インターネット上で世論を操作する「サイバープロパガンダ」や、社会的および政治的な主張のもとでハッキングなどの手段を使って行動する「ハクティビズム」に関して、
- 誰が
- どこで関連ツールを入手し、技術を取得して
- どんな手口を使うのか
といった疑問が挙がってくるでしょう。その回答の 1つとして、少なくとも従来のサイバー犯罪者が関与していることは疑いの余地はありません。
トレンドマイクロは、リビアに拠点を置くサイバー犯罪者が、通常のサイバー犯罪と同時にサイバープロバガンダの活動も実行している事例を確認し、本稿で報告します。
■感染経路は標的型メール、多段階の難読化が施された VBSスクリプト系マルウェアの解析
トレンドマイクロは、欧州の各国大使館に送られた標的型メールを確認したことが発端となり、今回の事例に気づきました。問題の標的型メールには、「Tourist attack!!」という警告をする件名を使っており、通常、複数の外務省から送信されたように偽装されていました。問題のメールには、RAR形式の圧縮ファイルが添付されており、その圧縮ファイルには、難読化された VBSファイルが含まれていました。難読化が復号されると、実際の不正活動を実行する「njRAT/Njw0rm」なります。これは、中東のアンダーグラウンド市場で共有されていた「remote access trojan(RAT)」の 1つで、2015年に確認されています。
難読化の手法に関して、特別な手法が利用されているわけではなく、スクリプトには多段階の難読化が施されていました。第 2段階の VBSスクリプトを含む変数は、Unicode でエンコードされており、関数「Execute」が実行される前に、「ChrW」や「AscW」、「Mid 」といった基本的な文字列操作関数の組み合わせを用いて復号されます。
以下のような簡素な Yaraルールにより、こうした難読化された VBS のスクリプトファイルを探し出すことができます。
rule layer1_vbs
{
strings:
$vbs = /[a-z]+ = [a-z]+ & ChrW\(AscW\(Mid\([a-z]+, [a-z]+, 1\)\) – [a-z]+ \* [a-z]+\)/ wide
condition:
$vbs
}
弊社は、今回の難読化が施された VBSのスクリプトファイルが「Team N7r」という北アフリカのハッキング集団により作成されたと考えています。このハッキング集団は、従来型の RAT 操作方法などの動画を提供していることで知られています。なお、今回問題とする難読化された RAT については、現時点では動画内で言及されていません。弊社は、当初、このハッキング集団、あるいは、この集団が提供するツールを利用する人物が今回の攻撃を実行したと考えていました。
攻撃が活発化するにつれて、問題の不正なスクリプトファイルのセキュリティ対策ソフトウェアによる検出率も改善されてきます。そのため、今回の攻撃の背後にいる攻撃者は、北アフリカ圏内の他の外交官およびホテル産業などに狙いを変え、支払い確認の要求といった従来のフィッシングメールを新しく送り始めました。その 1つは、ハリケーン「イルマ」により甚大な被害を受けたサンマルタン島の外交官に、このハリケーン襲来後に送られていました。
この攻撃者は、自身のサイバー犯罪者としての「キャリア」において転換期にいるようです。従来型の詐欺で金銭を得る一方で、自身の技術を向上させ標的型サイバー攻撃も仕掛けています。
第2 の攻撃で利用された添付ファイルは前回に比べて多少細工が施されており、復号後は同じく njRAT でしたが、その違いは VBSファイルにもう一段階の難読化が追加されていたことでした。弊社は、同様の手法を使った検体を入手しましたが、その検体は「Team N7r」が提供するものではないことを特定しました。そして、この攻撃者は、セキュリティ企業やリサーチャからの検出を回避するために、さまざまなフォーラムで難読化ツールを入手し、それらツールを組み合わせて自身の攻撃に利用したと考えます。この検体に関する Yaraルールは、以下の通りとなります。
rule layer0_vbs
{
strings:
$code = /Dim \w+\s+\r\n\s+For Each \w+ In split\(\w+,”.+”\)\r\n\s+\w+ = \w+ & ChrW\(\w+ – “\d+”\)/
condition:
$code
}
上述の 2つの Yaraルールは、「H-Worm」、「Luminosity」および「RemCOS」といった従来型の RAT を拡散する検体収集を可能にします。確認した検体が接続するコマンド&コントロール(C&C)サーバは、こうした攻撃の背後にいる攻撃者の特定に役立ちます。確認した C&Cサーバは、オンライン銀行詐欺ツール関連マルウェアにも関連しており、このことから、攻撃者は、対象を大使館などに限定していないことがうかがえます。
■今回の攻撃の背後にいる攻撃者について
トレンドマイクロは、上述の通り Eメールに添付されたファイルの解析に加えて、他の構成要素についても検証し、いくつか言及すべき点を確認しました。
攻撃者は、常にリビア関連の IPアドレスからメールを送信していました。いくつかの事例では、攻撃者自身が乗っ取ったホテル関連の SMTPサーバを利用していましたが、メールヘッダの IPアドレスを隠ぺいするサービスを利用する考えはなかったようです。メールに利用された IPアドレスから攻撃者が利用したダイナミックDNSドメインを特定することができました。
