検索:
ホーム   »   サイバー犯罪   »   フィッシング   »   領土問題をスピアフィッシングに利用するサイバー犯罪者集団「SideWinder」の手口

領土問題をスピアフィッシングに利用するサイバー犯罪者集団「SideWinder」の手口

  • 投稿日:2021年1月20日
  • 脅威カテゴリ:フィッシング, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、南アジア地域とその周辺国を攻撃対象としているとされるサイバー犯罪者集団「SideWinder(サイドワインダー)」の活動を追跡調査する中で、悪意のあるショートカット(LNK)ファイルを配信し、複数のフィッシングページを構築するために使用されているサーバを特定しました。これらのフィッシングページは、正規Webメールのログインページを偽装して作成されたのち、フィッシング攻撃に利用するために構造が改ざんされていることがわかりました。これらの攻撃手口は、標的型メール(スピアフィッシングメール)経由で拡散されていると考えられます。

SideWinderが標的とする攻撃対象には多国の政府機関や軍の部隊が含まれており、主にネパールとアフガニスタンが狙われているとされています。一部のフィッシングページは、詐取した認証情報をSideWinderの管理するコマンドアンドコントロール(C&C)サーバに送信した後、ユーザを別のドキュメントあるいはニュースページにリダイレクトします。リダイレクト先で表示される論題やトピックは、新型コロナウイルス(Covid-19)、または、ネパール、パキスタン、インド、中国間で続く国境紛争に関連しています。加えてこれらのフィッシングページへと誘導する手口は、標的型メールに記されたフィッシングリンクを介して拡散されていると考えられます。

さらに弊社の調査では、フィッシングページが構築されたサーバ上で複数のAndroid向けAPKファイルが発見されました。いくつかは無害なAPKファイルでしたが、脆弱性攻撃コードを検証するフレームワーク「Metasploit」を悪用して作成された不正APKファイルが見つかりました。無害なアプリの1つとして発見された「OpinionPoll」は、ネパール・インド間で続く国境紛争に関する意見を収集するための調査アプリです。OpinionPollでは、SideWinderがスピアフィッシング攻撃に用いた誘導手口とは別の政治的な話題を利用しているように見えます。弊社は、これらのアプリがまだ開発段階にあると考えていますが、将来的にはモバイル端末を侵害するために利用されると推測しています。

SideWinderは2020年に、非常に活発な攻撃活動を繰り広げていました。トレンドマイクロは2020年1月20日公開のブログ記事で、標的型攻撃を行うSideWinderがAndroid端末の主要なプロセス間通信システム上に存在する脆弱性「CVE-2019-2215」を悪用し、開放されたメモリへの再アクセスを可能にする「UAF(Use After Free)脆弱性」を悪用した最初の攻撃事例について報告しました。さらにSideWinderは、Covid-19に関連するファイルを誘導手口に利用して、パキスタン、バングラデシュ、中国に攻撃を仕掛けました。

■不正ドキュメントの解析

不正ドキュメントを使用する手口は、SideWinderが最も利用する感染経路の1つです。弊社は、SideWinderが実施した拡散活動(キャンペーン)から、次のようないくつかの異なる検体を収集しました。

  1. RTFファイルをダウンロードしてJavaScriptファイルをドロップするLNKファイル
  2. HTAファイルをダウンロードするLNKファイルを含むZIPファイル(JavaScriptを使用)
  3. JavaScriptファイルをドロップするRTFファイル
  4. JavaScriptストリームが埋め込まれたPDFファイル
  5. OLEオブジェクト(RTFファイル)への外部リンクを含むDOCXファイル。このファイルは、JavaScriptファイルを含んでおり、ドロップする
図1:不正HTAファイルのダウンロードに使用されるLNKファイルを含むダウンロードされたZIPファイルの一例
図1:不正HTAファイルのダウンロードに使用されるLNKファイルを含むダウンロードされたZIPファイルの一例

上記の不正ドキュメントはすべて、ファイルをダウンロードするかドロップするかのいずれかを実行すると、JavaScriptコードを実行します。実行されるJavaScriptのコードは、メインのバックドア型マルウェアおよび情報窃取型マルウェアの組み合わせ(以後、バックドア+スティーラ)をインストールするために使用されるドロッパです。

ダウンロードされたRTFファイルは、遠隔でのコード実行が可能になるMicrosoft Officeの脆弱性「CVE-2017-11882」を悪用します。そして、JavaScriptのコードで記述されたファイル「1.a」をドロップします。ファイル「1.a」は、ProgramDataフォルダ内にバックドア+スティーラをドロップして直接実行するか、ドロップしたファイルを後で実行するためにスケジュールされたタスクを作成します。

