サイバー攻撃キャンペーン「ShadowGate」が活動を再開、新バージョンの「Greenflash Sundown EK」を利用

サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。

図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ

図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ

本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。

■サイバー攻撃キャンペーン「ShadowGate」の変遷

ShadowGate(別名:WordsJS)は2015年、広告ソフトウェア「Revive」および「OpenX」の広告配信サーバを侵害し、エクスプロイトキットを利用してマルウェアを拡散した攻撃で確認されました。2016年9月にこの攻撃で利用されたドメインが停止されてからは活動の隠ぺいを試み、2016年10月には、トレンドマイクロが「Greenflash Sundown EK」と名付けた独自のエクスプロイトキットが確認されました。これは、アンダーグラウンド市場で販売されているエクスプロイトキットの利用を避けることで検出の回避を狙った動きだと考えられます。2016年の終わりには、侵害した広告配信サーバにエクスプロイトキットを注入する攻撃を停止し、侵害した韓国のWebサイトを介してランサムウェアを拡散する活動に注力するようになりました。

2018年4月には、Greenflash Sundown EKを利用して仮想通貨発掘ツールを拡散していることが確認されました。しかし、エクスプロイトキットが注入されたサーバは東アジアの国々に限られており、問題のサーバはすぐに停止されました。

その後、比較的活動のおとなしい時期を経て、2019年6月に再び広告配信サーバへの攻撃が確認されました。今回の攻撃は限定的な地域ではなく世界の国々を対象としています。侵害された広告配信サーバを通して不正広告が埋め込まれたWebサイトに訪問したユーザは、Greenflash Sundown EKにリダイレクトされ仮想通貨「Monero」を発掘するマルウェアに感染させられます。この攻撃は2016年以降に確認されたShadowGateの活動の中で最も顕著なものです。過去数年間は大きな動きが確認されていませんでしたが、エクスプロイトキットの改良は続けられていたようです。

図2:「ShadowGate」に関連したトラフィックの検出数

図2:「ShadowGate」に関連したトラフィックの検出数
(データはトレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」に基づく)

図3:「ShadowGate」に関連したトラフィックの国別分布

図3:「ShadowGate」に関連したトラフィックの国別分布
(2019年6月7日から6月24日のSPNのデータに基づく)

■検出を回避し、攻撃対象を選別する手口を改良

ShadowGateはエクスプロイトキットの開発に継続的な投資を行ってきました。2018年には、その他のエクスプロイトキットに先駆けてFlashの脆弱性「CVE-2018-15982」を利用する機能が統合されたことが指摘されています。2019年4月には、Flashの別の脆弱性「CVE-2018-15982」を利用していることも確認されました。新しい脆弱性の利用も含めた継続的な更新により、このエクスプロイトキットは感染率を維持しています。

2019年6月に始まったShadowGateの攻撃の間、トレンドマイクロは2度の更新を経た別のバージョンのGreenflash Sundown EKを確認しました。

図4:「Greenflash Sundown EK」のトラフィックのパターン

図4:「Greenflash Sundown EK」のトラフィックのパターン(上)
Flash version 31.0.0.153の脆弱性「CVE-2018-15982」を利用する攻撃(下)

最初の更新では、エクスプロイトキットのペイロードを保護する公開鍵を暗号化するアルゴリズムが組み込まれました。トレンドマイクロは2018年11月、このエクスプロイトキットが感染の最終段階においてペイロードを保護するためにこれと同じ暗号化の手口を使用していたことを確認しています。しかし、今回の活動では、感染の間、最初のいくつかの通信も含めてすべてのトラフィックが暗号化されていました。

この暗号化の手順は以下の通りです。

  1. エクスプロイトキットがユーザ側で、各攻撃で利用する固有の暗号化鍵を作成するために「ナンス」と呼ばれるランダムな数を生成
  2. 暗号化鍵をエクスプロイトキットに埋め込まれた公開鍵で暗号化しエクスプロイトキットサーバに安全に送信
  3. エクスプロイトキットサーバが秘密鍵を使用し暗号化鍵を復号
  4. 復号した暗号化鍵を共通鍵として使用して、送り込むペイロードを「RC4」方式で暗号化
  5. エクスプロイトキットは秘密鍵を使用し、受信したペイロードをユーザ側で復号

