前回の記事では、「WINNTI」として知られる攻撃者集団が、マルウェア拡散のために GitHub を利用する手口について解説し、彼らがゲーム会社や製薬会社、電気通信会社などを狙う標的型攻撃に、新たな攻撃方法を取り入れ始めたことに注目しました。今回の記事では、WINNTI集団 に関係する可能性の高い個人について得られた情報から、このような攻撃者集団が利用するサーバのインフラ構成と、その規模について解説します。
■ドメイン登録から手がかりを得る
攻撃者は、通常、複数のドメインを利用して、マルウェアを拡散して複数のコマンド&コントロール(C&C)サーバに誘導します。ドメイン名を登録する際には必ず、住所、メールアドレスおよび電話番号など身元を証明する情報が必要となります。特に、メールアドレスは、ドメイン管理事業者がドメイン購入の確認や管理に必要な情報を送信する宛先となるため最も重要です
多くの攻撃者は、使い捨てのメールアドレスを作成するか、あるいは窃取したメールアドレスを利用します。どちらも容易に作成や取得が可能です。しかし、攻撃者によっては、ドメインを新規登録する度に別の情報を用意するのが面倒になり、メールアドレスを使い回すようになることがあります。
トレンドマイクロは、WINNTIに利用される、2014年から2015年の間に登録されたドメインを入念に解析し、1つの傾向が明らかになりました。これら複数のドメインは、WINNTI集団が特定のマルウェアを拡散するために用いる C&Cサーバに利用されていました。そして、それらの C&Cサーバのドメイン登録に利用された1つの登録情報を特定することにより、WINNTI と関連すると見られる「Hack520」というハンドルネームを利用する個人の詳細が明らかになりました。
■攻撃者集団「WINNTI」
マルウェア WINNTIを利用することからその名称で呼ばれる攻撃者集団「WINNTI」は、金銭目的の詐欺の技術を持つメンバーで構成されるサイバー攻撃者集団でした。彼らが登録したドメイン名の利用から2007年には偽セキュリティ対策製品のビジネスを開始したことが確認されています。2009年には、情報やファイルを収集する自作のマルウェアを利用し、韓国のゲーム会社へと標的を移しました。
金銭を目的として活動する WINNTI集団は、独自に開発した機能的なツールを攻撃に利用することで知られています。彼らはかつてゲームサーバを攻撃し、現金化が可能なゲーム内仮想通貨を不正に取得し、オンラインゲームのソースコードを窃取しました。また、不正活動を隠ぺいするために、窃取したデジタル証明書を利用してマルウェアに署名したこともあります。そしてこの集団は、製薬会社や電気通信会社などの企業も標的に加え攻撃対象を拡大しました。以来、標的型メール送信活動やバックドア型マルウェアの利用などの標的型サイバー攻撃を実施する悪名高い集団として知られるようになりました。
トレンドマイクロは、WINNTI 集団の調査を継続する中で、前回の報告には言及されていない関連マルウェアを確認しました。不正活動の内容と攻撃のインフラとして利用される登録ドメインから、これらの検体は WINNTI に帰属すると考えられます。これらのマルウェアから、さらに別の C&Cサーバを確認し、予想以上の情報を得る結果となりました。
■「Hack520」という人物の詳細
トレンドマイクロは、調査の結果、「Hack520」によって以下のドメインが登録されていることを確認しました。
- hack520[.]co[.]kr
- shaiya[.]kr
- zhu[.]kr
- shenqi[.]kr
- zhuxian[.]kr
上記ドメインのいくつかは、WINNTI集団が利用するマルウェアの亜種と関連があります。意外にも、Hack520の情報にたどり着くまでにそれほど時間はかかりませんでした。このハンドルネームを持つ人物は、自身のブログを運営していました。また、そのブログに直接リンクしている Twitterアカウントを Hack520に似たハンドルネームで保有していました。
図1:Hack520 の Twitterアカウント
Hack520 に関する興味深い点は彼のブタに対する愛着で、それはメールアドレスに「pig」という単語を利用していることにも表れています。また、Hack520 はオンライン掲示板で自身の職業を「養豚業」であると言及しています。さらに、Hack520 のツイートには、おそらくは彼のペットと思われる同じブタの写真が表示されています。
Hack520 が利用する Twitter のハンドルネームには、「est」という部分が含まれています。hack520 は、あるハッカー集団のオンライン掲示板に定期的に投稿していることから、「est」はこのハッカー集団を指すと考えられます。
2009年5月31日に、このオンライン掲示板のあるフォーラムで、Hack520 が過去に 10カ月間投獄されていたと投稿していることが確認できます。
図2:Hack520 のブログの投稿
以下はこの投稿の大まかな翻訳です。
Hack520 はホスティングサービスに非常に関心があるようで、彼のプロフィールは彼がプログラミングやハッキング技術を身につけたシステム管理者であることを示しています。