弊社は、また、攻撃者が利用するドメインの登録者情報を確認しました。この情報は非常に有益で、攻撃者が操作する Facebook のアカウントを複数確認することができました。そして、攻撃者自身の身元および拠点がリビアであることを確認しました。
この攻撃者は、驚くべきことに、不正に入手した書類をソーシャルメディア上で公開していました。
図1:不正に入手した書類をFacebook上に投稿
そして、Facebook上に大使館関連書類だけではなく、不正に入手したクレジットカードや書き換えた Webサイトのスクリーンショットについても投稿していました。
図2:不正に入手したクレジットカードの投稿
この攻撃者が不正入手した書類を初めて投稿したのは、2016年4月でした。動機については、公開された書類に特に注目すべき情報が含まれていないことから、まだ不明な点が残ります。機密情報の可能性がある関連文書が流出することは、被害に遭った組織の評価を下げ世論に影響を与えます。こうした不正活動は、たとえ、流出した書類の価値が限られたものであるとしても、サイバープロパガンダに分類されます。
攻撃者は、リビア政府の名声失墜を狙った可能性があります。あるいは、2017年1月に Microsoft Office 2007 の古い脆弱性を狙う攻撃コードについて Facebook上で公開していることから、自身の名を知らしめ、他のサービスを販売しようとした可能性も否めません。
今回の事例は、サイバー犯罪とサイバープロバガンダがどのように結びついてるのか示す好事例だといえるでしょう。関連ツールおよび手法は、双方において効果的でした。各企業・組織は、こうした攻撃を防御するために、どのようなツールおよび手法が使われているのかに焦点を当ててください。こうしたセキュリティ対策への施策が攻撃者に対しても有効となり、予期しない攻撃から組織を保護することとなります。
■侵入の痕跡(Indicators of Compromise、IoCs)
第1の攻撃に利用された検体
- cd8329f75b1393ead3e16c6c79ee1ab476e6487370481e5931feb63305f00983 – detected as VBS_KEYLOG.NYKW
- f46f0e8eed0361294200d64e87b3fb13f6a3797f99f5b588444534f27612a590 – archive file; contents detected as VBS_KEYLOG.NYKW
- fd883a978dd6d95fa5c3b5e0a154e0e07b06e7cb6c685f1ca9f58c73122df24d – archive file; contents detected as VBS_KEYLOG.NYKW
- 7413c7c0317e49e49d595408f721c2ab2f120215374accf2f8133c9d9ad603fb – detected as WORM_DUNIHI.AUSHH
- 89427241e26748949c235fc43805c72960d9c2711fa72036c33137648bb475fa – detected as VBS_REMCOS.B
第2の攻撃に利用された検体
- fb5b5906feab268f90789b15351b8a193fb5f445a3ae9afb1da8fb814ed80325 – detected as VBS_KEYLOG.NYKW
- 306f4f843c5a5a119a3385ad2b18c78a04fac618031ddecabf0633083a6c9a76 – detected as VBS_KEYLOG.NYKW
- 33709ca050fd0abc2aba38326996bf1c3b6d9b875228c9f15e624f9002c199a8 – detected as VBS_OBFUS.VUJ
- ff0f9057d3da7b3500f145ce24670c89a93cdb5cbe74946b17397fc466ddfbda – detected as VBS_AUTORUN.ASUHK
- 9b7cc8f4807df162f99f5fa592bc7cc5c6a756d9c0311c7b2529f19a0ac59c1a – archive file; contents detected as VBS_OBFUS.VUK
- 587e38fb11bd0c4021ce6965e92838521616ee4c5506ef0fa160452e9c71d5cf – detected as VBS_OBFUS.VUK
※弊社は、「Digital Souks: A Glimpse into the Middle Eastern and North African Underground(英語)」を公開しています。中東および北アフリカで活動するサイバー犯罪アンダーグラウンド市場については、こちらのレポートもご参照ください。
参考記事:
- 「From Cybercrime to Cyberpropaganda」
by Daniel Lunghi (Threat Researcher)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)