「Tropic Trooper」は、2011年から活動しているとされるサイバー攻撃グループです。これまでに、台湾、フィリピン、香港における政府および軍事機関、ヘルスケア、輸送、ハイテク産業を攻撃対象にしてきたものと推測されています。トレンドマイクロではこのグループの活動として、2015年に脆弱性を利用するファイルを添付した標的型メール(スピアフィッシングメール)の攻撃を、また2018年にはツールに新機能を追加するなどの攻撃手法の変化を報告してまいりました。そして最近確認されたTropic Trooperの攻撃活動では、USBストレージ経由で台湾およびフィリピンの軍事機関のエアギャップ環境、つまり他のネットワークから物理的に隔離されている閉域ネットワークへの侵入を狙う活動を把握しました。また同時に、政府機関、軍事病院、さらに国立銀行を標的とした攻撃も確認できました。この攻撃でTropic Trooperは、特定の標的環境において自身の活動を隠蔽しつつさまざまなコマンドを実行し、USBストレージから重要な情報を窃取するマルウェア「USBferry」を活用します。ちなみにUSBferryの名称は、調査の際に入手されたサンプルの名前からとられています。トレンドマイクロの調査では、おとりとなる偽の実行ファイルとUSBferryを利用して情報を収集する活動を確認しています。
図1:USBferry攻撃のシナリオ例
トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network™」のデータは、USBferryによる攻撃が2014年から活発になっていることを示しています。Tropic Trooperは標的のネットワークから、「defense-(防衛)」、「ocean-(海洋)」、 および「ship-(船舶)」に関連した文書の窃取に焦点を当てており、グループの主な目的は機密情報の窃取であると考えられています。Tropic Trooperは、政府および軍事機関が物理的に隔離されている環境においてより堅固なセキュリティを確保しているであろうこと、具体的には、閉域ネットワークで隔離されたコンピュータでのバイオメトリクス(生体認証)やUSBの使用などがあることを十分に認識しています。そしてグループは、攻撃の起点として利用するため、セキュリティに隙があると考えられる別の関連組織を標的にします。そのような例としてトレンドマイクロでは、軍の病院のネットワークから、物理的に隔離された軍本体のネットワークへ侵入した事例を確認しています。
本記事では、USBマルウェア「USBferry」の概要とその機能、およびネットワークから物理的に隔離されている環境への侵入に使用されるその他のツールについて説明します。 侵入の痕跡(Indicators of Compromise、IoCs)他詳細についてはこちらを参照してください。
■「USBferry」の活動
このマルウェアは、プライスウォーターハウスクーパース(PwC)によるレポートの中で、Tropic Trooperに関連するマルウェアとして言及されていましたが、詳細については触れられていませんでした。トレンドマイクロの調査では、いくつかのプログラムデータベース(PDB)文字列などが異なる、複数の亜種が確認されました。 2020年5月時点では、USBferryには異なるコンポーネントから構成される亜種が、少なくとも3バージョン存在します。これらのサンプルの解析により確認された注目すべき点は次のとおりです。
- 一番目のバージョンには、「TROJ_YAHOYAH」の小さなコンポーネントが含まれています。マルウェアは、標的のコンピュータにUSBのプラグインがあるかどうかを確認し、USBferryのインストーラをUSBストレージにコピーします。マルウェアの活動はターゲットの環境によって異なります。いくつかは、コマンドを実行し、狙ったファイルまたはフォルダの一覧を表示させ、物理的に隔離されたコンピュータから他の感染コンピュータにファイルをコピーするなどの活動を実行します。
図2:マルウェア「USBferry」の一番目のバージョン
EXEファイルがUSBferry、DLLファイルが「TROJ_YAHOYAH」
- 二番目のバージョンは一番目のバージョンと同じ機能を備えていますが、各コンポーネントがまとめて1つの実行ファイルに結合されている点が異なります。このバージョンは、マルウェアの場所と名前をUSBferryの略語である「UF」に変更します。
図3:マルウェア「USBferry」の二番目のバージョンは、1つのファイルにまとめられている
