「Gamaredon(ガマレドン)」は2013年頃から活動していると言われる、標的型攻撃のグループです。このグループはこれまで、ウクライナの政府機関に対して集中的にサイバー攻撃を仕掛けてきたことで知られています。しかしトレンドマイクロでは2020年3月、Gamaredonのものと思われるマルウェアを添付したメールが日本国内において複数回着弾するのを観測しました。また、ハンガリー等欧州諸国にも同様のマルウェアが着弾した可能性があります。Gamaredonは2018年秋頃から活発化し、2019年夏以降はさらに活発化しているとみられ、今回Gamaredonが活発化する中で日本も攻撃対象に含められたのか、あるいは偶然に「流れ弾」が着弾しただけであるかの判断には至っていません。ただし、ワーストケース(=日本が攻撃対象に含まれたこと)を想定し、このブログ記事ではGamaredonとその攻撃手法について報告します。
■Gamaredon
Gamaredonに関するパブリック向けのレポートは2015年にLookingGlass社が公開しています。同レポートでは、攻撃に用いられた複数のMicrosoft Word文書の作成者および最終保存者として「Armagedon (Armageddonのスペルミス)」が記録されていたことから「Operation Armageddon」と呼称していました。そのアナグラムから今では様々なセキュリティベンダーが「Gamaredon」というグループ名で呼んでいます。
前出のLookingGlass社のレポートによれば、GamaredonはウクライナがEU連合協定(AA)に合意するタイミングの2013年8月前後からウクライナを攻撃対象として活動を開始しており、2014年2月に発生した同国での騒乱前は政府高官、野党党員、野党反対派のジャーナリストをターゲットとし、騒乱後は政府や法執行機関をメインターゲットとしています。2018年にはGamaredonが用いると言われるマルウェア「Pterodo」についてCERT-UAが注意喚起を行いました。先述の通り2019年夏以降、Gamaredonは活動を活発化しているとみられ、Fortinet社やAnomali社、SentinelOne社、Elastic社などから相次いでGamaredonに関するレポートが公開されています。特にSentinelOne社が報告したケースでは、Microsoft WordやMicrosoft Excelにおけるマクロの警告を無効化した上で、感染PCに既に存在しているMicrosoft Office文書に対して外部プログラム(マルウェア)から不正なマクロコードを注入するという、大変興味深い手法が報告されています。
■日本等で最近観測されたGamaredonのマルウェアの動作
今回日本で確認された攻撃のフローは上図の通りです。標的型メールには、インターネット上から文書テンプレートを読み込む「テンプレートインジェクション」を引き起こすドキュメントファイルが添付されており、それによりダウンロードされる文書テンプレートに不正なマクロが仕込まれており、VBSの実行へと至ります。VBSによる通信先は解析時にはアクセスできませんでしたが、C&Cサーバから追加のペイロードをダウンロード後、復号し実行する仕組みが備わっていました。
観測された攻撃はいずれも標的型メールを起点(MITRE ATT&CK フレームワークのID T1193。以下同) とするものでした。そのうち一つは件名が「Coronavirus (2019-nCoV)」となっていました。これはCOVID-19(新型コロナウイルス)のような社会的関心の高いトピックを攻撃に利用する、攻撃者の常套手段と言えます。メールには「*.docx」形式のファイルが添付されており、ユーザがこれを開くことにより (T1204)、テンプレートインジェクション (T1221)」の手法が実行されます。
ダウンロードされる文書テンプレート(拡張子:*.dot)はダウンロードするタイミングによって微妙に異なることが確認されていますが、いずれの文書テンプレートのExif情報(プロパティ情報)も以下の内容で共通しています。
- Identificatio : Word 8.0
- Language Code : Russian
- System : Windows
- Author : АДМИН(ロシア語で「管理者」の意)
- Code Page : Windows Cyrillic
文書テンプレートは不正なマクロを含んでおり
(T1064)、これにより以下のようにVBSが書き出され (T1064)、実行されます。
- 「%USERPROFILE%\Documents\MediaPlayer\PlayList.vbs」を書き出す (書き出す元のデータは全てマクロにハードコード)
- 「wscript.exe //b %USERPROFILE%\Documents\MediaPlayer\PlayList.vbs」にて①で書き出したファイルを実行
PlayList.vbsの内容は難読化されたコードが羅列されており (T1140)、それらの難読化を解除した上で、Execute関数により実行します。
Execute関数により実行されるVBSスクリプトをより見やすく整え抜粋したものが上図です。動作の概要は以下の通りです。
- 以下のレジストリのRUNキーを登録し、VBSファイルがPC起動の度に実行されるよう設定 (T1060)
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\MediaPlayer
wscript.exe //b %USERPROFILE%\Documents\MediaPlayer\PlayList.vbs
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\MediaPlayer
- hxxp:// kristom.hopto.org /{コンピュータ名}_{ボリュームシリアルをHex表記したもの}/help_05_03.phpに通信 (T1043, T1071, T1082)
- ①にて10485バイトを超えるファイルがダウンロードされた場合 (T1105)、「%APPDATA%\\Microsoft\Windows\Cookies.txt」に保存
- ②にて保存されたファイルを、自分のボリュームシリアルのHexをASCIIコードとしたものをキーとしてXORを行い、復号結果を「%APPDATA%\\Microsoft\Windows\Cookies.exe」に保存 (T1001)
- 「%APPDATA%\\Microsoft\Windows\Cookies.exe」が4485バイトを超える場合は実行
- 「%APPDATA%\\Microsoft\Windows\Cookies.txt」、「%APPDATA%\\Microsoft\Windows\Cookies.exe」を削除 (T1107)
