「REDBALDKNIGHT(別名:BRONZE BUTLER、Tick)」は、主に日本の法人を対象として諜報活動を実行するサイバー攻撃集団です。標的には、バイオテクノロジー企業、電子機器製造企業、工業化学企業、および政府関連機関が含まれます。REDBALDKNIGHT の攻撃キャンペーンでは、バックドア型マルウェア「DASERFDASERF(別名:Muirim、Nioupale)」(「BKDR_DASERF」として検出)が利用されています。この DASERF は主に下記のような4つの機能を備えています。
- シェルコマンドの実行
- 情報のダウンロード/アップロード
- スクリーンショットの取得
- キー入力情報の記録
トレンドマイクロが収集した情報によると、日本と韓国だけでなく、ロシア、シンガポール、中国の法人に対する諜報活動でも、DASERF の亜種が情報窃取を目的として利用されています。また、異なる技術を採用したDASERFのさまざまな亜種が確認されており、中には「ステガノグラフィ」を利用する亜種もあります。ステガノグラフィとは、画像ファイルのような予想外の媒体や位置にコードを隠ぺいする手法です。
多くのサイバー諜報活動と同様に、REDBADKNIGHTの攻撃は断続的に長期間続いています。実際、REDBALDKNIGHTが標的に送信しているおとり文書のファイルプロパティから、早くも2008年には日本の法人に狙いを定めていたことが分かります。標的を日本に絞っていることは彼らが利用するソーシャルエンジニアリングの手口からも確認できます。攻撃手順の中で利用されているおとり文書は流ちょうな日本語で書かれており、日本の文書作成ソフト「一太郎」で作成されています。おとり文書としては、例えば「平成20年度の防災」のようなものが確認されています。
図1:「READBALDKNIGHT」が日本の標的に送信したあるおとり文書のファイルプロパティ
図2:「REDBALDKNIGHT」が利用するおとり文書の例、ソーシャルエンジニアリングの手法として標的型メールの件名に「防災」のような言葉を利用
■攻撃の流れ
REDBALDKNIGHTは、通常、侵入方法として標的型メールを利用します。一太郎で作成された添付ファイルには、ユーザに疑われないように背後でマルウェアを実行するために「CPR(心肺蘇生法)」や「防災」のような単語が使われています。
ユーザが文書ファイルを開くと、感染PC に DASERF がインストールされ実行されます。DASERF は、2016年にセキュリティリサーチャによって情報公開され、活動開始が2011年にまでさかのぼることが判明するまでは、よく知られていませんでした。リサーチャらが公開したDASERFにハードコードされたバージョン番号(1.15.11.26TB Mini)に基づき、トレンドマイクロはDASERFのその他のバージョンについてまとめた表(参考資料を参照)を作成しました。
■「DASERF」の微調整
トレンドマイクロの解析により、DASERF は、従来のアンチウィルス(AV)機能による検出を逃れるために、定期的に技術的な改良が施されていることが確認されています。例えば、DASERF のバージョン1.50Z、1.50F、1.50D、1.50C、1.50A、1.40D、1.40C は暗号化された Windows の「ApplicationProgram Interface(API)」を利用しています。バージョンv1.40 Mini はパッカーに「MPRESS」を利用しており、AV による検出とリバースエンジニアリングをある程度逃れることが可能です。バージョン1.72 以降は、収集した情報の暗号化に Base64 の代替方式と RC4 を用いています。また、1.50Z のようなその他のバージョンでは平分内の各文字を辞書順に前または後ろに指定された文字数分シフトさせる「シーザー暗号」が利用されています。
さらに注目すべきことに、REDBALDKNIGHT は、第2段階のコマンド&コントロール(C&C)通信によって第二段階のバックドア型マルウェアをダウンロードするためにステガノグラフィを利用します。この手法は、v1.72 Mini 以降のバージョンで確認されています。DASERF によるステガノグラフィの利用は、例えば、Webアプリケーションファイアウォールといったファイアウォールの回避だけでなく、第2段階の C&C通信やバックドア型マルウェアを迅速かつ簡単に変更することを可能にします。
■「REDBALDKNIGHT」によるステガノグラフィの利用方法
新しい手法の採用に従って、DASERF の感染手順は図3 のように変化しています。攻撃者が関心を持つ標的を感染させるために、標的型メール、「水飲み場型攻撃」、「遠隔でのコード実行(RCE)」が可能な「SKYSEA Client View」の脆弱性「CVE-2016-7836」(2017年3月に修正済み)の利用のように、いくつかの手法が利用されています。SKYSEA Client View は日本で広く利用されている IT資産管理ソフトウェアです。
図3:最新の「DASERF」の感染フロー
ダウンローダが対象PC にインストールされると、改ざんされた Webサイトから DASERF を取得します。次に、DASERF は別の改ざんされた Webサイトに接続し、「JPG」や「GIF」のような拡張子の画像ファイルをダウンロードします。この画像には暗号化されたバックドア設定やハッキングツールが埋め込まれています。画像ファイルの復号後、DASERF は C&Cサーバに接続し、さらなるコマンドを待機します。ステガノグラフィを利用する DASERF は 1.72およびそれ以降のバージョンです。