図2:ドロップしたバックドア+スティーラを実行するコマンドを含むスケジュールされたタスク
図2:ドロップしたバックドア+スティーラを実行するコマンドを含むスケジュールされたタスク

新たに作成されたフォルダ内には、Windowsの正規アプリであるRekeywiz(EFS REKEY wizard、FA86B5BC5343CA92C235304B8DCBCF4188C6BE7D4621C625564BEBD5326ED850)を含むいくつかのファイルが含まれています。

図3:ドロップされたファイルの一覧
図3:ドロップされたファイルの一覧

このアプリは、shell32の遅延インポート(DelayImport)の1つであるDUser.dllをサイドロードするshell32.dllを含むさまざまなシステムDLLライブラリを読み込みます。

図4:shell32ライブラリの遅延インポートとして機能するDUserライブラリ
図4:shell32ライブラリの遅延インポートとして機能するDUserライブラリ

ただし、偽のDUser.dllがプロセス内に読み込まれます。この偽のDLLライブラリは、同じディレクトリ内に存在するTEMPファイルからメインのバックドア+スティーラを復号します。

図5:メインのバックドア+スティーラおよび環境設定ファイルの両方を復号するためのアルゴリズム
図5:メインのバックドア+スティーラおよび環境設定ファイルの両方を復号するためのアルゴリズム

復号プロセスには単純なXOR(排他的論理和)演算が使用されます。復号鍵は、暗号化されたファイルの最初の32バイトであり、残りのバイト数がペイロードです。ここで復号されたペイロードは、メインのバックドアの.NETを用いた実行可能バイナリです。

図6:クラスとリソースを一覧表示させた、復号されたメインのSystemApp
図6:クラスとリソースを一覧表示させた、復号されたメインのSystemApp

図6のResources内に存在するDefaultのリソースには、暗号化された環境設定が含まれています。環境設定が復号されると、攻撃者が標的としているファイル形式が明らかとなります。復号には、メインのバックドア+スティーラに用いた手順と同じ原理が使用されます。

図7:復号された環境設定
図7:復号された環境設定

バックドア+スティーラの主な機能は次のとおりです。

  1. .NETの実行可能ファイルをダウンロードして実行する
  2. システム情報を収集し、C&Cサーバにアップロードする
  3. 選択したファイルをC&Cサーバにアップロードする

ここで収集される情報はJSON形式であるため、上掲図6のResources内に格納されているNewtonsoft_Jsonライブラリが読み込まれることがわかります。バックドア+スティーラによって、次のような情報が収集されます。

  • 特権
  • ユーザアカウント
  • コンピュータ(感染端末の)システム情報
  • ウイルス対策製品
  • 実行中のプロセス
  • プロセッサ情報
  • オペレーティングシステム(OS)情報
  • タイムゾーン
  • インストールされているWindowsのバージョン
  • ネットワーク情報
  • 「Users\%USERNAME%\Desktop」「Users\%USERNAME%\Downloads」「Users\%USERNAME%\Documents」「Users\%USERNAME%\Contacts」内のディレクトリ一覧

上記の他に、すべてのドライブおよびインストールされているアプリ上の情報なども収集されます。

■スピアフィッシング攻撃

弊社トレンドマイクロは、SideWinderが不正ドキュメントを配信するために使用したサーバに名前解決を行う興味深いダイナミックDNSドメインをいくつか発見しました。これらのダイナミックDNSドメインのサブドメインは、ユーザが利用するメールサーバのドメインと見た目が同様になるように設計されています。たとえば、ネパール政府機関の正規ドメイン「mail[.]nepal[.]gov[.]np」に偽装するために、偽ドメイン「mail-nepalgovnp[.]duckdns[.]org」が作成されました。さらに深く掘り下げて解析すると、これらの偽ドメイン上には、いくつかのフィッシングページが構築されていることがわかりました。

これらのフィッシングページは、さまざまな正規Webメールサーバのドメインおよびログインページを模範して作成されており、スピアフィッシング攻撃に利用するためにログイン認証情報を窃取するよう改ざんもされています。これらのフィッシングページがユーザや組織にどのように拡散されているかについては明白になっていませんが、SideWinderがこれらのフィッシングページを作成するために模範した正規Webメールサーバを見つけることで、SideWinderが誰を攻撃対象にしていたのかを特定することができます。