- 三番目のバージョンは、前バージョンの機能を保持したまま、「rundll32.exe」のメモリに常駐することにより、ターゲットの環境でのステルス性を向上させています。
図4:メモリに常駐するUSBferryの三番目のバージョン
■USBferryが閉域網に侵入する方法
リサーチペーパー「Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments」では、Tropic Trooperがどのように上記のUSBferryの各バージョンを攻撃に使用する方法を変更したかを解説しています。この攻撃では、USBワーム同様の感染手法、つまりUSBストレージに自身のインストーラをコピーする手法を用い、USB経由で閉域ネットワーク内のコンピュータへの侵入を狙います。
図5: USBferryが使用するUSBワームの感染手法の例
ここでは、バージョンUF1.0 20160226(「TROJ_USBLODR.ZAHB-A」として検出)を使用したTropic Trooperの最新の攻撃チェーンに見られる注目すべき変更について説明します。
図6:USBferryバージョンUF1.0 20160226の攻撃のシナリオ
- おとりのファイルは、最初にUSBferryのローダであるflash_en.inf DLLファイルをドロップし、暗号化されたUSBferryマルウェアをロードする
- 暗号化されたUSBferryマルウェアはローダのリソースセクションに埋め込まれている。ローダはそれをC:\Users\Public\Documents\Flashフォルダにドロップし、flash.datという名前を付ける
- 暗号化されたペイロードが読み込まれた後、ローダはDLLをrundll32.exeに挿入する。USBferryマルウェアは、コマンド&コントロール(C&C)の設定ファイルとflash_en.datもロードする。これも、C:\Users\Public\Documents\Flashフォルダ内にある
- 次に USBferryは、ダウンロードサイトへの接続を試み、Windowsコマンドを使用してターゲットのコンピュータ内の情報を収集およびコピーする
三番目のバージョンは、ネットワーク接続をチェックします。ネットワークが利用できないことが確認されると、ターゲットのコンピュータから情報を収集し、収集したデータをUSBストレージにコピーします。このようにして、USBで情報を引き出し、C&Cサーバに送り返します。
■Tropic Trooperが使用するバックドアと、その他のツール
Tropic Trooperが使用するバックドア型マルウェア(以下バックドア)には、インジェクションを使用してルーチンを実行するものと、直接実行して継続されるものがあります。グループはまた、ステガノグラフィを使用してバックドアのルーチンを隠蔽し、ダウンロード時にマルウェア検出されることを回避します。解析したバックドアの一覧についてもこちらを参照してください。
ここでは、Tropic Trooperの攻撃で確認された注目すべきバックドアのいくつかを解説します。
- 「WelCome To Svchost 3.2 20110818」(「BKDR_SVCSHELL.ZAHC-A」として検出):
このバックドアには、以前の調査で解説したペイロードとの類似点があります。マルウェアのバージョン番号から、このバックドアの最初のバージョンは2011年以前に開発されていることがわかります。これは、Tropic Trooperの活動が少なくとも10年間続いていることを意味しています。
図7:バックドアのバージョン名、登録されているサービス名、マルウェアコンポーネントのファイル名
- 「Welcome To IDShell 1.0 20150310」(「BKDR_IDSHELL.ZTFC-A」として検出):
ステガノグラフィのjpgバージョンを含む2通りのタイプがあるこのバックドアの目的は、ターゲットのコンピュータの偵察です。 他のバージョンと同様に、DNSプロトコルを使用してバックドアのコントローラ側と通信します。 トラフィックは、検出を回避するために暗号化されます。
図8:バックドアの通信トラフィック
- 「Hey! Welcome Server 2.0」(「BKDR_TEBSHELL.ZTGK」として検出):