この暗号化の手口を利用すれば、ユーザ側に送信された際にペイロードがセキュリティ対策製品によって削除されることを防止できるはずです。なぜなら、暗号化鍵はメモリにだけ存在し、平文では送信されない仕組みになっているからです。そのため、解析者が暗号化を発見してペイロードを復号することは困難です。

公開鍵方式の暗号化アルゴリズムの使用は、トレンドマイクロが2018年に確認したエクスプロイトキット「Underminer EK」でも利用された手口です。しかし、Greenflash Sundown EKの背後にいる攻撃者は、今回の攻撃である失敗を犯していました。エクスプロイトキットはユーザのWebGL情報をRC4アルゴリズムで暗号化してエクスプロイトキットサーバに送信しますが、この暗号化の共通鍵として同じナンスを使用していたのです。このナンスは平文で送信されていたため読み取ることが可能でした。読み取ったナンスを使用して暗号化鍵を再作成することにより、オフラインでペイロードを復号することができました。

「Greenflash Sundown EK」がライブラリ「JSEncrypt」を使用して秘密鍵を暗号化するコード

図5:「Greenflash Sundown EK」がライブラリ「JSEncrypt」を使用して秘密鍵を暗号化するコード
(※難読化解除済み)

最新バージョンのGreenflash Sundown EKでは、PowerShellローダも更新されていました。トレンドマイクロは、このエクスプロイトキットが2018年11月以来、ファイルを利用せずにマルウェアに感染させるのためにPowerShellローダを使用していることを確認しています。新しいバージョンのGreenflash Sundown EKに含まれる更新されたPowerShellローダは、現在、ユーザの環境の情報を収集し、エクスプロイトキットサーバに送信する機能を備えています。

これにより、ShadowGateの活動はより正確に対象を絞り込むことが可能になりました。もしユーザの情報が彼らの狙いに合致する場合、エクスプロイトキットはペイロードを送り込みます。そうでない場合、エクスプロイトキットサーバは空のレスポンスを返します。収集した情報は、サンドボックスやハニーポットによる検出を回避する上でも役立ちます。ユーザから取得する情報には、OSの詳細、ユーザ名、ビデオカード、ハードディスク情報、およびアンチウイルス製品の情報が含まれます。

図6:PowerShellローダ

図6:PowerShellローダはユーザの情報をエクスプロイトキットサーバに送信し
ファイルを利用しない感染によってペイロードを読み込む

■被害に遭わないためには

サイバー犯罪者は、検出を回避し攻撃対象を選別するために、ツールと手口を変化させ続けています。Greenflash Sundown EKの事例のように、数年間にわたって攻撃の手口を変化させ続けているキャンペーンも確認されています。そのような脅威に対して先手を打つために、システムおよびアプリケーションを常に最新のバージョンに保つ必要があります。多くの場合、攻撃に利用される脆弱性に対処する修正プログラムが利用可能になっています。修正プログラムおよび更新プログラムの適用戦略を策定しそれに従うことで脆弱性を利用する脅威のリスクを軽減することが可能です。さらにセキュリティを強固にするために、企業は脅威と不正なURLをゲートウェイからエンドポイントにわたってブロック可能な多層的な防御システムの採用を検討してください。

■トレンドマイクロの対策

プロアクティブで多層的なアプローチが脆弱性を利用する脅威に対抗する鍵となります。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security™」および「Trend Micro 脆弱性対策オプション」といった仮想パッチ機能を備えたソリューションは、脆弱性にさらされる期間を最小限に抑え、重要なアプリケーションやWebサイトを脅威から保護します。

Trend Micro Deep Security™」をご利用のお客様は以下のルールによって本記事で解説した脆弱性を利用する脅威から保護されています。

  • 1009405-Adobe Flash Player Use After Free Vulnerability (CVE-2018-15982)

法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

■侵入の痕跡(Indicators of Compromise、IoCs)

侵入の痕跡はこちらを参照してください。

本記事で解説した脅威についてはセキュリティ企業「Malwarebytes」によっても報告されています。

※調査協力:Chaoying Liu、Nakaya Yoshihiro

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, Trend Micro™ Research)