フィッシングページを解析した結果、詐取したログイン認証情報をC&Cサーバに送信すると、ほとんどのフィッシングページは正規Webメールサーバにユーザをリダイレクトすることがわかりました。ただし一部のフィッシングページは、ドキュメントまたはニュースページにリダイレクトすることも確認されました。これらのドキュメントやニュースページには、標的であるユーザや組織にとっておそらくは何らかの形で興味を引く論題やトピックが用いられています。そしてこれらの論題の詳細を確認するためにURLリンクをクリックさせ、リンク先の偽ログインページに認証情報を入力させてログインするよう誘導します。これらのドキュメントの一部はCovid-19に関連する一方で、南アジアの領土問題に関するドキュメントやニュースページもいくつか発見されました。

  • 「India Should Realise China Has Nothing to Do With Nepal’s Stand on Lipulekh(インドは認識する必要がある。リプケーシュ峠におけるネパールの政治的立場と中国が何の関係もないことを)」– 2020年5月にインド・中国間の対立について記述したニュース記事
  • 「India reaction after new pak map.pdf(パキスタンが明示した新たな国境線に対するインドの反応)」– 2020年8月にパキスタンが明示した新たな国境線に対するインドの反応について記述したPDF文書
  • 「Ambassador Yanchi Conversation with Nepali_Media.pdf(ネパール大使Yanchi氏とネパールメディアの対談)」– Covid-19、中国経済構想「一帯一路(the Belt and Road Initiative)」、およびネパールのフムラ地区が抱える領土問題に関する在中国ネパール大使へのインタビューについて記述したPDF文書

以下の表は、SideWinderが実行したフィッシング攻撃の標的となった組織およびメールサーバ、フィッシングページに用いられたドメイン、および誘導手口に用いられたドキュメントを示しています。