REDBALDKNIGHT によるステガノグラフィの利用は DASERF に限られるものではありません。DASERF の他にも、トレンドマイクロは、ステガノグラフィを利用する 2つのツールキット「xxmm2_builder」と「xxmm2_steganography」を確認しています。それらツールキットに含まれる「pdb」ファイルのファイル名から、それらが両方とも REDBALDKNIGHT に関連した別のコンポーネントであるダウンローダ「XXMM」(「TROJ_KVNDM」として検出)であることが分かりました。XXMM は、シェルを実行する機能によって第1段階のバックドア型マルウェアとしても機能します。REDBALDNKIGHT は、xxmm2_builder を利用して XXMM の設定を変更することが可能です。一方、xxmm2_steganography は、画像ファイル内に不正なコードを隠ぺいするために利用されます。
REDBALDKNIGHT のツールは、タグと暗号化した文字列を利用し、画像ファイル内に情報を埋め込むステガノグラフィの手法によって、実行ファイルや設定ファイルを作成および隠ぺいすることが可能です。隠ぺいされた文字列は、実行ファイルや URL です。攻撃者は既存の画像を利用またはアップロードし、ステガノグラフィ作成ツールによって隠ぺいするコードを注入します。トレンドマイクロは、XXMM と DASERF で利用されているこのステガノグラフィのアルゴリズム(base64の代替方式 + RC4)が同じものであることも確認しています。
図4:「XXMM」のものと同一な「DASERF」の復号関数のコード
図5:「REDBALDKNIGHT」が「XXMM」で利用しているステガノグラフィツール
図6:ツールキットが生成した「DASERF」のステガノグラフィコード
■被害に遭わないためには
ステガノグラフィは特定の目的を持ったサイバー攻撃において特に有効です。不正活動が検出されないまま侵入した標的の環境において検出されず不正活動が継続すればするほど、攻撃者はより多くの情報を窃取し送出することが可能になります。実際、この手法は、「エクスプロイトキット(脆弱性攻撃ツール)」、「malvertisement(不正広告)」キャンペーン、オンライン銀行詐欺ツール、C&C通信からランサムウェアにいたるさまざまな手法の巧妙化に従って勢いを増しています。REDBALDKNIGHTの攻撃キャンペーンでは、より巧妙に検出と解析を逃れるために、マルウェアと組み合わせてステガノグラフィが利用されています。
多様な手法によってさまざまな標的を狙う REDBALDKNIGHT の持続的な攻撃キャンペーンは、徹底的な防御の重要性を際立たせます。法人は、情報探索の機会を減らすために最小権限の原則を適用することによりこれらの脅威を大きく軽減することが可能です。ネットワークのセグメント化と情報の分類も有効です。アクセスコントロールやブラックリストのような仕組みは、侵入検知および防御システムと同様に、ネットワークの防御に役立ちます。一方で、アプリケーションコントロールといったホワイトリスティングと、挙動監視は不審なあるいは未知のファイルによる変則的な活動を検出およびブロックします。REDBALDKNIGHTの標的型メールへの対策として、電子メールのゲートウェイを保護してください。不要なまたは更新されていないコンポーネントやプラグインは無効にし、攻撃者によって不正利用されないようにシステム管理ツールの安全を確認してください。さらに重要なことは、、ゲートウェイ、ネットワーク、エンドポイント、サーバのような侵入経路を減らすために、インフラストラクチャとアプリケーションを最新の状態に保つことです。
■トレンドマイクロの対策
トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処できます。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しでREDBALDKNIGHTのような攻撃を検知します。統合型サーバセキュリティソリューション「Trend Micro Deep Security™」は、仮想パッチ機能によって、更新プログラムが配信されていない脆弱性を狙う攻撃からエンドポイントを防御します。「ウイルスバスター™ コーポレートエディション XG」は、更新プログラム適用前であっても既知および未知の脆弱性からエンドポイントを防御します。
トレンドマイクロ製品に組み込まれたクロスジェネレーション(XGen)セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くことによって個人情報を窃取あるいは暗号化する今日の目的に特化した脅威からユーザを保護します。
「侵入の痕跡(Indicators of Compromise、IoC)」はこちらを参照してください。
※調査協力:日本リージョナルトレンドラボ(RTL)
参考記事:
- 「REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography」
by Joey Chen and MingYen Hsieh (Threat Analysts)
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)