さらに調査すると、Hack520 とさまざまなネットワーク管理活動との関連、特に「仮想専用サーバ(Virtual private server、VPS)」のホスティングサービスとの関連が確認できました。Hack520 がハッカーのフォーラムで投稿する際の署名は、この関連を示す糸口となります。1つは自身のブログのドメインが含まれる署名ですが、もう 1つは、過去に VPSサービスの販売に盛んに利用していたドメイン「93[.]gd」です。メールアドレス「admin@93[.]gd」は、「pig god」というニックネームを持つユーザが所有する IPアドレスにつながります。ここにも Hack520のブタに対する愛着が表れています。
Hack520 が所有する IPアドレスの中には、末尾に「/22」と記載して表される 1024個の IPアドレスを範囲とするものがあります。「pig god」が所有する IPアドレスの範囲は、「43[.]255[.]188.0/22」です。これは、トレンドマイクロが得た以下の情報からわかるように、香港でホストされているようです。
- inetnum: 43[.]255[.]188[.]0 – 43[.]255[.]191[.]255
- netname: PIG-HK
- description: PIG GOD
- country: HK
- admin-c: PG406-AP
- tech-c: PG406-AP
- person: pig god
- country: HK
- phone: +852-39437000
- e-mail: admin@66[.]to
- nic-hdl: PG406-AP
- mnt-by: MAINT-RAIBOW-HK
- changed: admin@66[.]to 20160917
- source: APNIC
ドメイン「66[.]to」からは、Hack520 のペットのブタが表示される別の Webサイトにつながります。また、「secure[.]66[.]to」と「zhu[.]vn」へも直接リンクされていました。どちらも Hack520 に属するドメインで、彼の個人的なブログが含まれています。
図3:Hack520 のペットのブタ
トレンドマイクロは「Hack520 のネットワーク」と WINNTI集団の活動にさらなる関連性を確認しました。これには、WINNTI が利用する「mtrue[.]com」、「shenqi[.]kr」および「zhu[.]kr」などの C&Cドメインのホスティングが含まれます。弊社はまた、「secure[.]66[.]to」で VPSホスティングサービスを販売しているサービスを確認しました。「secure[.]66[.]to」が提供するホスティングサービスは、実際に世界中の企業でレンタルされています。また、「secure[.]66[.]to」で確認できる内容は、「zhu[.]vn」につながることがあります。これは Hack520 個人のブログをホスティングしているドメインです。
図4:「secure[.]66[.]to」の Webサイト
トレンドマイクロは、2015年から 2017年の間に「Hack520のネットワーク」へと導いた約500のドメイン名を確認しました。これらのドメインのほとんどには、ポルノやオンラインギャンブルのような違法なコンテンツが含まれているようです。私たちは、「Hack520のネットワーク」が、WINNTI集団とは無関係のサイバー犯罪者に「防弾ホスティングサービス(bulletproof hosting service、BPHS)」として利用されている可能性も高いと推測しています。
Hack520のブログやその周辺のインフラから、Hack520 が WINNTI集団や他のサイバー犯罪者のグループに提供される VPSホスティングサービスに関係していることは、疑いの余地がないようです。
■被害に遭わないためには
WINNTIのような攻撃者集団は、常にツールを改良し、攻撃活動を変化させ続けています。「2017年セキュリティ脅威予測」で既に説明したように、このような集団は常に凶悪化し、独自の高度な攻撃手法を編み出します。さらに、Hack520のような個人の存在は、WINNTIなどの攻撃者集団が、専門知識を持つ個人で構成されていることを証明しています。これらはすべて、このような脅威が新たな攻撃方法を取り入れ、拡大する傾向を示しています。
サイバー犯罪者は常に戦略を拡大しようとしています。比較的組織化されていないサイバー犯罪者に対して効果的なセキュリティ対策が、今回の WINNTI集団のように、目標達成のために費やす時間、リソース、人材を惜しまないグループに対しては効果的でない可能性があります。特に標的型サイバー攻撃の標的となる恐れのある企業や組織の場合には、セキュリティに関して関係者全員が積極的に取り組む必要があります。普段からセキュリティに対する認識を高め、適切な対策を導入することによって、企業や個人は WINNTI のような攻撃者集団から自身を保護することができます。
参考記事:
- 「Of Pigs and Malware: Examining a Possible Member of the Winnti Group」
by Cyber Safety Solutions Team
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)