日付 フィッシングページに用いられたドメイン 標的となった組織 標的となったメールサーバ ログイン後のリダイレクト先
2019年11月   ネパールの政府機関 mail.nepal.gov.np ファイル「IMG_0002.pdf」にリダイレクトする
2019年11月   ネパール国防省 mail.mod.gov.np 偽装元の正規メールサーバにリダイレクトする
2019年12月 mail-mofagovnp.zapto[.]org ネパール外務省 mail.mofa.gov.np Webニュース「China, Nepal sign trade, infrastructure and security deals」にリダイレクトする
2019年12月   ネパールの政府機関 mail.nepal.gov.np ファイル「consultation_1523857630.pdf」にリダイレクトする
2020年1月 imail.aop.gov-af[.]org アフガン国家安全保障会議 imail.aop.gov.af Webページ「Observation Of Technology Use in Afghanistan Government Sector」にリダイレクトする
2020年1月 mail-nscaf.myftp[.]org アフガン国家安全保障会議 mail.nsc.gov.af 「hxxps://wikipedia.org/USB_Killer」にリダイレクトする
2020年1月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np PDF「EN Digital Nepal Framework V8.4 15 July 2019.pdf」にリダイレクトする
2020年1月 mail-mofagovnp.hopto[.]org ネパール外務省 mail.mofa.gov.np PDF「national-security-vol-3-issue-1-essay-SSimkhada.pdf」にリダイレクトする
2020年1月 webmail.mohe.gov-af[.]org アフガニスタン高等教育省 webmail.mohe.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月   スリランカ国防省 mail.defence.lk ログイン時にエラーが生じる
2020年2月 mail.moha.gov-np[.]org ネパール内務省 mail.moha.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年2月 mail.nsc.gov-af[.]org アフガン国家安全保障会議 mail.nsc.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月 mail.arg.gov-af[.]org アフガニスタン大統領官邸 mail.arg.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月 mail.arg.gov-af[.]org アフガニスタン大統領官邸 mail.arg.gov.af 偽装元の正規メールサーバにリダイレクトする
2020年2月   ネパール教育人材育成センター mail.doe.gov.np ファイル「Para Basic Course Joining Instruction.docx」にリダイレクトする
2020年3月 mail-nepalgovnp.duckdns[.]org ネパールの政府機関 mail.nepal.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年3月   ネパール電力公社 mail.nea.org.np 偽装元の正規メールサーバにリダイレクトする
2020年3月 mail-nepalgovnp.duckdns[.]org ネパールの政府機関 mail.nepal.gov.np ファイル「central data form.pdf」にリダイレクトする
2020年3月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np ファイル「Corona Virus Preparedness and Response.pdf」にリダイレクトする
2020年3月 mail-nepalpolicegov.hopto[.]org ネパール警察 mail.nepalpolice.gov.np ファイル「1987 Conducting training on COVID-19 and keeping it in readiness.pdf」にリダイレクトする
2020年4月 mail-nrborg.hopto[.]org ネパール中央銀行 mail.nrb.gov.np ファイル「fiu.pdf」にリダイレクトする
2020年5月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np Webニュースサイト「India Should Realise China Has Nothing to Do With Nepal’s Stand on Lipulekh」にリダイレクトする
2020年6月 mail-nepalarmymilnp.duckdns[.]org ネパール陸軍 mail.nepalarmy.mil.np Login failed(ログイン失敗)とメッセージが表示される
2020年7月   パキスタンの医療センター「Qatar Charity」 mail.qcharity.org 偽装元の正規メールサーバにリダイレクトする
2020年7月   ミャンマー国営郵便・電気通信事業体「Myanma Posts and Telecommunications」 webmail.mpt.net.mm 偽装元の正規メールサーバにリダイレクトする
2020年8月 mail-ncporgnp.hopto[.]org ネパール共産党 mail.ncp.org.np ファイル「India reaction after new pak map.pdf」にリダイレクトする
2020年8月 mail-nscaf.myftp[.]org アフガン国家安全保障会議 mail.nsc.gov.af 「10[.]77[.]17[.]10/Software/03-Applications」にリダイレクトする
2020年9月 mail-mofgovnp.hopto[.]org ネパール財務省 mail.mof.gov.np ファイル「1987 Covid.pdf」にリダイレクトする
2020年9月 mail-ncporgnp.hopto[.]org ネパール共産党 mail.ncp.org.np ドキュメント「The spectre of a new Maoist conflict in Nepal」にリダイレクトする
2020年9月 imail.aop.gov-af[.]org アフガニスタン大統領事務局 imail.aop.gov.af ファイル「SOP of Military Uniform .pdf」にリダイレクトする
2020年10月 mail-nepalpolicegovnp.duckdns[.]org ネパール警察 mail.nepalpolice.gov.np ファイル「2077-07-03 1239 Regarding investigation and action.pdf」にリダイレクトする
2020年10月   ネパール民間航空局 mail.caanepal.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年10月 mail-apfgovnp.ddns[.]net
mail-apfgavnp.hopto[.]org
ネパール武装警察 mail.apf.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年10月 mail-nscaf.myftp[.]org アフガン国家安全保障会議 mail.nsc.gov.af ファイル「IT Services Request Form.pdf」にリダイレクトする
2020年11月 mail-ntcnetnp.serveftp[.]com 携帯電話通信事業者「ネパールテレコム」 webmail.ntc.net.np 偽装元の正規メールサーバにリダイレクトする
2020年11月 mail-kmgcom.ddns[.]net メディア企業グループ「Kantipur Media Group」 mail.kmg.com.np 偽装元の正規メールサーバにリダイレクトする
2020年11月   ネパール連邦議会 mail.parliament.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年11月   ネパール国公共調達管理事務所 mail.ppmo.gov.np 偽装元の正規メールサーバにリダイレクトする
2020年11月 mail-mfagovcn.hopto[.]org 中国外交部 mail.mfa.gov.cn ファイル「Ambassador Yanchi Conversation with Nepali_Media.pdf」にリダイレクトする
図8:ネパール陸軍のOWA(Outlook Web Access)ページを偽装したSideWinderのフィッシングページ
図8:ネパール陸軍のOWA(Outlook Web Access)ページを偽装したSideWinderのフィッシングページ
図9:フィッシングページからのリダイレクト先および誘導手口として利用されたドキュメントの一例
図9:フィッシングページからのリダイレクト先および誘導手口として利用されたドキュメントの一例。インド・パキスタン間の領土問題について記述されている
図10:在中国ネパール大使へのインタビューの内容が記述されている、誘導手口に利用されたドキュメントの一例
図10:在中国ネパール大使へのインタビューの内容が記述されている、誘導手口に利用されたドキュメントの一例
■Android向けアプリ

さらにトレンドマイクロは、SideWiderのサーバ上で、Android向けアプリのために作成された多数のAPKファイルを特定しました。興味深いことに、これらのAndroid向けアプリはデフォルトのAndroidアイコンのままで、基本的な機能のみで構成されており、まだ開発の初期段階にあるものと考えられ、ユーザにとっての実用的な機能は備えていません。

