻撃では、他にも多数の脆弱性が悪用されており、プログラムによって運営される広告配信サーバや Webサーバその他の Webコンポーネントの認証が迂回される脆弱性が含まれます。誘導の仕組みは、媒介となるユーザごとに異なります。広告バナーネットワークや実際の Webサイトが利用される場合もあれば、Webサイトのコンテンツ配信コンポーネントが感染している場合もありました。
| 2012 | 2013 | 2014 |
| 3dnews[.]ru | 3dnews[.]ru | 3dnews[.]ru |
| adriver[.]ru | adriver[.]ru | adfox[.]ru |
| akdi[.]ru | adv[.]vz[.]ru | auto[.]ru |
| bg[.]ru | aif[.]ru | avtovzglyad[.]ru |
| com[.]adv[.]vz[.]ru | akdi[.]ru | drive[.]ru |
| fobos[.]tv | gazeta[.]ru | glavbukh[.]ru |
| gazeta[.]ru | glavbukh[.]ru | inosmi[.]ru |
| rian[.]ru | infox[.]ru | irr[.]ru |
| newsru[.]com | klerk[.]ru | nalogoved[.]ru |
| target-m[.]ru | mn[.]ru | news[.]mail[.]ru |
| tks[.]ru | newsru[.]com | ria[.]ru |
| torrogrill[.]ru | rg[.]ru | riarealty[.]ru |
| tvrain[.]ru | servernews[.]ru | nk[.]ru |
| uik-ek[.]ru | slon[.]ru | rusplt[.]ru |
| ura[.]ru | tks[.]ru | smotri[.]com |
| slon[.]ru | topnews[.]ru | sport[.]mail[.]ru |
| vesti[.]ru | tvrain[.]ru | tks[.]ru |
| vesti[.]ru | utro[.]ua | |
| womanhit[.]ru |
図5:Lurkの攻撃の中間プラットフォームとして利用されたWebサイトの変遷
次回は、2014年から Lurkに関連するサイバー犯罪者逮捕の 2016年までをご報告します。
痕跡を残さないサイバー犯罪集団「Lurk」の変遷:第2回 攻撃の拡大と組織の消滅
- 2014年から 2016年:不正活動を世界に拡大
- 2016年:Lurk の消滅
- 被害に遭わないために
参考記事:
- 「Lurk: Retracing the Group’s Five-Year Campaign」
by Fyodor Yarochkin and Vladimir Kropotov (Senior Threat Researchers)
翻訳:室賀 美和、編集:船越 麻衣子(Core Technology Marketing, TrendLabs)