本ブログでは2019年3月14日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連の拡散活動(キャンペーン)に関する調査結果について詳説しました。そしてその後の継続した調査により、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たなキャンペーンを確認しました。トレンドマイクロではこの新たなキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名し、2020年10月には調査結果をホワイトペーパー(英語)としてまとめ、公開しました。バックドアSLUBの名称は、コミュニケーションプラットフォーム「Slack」とリポジトリホスティングサービス「GitHub」を悪用していたことから命名されたものですが、新たなバージョンのSLUBではどちらのプラットフォームも悪用されていません。代わりに、オンプレミスでも簡単にデプロイ可能なオープンソースのオンラインチャットサービス「Mattermost」が悪用されました。弊社では、プラットフォームが悪用されている事実について既にMattermost社に報告しています。
■攻撃の全体像
この事例について弊社トレンドマイクロが調査を開始したのは、ある韓国・北朝鮮の政治関連記事を掲載するWebサイトが、サイト訪問者を別の韓国人コミュニティサービスのWebサイトに転送している事実を確認したことに起因します。
まず、上述の図1は、この水飲み場型攻撃におけるバックドア感染までの流れを簡潔にまとめたものです。初期の調査によれば、転送先のサイトでは、Google Chromeの脆弱性「CVE-2019-5782」を利用する攻撃コード(エクスプロイト)が埋め込まれていました。このエクスプロイトのコードは、「chromium tracking system」内で公開されたCVE-2019-5782の概念実証(Proof of Concept、PoC)コードを悪用したものと推測されます。
さらに深く調査した結果、バックドアの感染には「CVE-2019-0674」を利用するエクスプロイトも使用されていること、バックドアを感染させるChrome用エクスプロイトではシェルコードが用いられた一方で、IE用エクスプロイトにはPowerShellローダが使用されていました。
また、最終的に感染するマルウェアに関しては、SLUB以外に2種の新たなバックドアの亜種「dneSpy」および「agfSpy」も感染させていることがわかりました。この2種のバックドアは、SLUBとは異なる同じC&Cサーバに接続します。このキャンペーンでSLUBが使用された目的はシステム情報を詐取することですが、dneSpyおよびagfSpyは感染端末の制御、つまり遠隔操作のために使用されました。この2種のバックドアは、SLUBとは異なる同じC&Cサーバに接続します。弊社は、SLUBの背後にいる攻撃者がこれらのマルウェアの亜種をリリースしたと推測しています。
前述の動作に加えて、このキャンペーンでは、CVE-2016-0189、CVE-2019-1458などの別の脆弱性、および以前のSLUBの攻撃で利用された脆弱性「CVE-2018-8174」の悪用も確認されました。最終的にこの新たな水飲み場型攻撃では、Webサイトを侵害してマルウェアをホストするために、合計5つのC&Cサーバ、7つのマルウェア、および4つの新たなセキュリティ上の弱点(バグ)が使用されていたことがわかっています。
トレンドマイクロが確認した、複数の侵害されたWebサイトでは、韓国のPHPフレームワーク「GNUBoard」のコンテンツ管理システム(CMS)のバージョン4~5が共通して使用されていました。また脆弱性「CVE-2020-0674」は、訪問者にマルウェアを感染させるためだけでなく、Webサイト自体を侵害するためにも利用されていたこともわかりました。
この攻撃で使用されたSLUB、dneSpy、agfSpyの3種のバックドアの具体的な活動内容については、現在も調査を継続しておりますが、以下に関連する調査結果について共有します:
■Chromeを介した攻撃経路
Chromeを介した攻撃経路ではCVE-2019-5782の脆弱性を攻撃するエクスプロイトが用いられました。このために攻撃者はPoCコードを再度利用しました。同時に、サンドボックスの動的解析を回避する手法も使われています。この攻撃経路では、Javascriptでエンコードされたバージョンからロードするシェルコードの分離、および他のオペレーティングシステム(OS)のバージョンに対するサポートを含む2つのカスタマイズを実装していました。
このシェルコードはネットワークからdropper.dllを要求します。難読化が解除されると、実行中のプロセスのアドレス空間にペイロードであるDLLファイルを読み込みます。
Dropper.dllは、現在のプロセスと事前定義されたリストを比較することでシステムにインストールされたウイルス対策製品があるかどうかをチェックします。何も検出されない場合、Dropper.dllは不正コードが隠ぺいされた3つの画像「1.jpg」、「2.jpg」、「3.jpg」のダウンロードを開始します。
■IEを介した攻撃経路
IEに存在する脆弱性「CVE-2020-0674」を介した感染経路の場合、エクスプロイトはシェルコードを実行し、いくつかの段階でPowerShellローダを実行します。
Chrome用エクスプロイトチェーンで使用されるシェルコードと同様に、PowerShellスクリプトのバージョンは、感染PCにウイルス対策製品がインストールされているかどうかを確認します。何もインストールされていない場合、PowerShellは3つのバックドアのダウンロードと実行を開始します。ローカル権限昇格(LPE)が必要な場合、PowerShellローダはCVE-2019-1458を悪用するLPEバイナリのダウンロードおよび実行を開始することもあります。
■SLUBによるMattermostの悪用
このキャンペーンで使用されたSLUBの亜種は、感染端末内にMattermostをインストールし、感染PCごとにチャネルを作成することで、サイバー犯罪者がマルウェアと感染端末を追跡できるようにします。すべての通信は、ポート443内にてHTTPを使用します。
マルウェアとMattermost間での通信には、チャネルの作成、あるいは、これらのチャネルへの投稿を送信するなどの特定機能に対するアクセス許可を付与できる認証トークンが必要です。
攻撃者のインフラストラクチャについてより詳しく知るために弊社は、MattermostのAPIを確認しました。この結果、以下の情報を収集することができました。
- チャネルの一覧
- 各チャネル内におけるすべての投稿のダンプ
- 各チャネル内におけるすべてのスクリーンショットのダンプ
- これらのチャネルに関連付けられているすべてのユーザ一覧
実際のユーザ一覧は、サーバが最初にセットアップされたのが2020年3月10日であることを示しています。またユーザ一覧から、各ユーザが担う役割とユーザが持つ権限の種類についての洞察も得ることができ、管理者の場合は「system_admin」、一般ユーザの場合は「system_user_access_token」または「system_post_all_public」となっています。
調査の時点では、以下のように分類される15人のユーザが確認されました。
| ユーザタイプ | アカウント数 |
| ボットユーザ | 1 |
| 一般ユーザ | 13 |
| 管理者 | 1 |
弊社の報告を受け、Mattermost社は以下の公式声明を出しています:
「Mattermostにおけるオープンソースの自己管理型コラボレーションプラットフォームは、開発者と倫理的なセキュリティ研究者によって広く利用され、共同作成されています。コミュニティとして、Mattermostは違法で非倫理的な使用を見過ごすことはできません。今回の使用方法は、Mattermostの使用条件およびポリシーに明示的に違反しています。この問題に貢献したトレンドマイクロの功績に感謝します。プラットフォームの不正利用を発見した際の報告先や連絡方法の詳細については、「How do I report illicit use of Mattermost software?(英語)」をご確認ください」
SLUBが行った最近のキャンペーンについての詳細および詳しい分析結果については、以下の調査レポート「Operation Earth Kitsune: Tracking SLUB’s Current Operations(英語)」をご参照ください。このレポートでは、急速に高度化するマルウェアの動作を分析することでSLUBが行う最近の不正活動に焦点を当てることを目的としています。
参考記事:
- 「Operation Earth Kitsune: Tracking SLUB’s Current Operations」
by Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)