図11:APKファイルで使用されるデフォルトのAndroidアイコン
図11:APKファイルで使用されるデフォルトのAndroidアイコン

弊社はこれらのアプリの中から、「MyFirstAPP」と「OpinionPoll」という2つのアプリを見つけましたが、不正活動は含まれていないようです。図12[左半分]の「My First App」は、ログインページや登録画面を表示する一方、図12[右半分]の「OpinionPoll」はインド・ネパール間で続く国境紛争に関する世論調査を行うアプリとして機能します。「My First App」は未経験者用のAndroid向けデモ(試作)アプリである可能性が高く、「OpinionPoll」は「意見の書き方」の説明から始まり、その後にアンケート調査が続きます。

図12:不正活動を備えていないアプリ「MyFirstAPP」と「OpinionPoll」
図12:不正活動を備えていないアプリ「MyFirstAPP」と「OpinionPoll」

上記のほかに発見された2つのアプリ、アプリ内に設定されたリモートサーバから追加のコードを読み込むMetasploit用のJavaPayloadからビルドされました。こちらについてはペイロードを取得できませんでしたが、位置情報、連絡先、通話履歴など、プライバシーに関連する多数の権限を要求するマニフェストによると、ペイロードはユーザの個人データを追跡していると推測できます。これらの2つのアプリには、Metasploit以外の活動やその他のコンポーネントが存在しないため、デバッグバージョンであると考えられます。

図13:Metasploitからビルドされたのち、パーミッションを要求する様子
図13:Metasploitからビルドされたのち、パーミッションを要求する様子

また、クラス名が難読化されたMetasploitが追加されたアプリ「My FirstAPP」の不正バージョンを特定しました。

図14:難読化されたMetasploitが追加されたMyFirstAPPの不正バージョン
図14:難読化されたMetasploitが追加されたMyFirstAPPの不正バージョン

SideWinderは、過去に攻撃活動の一部に不正アプリを使用していました。前述したキャンペーンでSidewiderは、写真・ファイル管理ツールに偽装させた不正APKファイルを誘導手口に用いてユーザに不正APKファイルをダウンロードさせました。不正APKファイルがユーザのモバイル端末にダウンロードされると、一連の高度な攻撃の流れが始まります。この攻撃の流れの中には、感染モバイル端末をルート化してペイロードの存在を隠ぺいしながらデプロイするだけでなく、Android における解放済みメモリの使用に関する脆弱性「CVE-2019-2215」および脆弱性攻撃コード「MediaTek-SU」を利用してルート権限を取得する手口も含まれます。デプロイされたペイロードの最終目的は、感染モバイル端末から特定の情報を収集し、C&Cサーバに送り返すことです。

不正APKファイルを用いた新たな攻撃事例においても、ユーザ情報の収集が目的であると考えられます。過去にGooglePlayストアで確認された不正アプリとは異なり、SideWinderの不正サーバ上で発見されたすべてのAPKファイルは、意図する攻撃を実行するための機能が十分に備わっていないことがわかっています。弊社の見解では、これらのAPKファイルはまだ開発の初期段階にあり、モバイルユーザを標的としたペイロードは現在も高度化していると推測しています。

■結論

SideWinderが用いるフィッシング攻撃の手口やAndroid端末を標的とした攻撃ツールの継続的な高度化から見られるように、SideWinderは標的を侵害するために、Covid-19や政治的な問題など最新情勢の話題をソーシャルエンジニアリングの手法に積極的に取り入れています。これに対しユーザや組織は、警戒を怠ることなく、ソーシャルエンジニアリングの手法に対するベストプラクティスに従うことで、これらの攻撃キャンペーンや類似する攻撃事例に直面した際に未然に被害を抑止できるようになります。

■侵入の痕跡(Indicator of Compromise、IoC)

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事:

  • 「SideWinder Uses South Asian Issues for Spear Phishing, Mobile Attacks」
    by Joseph C Chen, Jaromir Horejsi, Ecular Xu, Trend Micro

記事構成:岡本 勝之(セキュリティエバンジェリスト)

翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. 「Pawn Storm作戦」が利用するソーシャルエンジニアリングの威力
  2. Gmailアカウントに対する巧妙なフィッシング攻撃、Google Docsに偽装したリンクに誘導
  3. 「COBALT」再来:マクロか脆弱性を利用する2通りの標的型メール攻撃、ロシアの金融機関も対象
  4. 継続する偽装SMS:今度は携帯電話事業者サイトの偽装とiOSを狙う不正プロファイル
Tags: スピアフィッシングSiderWinder標的型メール


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.