マルウェアキャンペーンの背後に潜む犯罪組織の正体を見極めるのは難しい作業です。サイバー犯罪者は標的であるユーザや企業を混乱に陥れたり、システムやネットワーク環境に危害を加えたりするために設計したソフトウェアに自身の正体が露呈するような痕跡を残すことはめったにありません。しかし、識別のカギとなる情報を既知の情報源と比較することで、そのキャンペーンが特定のサイバー犯罪集団によって実行された可能性が高いと判断することができます。これは犯罪組織が長年にわたり活動を継続し比較対象となる痕跡を多く残している場合、さらに信憑性が高くなります。トレンドマイクロが発見し「Operation Earth Kitsune」と名付けた標的型攻撃キャンペーンについてその「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」に関する詳細解析の結果をホワイトペーパー(英語)にまとめて公開し、本ブログでも概要について報告しました。このキャンペーンに関与した2種の新たなスパイ活動を行うバックドア型マルウェアを拡散する水飲み場型攻撃の技術的な詳細解析を行う中で、韓国を主な標的とすることで知られるサイバー犯罪集団「APT37(別名:Reaper、Group 123、ScaCruftなど)」に起因した別のマルウェアとの顕著な類似性を発見しました。
続きを読む本ブログでは2020年11月24日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連のキャンペーンについて言及するとともに、その後の継続した調査により確認された、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たな拡散活動(キャンペーン)の調査結果をまとめたホワイトペーパーについても要約する形で報告しました。弊社トレンドマイクロは、新たに確認されたキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名しました。新たなキャンペーンでは、過去のキャンペーンでも使用されたSLUBが多用されていたほか、当該キャンペーンと連携してスパイ活動を行う2種の新たなバックドア型マルウェア「agfSpy」および「dneSpy」の感染も確認されました。これら2種のバックドアは、攻撃者が割り当てる命名規則に倣う形で、最初の3文字を用いて命名されました。
過去に実施した一連のキャンペーンに関する調査では、SLUBは主にデータ窃取の目的に使用されていた一方で、新たなキャンペーンで確認されたagfSpyおよびdneSpyは、データ窃取のほかに感染端末の制御、つまり遠隔操作のためにも使用されていたことが確認されました。本ブログ記事では、新たなキャンペーンで使用されたSLUB、dneSpy、agfSpyの3種のバックドアに関する情報に加え、これらのバックドアが通信するコマンドアンドコントロール(C&C)サーバとの連動性や、Operation Earth Kitsuneに関連する不正活動の詳細について解説します。
図1は、この水飲み場型攻撃におけるバックドア感染までの流れを簡潔にまとめたものです。弊社は、スパイ活動を行うバックドアの通信活動を分析することで、指示を送信する5つのC&Cサーバを特定することができました。
本ブログでは2019年3月14日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連の拡散活動(キャンペーン)に関する調査結果について詳説しました。そしてその後の継続した調査により、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たなキャンペーンを確認しました。トレンドマイクロではこの新たなキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名し、2020年10月には調査結果をホワイトペーパー(英語)としてまとめ、公開しました。バックドアSLUBの名称は、コミュニケーションプラットフォーム「Slack」とリポジトリホスティングサービス「GitHub」を悪用していたことから命名されたものですが、新たなバージョンのSLUBではどちらのプラットフォームも悪用されていません。代わりに、オンプレミスでも簡単にデプロイ可能なオープンソースのオンラインチャットサービス「Mattermost」が悪用されました。弊社では、プラットフォームが悪用されている事実について既にMattermost社に報告しています。
トレンドマイクロは2019年2月下旬、新種のバックドア型マルウェアを確認し、「SLUB」と名付けて3月14日の記事で解説しました。当時確認されたバージョンのSLUBは、VBScriptエンジンの脆弱性「CVE-2018-8174」を利用した水飲み場型攻撃で拡散し、リポジトリホスティングサービス「GitHub」とコミュニケーションプラットフォーム「Slack」を悪用してコマンド&コントロール(C&C)通信を行っていました。
2019年7月9日、新しいバージョンのSLUBが別のWebサイトを利用した水飲み場型攻撃によって拡散されていることが確認されました。この水飲み場型攻撃サイトは、Internet Explorer(IE)の遠隔からのコード実行(Remote Code Execution、RCE)脆弱性「CVE-2019-0752」を利用します。CVE-2019-0752はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」によって発見された脆弱性で、2019年4月に修正プログラムが公開されています。今回の攻撃はCVE-2019-0752の利用が確認された初めての事例です。
(さらに…)
トレンドマイクロは、2019年2月下旬、新しいバックドア型マルウェア「SLUB」を送り込み感染PCから情報を窃取する攻撃を確認しました。この攻撃は、改ざんしたWebサイトに攻撃コードを仕込む「水飲み場型攻撃」によって対象PCを感染させ、リポジトリホスティングサービス「GitHub」およびコミュニケーションプラットフォーム「Slack」を利用してコマンド&コントロール(C&C)通信を行います。SLUBは、感染PCから収集したファイルを、ファイル共有サービス「file.io」を利用して攻撃者に送信します。トレンドマイクロがSLUBを確認した時点で、このマルウェアは一般的にはまだ存在を認識されていないようでした。チャットプラットフォームが悪用される可能性については以前から指摘していましたが、Slackの悪用が確認されたのは今回が初めてです。
調査によって判明した「戦略、技術、手法(Tactics, Techniques and Procedures、TTP)」から、今回の攻撃は、通常のサイバー攻撃ではなく、有能な攻撃者によって実行された隠ぺい性の高い標的型攻撃だと考えられます。トレンドマイクロは、問題の脅威についてすぐにカナダのCSIRT(Computer Security Incident Response Team)である「Canadian Centre for Cyber Security」に通知しました。同センターは水飲み場型攻撃に利用されたWebサイトの運営者に注意喚起し、この脅威への対処を支援しました。
■水飲み場型攻撃と脆弱性の利用による感染の流れ
図1は水飲み場型攻撃による感染の流れを図示したものです。
図1:感染の流れ