このバックドアは32ビットのバージョンと64ビッのトバージョンがある最新版であり、リモートコントロールとネットワークの検出回避のため、非表示のWebシェルを使用します。プロセスをサービスとして実行し、通常のトラフィックではバックドア通信を隠蔽し、カスタマイズされたTCPプロトコルを使用します。また、誤って入力されたコマンドや不正アクセスの処理方法についても改善されています。
図9:自身をWindowsサービスとしてインストールすると同時にエラー表示を無効にする設定の例
攻撃には他にも次のようなツールが使用されていました。
- コマンドラインによるリモートコントロールリスナー/ポートリレーツール。バックドアと通信できるさまざまなバージョン有り
- ペイロードであるバックドア/ステガノグラフィを実行するローダ。2つのバージョンを使用して、暗号化されたペイロードを正常にロードし、その後、自身とペイロードを削除する
- インターネットで入手できる、ポートスキャンツール
以上の調査から、攻撃者は狙った情報を入手するために執拗な攻撃をかけてくることがわかります。ステガノグラフィは、暗号化されたペイロードを配信するためだけに使用されるのではなく、C&Cサーバに情報を転送するためにも使用されます。複数のハッキングツールやコンポーネントも、さまざまなネットワーク、環境への攻撃を成功させるために利用されています。また、Tropic Trooperは、非表示のWebシェルを使用してC&Cサーバの場所を隠蔽し、インシデントレスポンスや事後調査を難航させます。
Tropic Trooperの最近の動向は、彼らが機密情報を窃取するために政府および軍事機関を狙う用意ができていることを示しています。彼らはまた、十分な時間をかけて偵察活動を実行したのちに、物理的に隔離されたネットワークへの潜入を試みるため、閉域ネットワークだから万全、とは言い切れません。調査結果からは、攻撃者が侵入口となり得る脆弱なターゲットを、重要なターゲットへと拡張するための足掛かりとして利用していることがうかがえます。
■被害に遭わないためには
攻撃の戦術と技術を理解することによって、どのような影響が及ぶ可能性があるかを評価し、防御戦略を練るために必要な情報を提供することができます。実用的なスレットインテリジェンス、ネットワーク全体の可視性、時宜にかなった保護を採用したセキュリティソリューションによって、高度な持続的脅威を阻止するために組織が実践できる、いくつかの対策を次に示します。
- 最小特権の原則を適用する。ネットワークのセグメント化とデータのカテゴリー化を実施して、組織内部での感染拡大と露出を抑制する
- システムとアプリケーションを最新のバージョンにしておく。ネットワークの弱点は攻撃の侵入口になり得る。強力なパッチ管理ポリシーを適用し、古くなったレガシーシステムには、仮想パッチを検討する
- 定期的に周囲の監視を実行する。ゲートウェイ、エンドポイント、ネットワーク、サーバ全体のクロスレイヤーでの検出、対応を実行し、広範囲に及ぶ脅威から保護する。ファイアウォールと侵入防御システムは、ネットワークからの攻撃の防御に役立つ
■トレンドマイクロの対策
法人向けのエンドポイントセキュリティである「Trend Micro Apex One™」では、ひとつのエージェントにエンドポイントに必要なセキュリティを集約。ファイルレスなど、巧妙化し続ける脅威に対して高度な検出と自動対処を提供します。また、EDRを用いたインシデントの調査・分析から対処までをシームレスに実現することも可能です。
トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery Inspector™」は、すべてのポートと105種類を超えるネットワークプロトコルを監視し、ネットワークで内方向、外方向、横方向に移動する高度な脅威と標的型攻撃を検出および分析することができます。
このキャンペーンの調査によって確認されたすべてのマルウェア、手法、ツール、MITRE ATT&CK、Indicators of Compromise(侵入の痕跡、IoC)の詳細については、リサーチペーパー「Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments(英語情報)」をダウンロードしてください。
参考記事:
- 「Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments」
By Joey Chen (Threats Analyst)
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)