このVBSの大枠の動作としては先述のAnomali社、SentinelOne社、Elastic社などによって報告されてきたものと同様ですが、今回はマクロから生成されたVBSが難読化されているという特徴があります。
なお、上図のデコード後のVBSには攻撃者によるプログラミングミスとみられる興味深い点があります。53、54行目ではダウンロード、デコードされるTXTファイルやEXEファイルを閉じる動作を行いますが、これらの変数の定義は直前のIF文の中で行われており、もしそのIF文を通らない状態で(つまりC&Cサーバから10485バイトを超えるファイルが返されない状態)でここを実行するとエラーになります。これは、このマルウェアがテスト不足であることを示す一つの兆候であると言え、まだ開発中である可能性があります。
■通信先の傾向
今回、弊社ではテンプレートインジェクション時の通信先、およびVBSの通信先としてそれぞれ複数のURLを確認しました。攻撃基盤を調査するためにIPアドレスへの解決を行ったところ、すべて以下の2つのIPアドレスに紐づくことが分かりました。
- テンプレートインジェクション時の通信先:176.119.147.225
- VBSの通信先:176.57.215.115
これらのIPアドレスはロシアのホスティング事業者のものであり、攻撃者は攻撃基盤としてVPS等を借りているとみられます。
また、VBSによる通信先URLは以下のようであり、攻撃の日付を含んでいると考えられます。
- hxxp://{FQDN}/{コンピュータ名}_{ボリュームシリアルをHex表記したもの}/help_{日}_{月}.php
■緩和策
このような標的型攻撃から組織を守るために、下記のような対策例が考えられます。
- メールに添付されたドキュメントファイルにエクスプロイトコードやマクロコードは含まれませんが、メールゲートウェイとサンドボックスを連携させ、添付のドキュメントファイルを動的に検査することで、不審なファイルの侵入を未然にブロックできる可能性があります。
- 初段のメールの侵入、および添付ファイルの開封後、外部へ文書テンプレート(*.dot)をダウンロードしに行く段階にて、ウェブゲートウェイ製品にてコンテンツフィルタリングやサンドボックス連携にてブロックできる可能性があります。
- パーソナルファイアウォールの機能を利用してwscript.exeを起点とした外部通信を遮断することで、二次検体の取得を阻止できる可能性があります。
このように、着弾する検体がウイルスパターンに対応していなくても、予め既存のセキュリティ対策製品やネットワーク製品の設定を十分に強化しておくことにより今回のような標的型攻撃についても侵入をブロックし、被害を未然に防げる場合があります。今一度ご使用の機器の機能が十分に活かされる設定になっているか、ご確認いただくことを推奨します。
ただし、標的型攻撃では、目的が達せられるまで執拗に攻撃が継続される傾向があます。さらに、当該キャンペーンについて報告されたこともあり、攻撃手法をセキュリティ製品で検知・ブロック出来ないものに変更される可能性があります。多層防御を実施し、侵入を前提とした気づける仕組みを複数用意することが大事です。また、システム的な対策だけではなく管理的な対策として、社員の一人一人が以下のような点に常に注意する必要があると考えます。
- メールの添付ファイルを開く際にはメール送信元や件名、本文に不審な点が無いかを確認する
- 添付ファイルの拡張子を確認し、意図したファイル形式であることを確認する
- 添付ファイルがMicrosoft Office系ファイルでマクロが含まれる場合、それを不用意に有効化しない※特に本文内にてマクロの有効化を促す記載のあるもの、本文が画像になっているもの、本文が無いものには注意
- メール内のリンクをクリックする際は、ドメイン名の微妙な違いにより詐称されていないかを確認する (例:trendmicro.com→trendmicr0.com)
- 個人のメールについても攻撃のターゲットになる可能性があるため、上記と同様の点について注意をする
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
■MITRE ATT&CK フレームワーク
今回確認された手法をMITRE
ATT&CKフレームワークを使用し分類しましたので、対策の参考にしてください。
| Initial Access | Spearphishing Attachment | T1193 | 標的型メールに*.docxファイルを添付して送付 |
| Execution | Scripting | T1064 | マクロがVBSを書き出し実行します。また、VBSはC&Cサーバからさらなるペイロードのダウンロード・実行を試行 |
| User Execution | T1204 | 標的型メールへ添付された*.docxファイルをユーザが実行することにより感染 | |
| Persistence | Registry Run Keys / Startup Folder | T1060 | VBSは起動の度に実行されるよう、自身をRUNキーに登録 |
| Defense Evasion | Deobfuscate/Decode Files or Information | T1140 | VBSは主目的の動作を記述したコードを難読化し隠匿 |
| File Deletion | T1107 | VBSはダウンロードしたペイロードを復号・実行後に削除 | |
| Template Injection | T1221 | 標的型メールへ添付された*.docxが外部から不正なマクロを含むテンプレート (*.dot) をダウンロード | |
| Discovery | System Information Discovery | T1082 | VBSはさらなるペイロードのダウンロードの際、感染PC名とボリュームシリアルをURLパスに含めることで送信 |
| Command And Control | Data Obfuscation | T1001 | C&Cからダウンロードされるペイロードは感染PCの情報を基にしたキーで暗号化 |
| Commonly Used Port | T1043 | *.dotダウンロードの際やVBSがさらなるペイロードをダウンロードする際、TCP80番ポートを使用 | |
| Standard Application Layer Protocol | T1071 | *.dotダウンロードの際やVBSがさらなるペイロードをダウンロードする際、HTTPプロトコルを使用 | |
| Remote File Copy | T1105 | VBSがC&Cサーバから暗号化されたペイロードのダウンロードを試行 |
調査・執筆:
加唐 寛征 ( Cyber Threat Research Team)
丸山 恵里奈 (Cyber Security Service Team)
