ShadowPadAPTバックドアおよびPlugXとの関連に関する調査レポート
2020年10月28日
株式会社Doctor Web Pacific
イントロダクション
2020年7月、Doctor Webはカザフスタンとキルギスの国家機関に対する標的型攻撃について、侵害されたネットワーク内で発見されたマルウェアの詳細な分析を行い、その調査結果を公表しました。この調査においてDoctor Webのスペシャリストは、すでに知られているトロイの木馬ファミリーの新たなサンプルやこれまでに知られていなかったトロイの木馬を含む、複数のトロイの木馬プログラムのグループについて分析し、詳細を報告してきましたが、その中でも最も特筆すべき発見が XPath ファミリーのサンプルでした。さらに、当初は独立した別個のものであると考えられていた2つのインシデントに関連があることを示唆する証拠も発見されました。攻撃対象となった組織のドメインコントローラーを感染させたのが高度に特殊化された同じバックドアであったことを含め、攻撃者は両方のインシデントで同じようなマルウェアを使用しています。
調査では、ネットワークインフラストラクチャへの最初の侵入に使用されたマルチモジュールバックドア PlugX のサンプルについて分析が行われ、 PlugX の一部の亜種は、中央アジア諸国の機関に対する標的型攻撃に使用されていた他のバックドアと同じドメイン名のC&Cサーバーを使用しているということが明らかになりました。すなわち、 PlugX プログラムが検出されたということは、このインシデントに中国のAPTグループが関与している可能性があるということを示しています。
データからは、いずれのネットワーク内にも不正なプログラムが3年以上存在し続けていたこと、また、これら攻撃の背後に複数のハッカーグループが関与している可能性があるということが明らかになりました。このような複雑なサイバーインシデントの調査は長期にわたるため、1つの記事だけで終わることはほとんどありません。
Doctor Webのウイルスラボでは、キルギスの国家機関のローカルネットワーク内の感染したコンピューター上で発見された新たなマルウェアのサンプルを受け取りました。
前回の記事で言及したマルウェアに加え、 ShadowPad バックドアも注目に値します。このマルウェアファミリーのさまざまな亜種は、 Winnti APTグループの使用するツールとして良く知られています。中国が出所であると考えられ、少なくとも2012年から使われています。コンピューター上には ShadowPad と一緒に Farfli バックドアもインストールされており、どちらのプログラムも同じC&Cサーバーを使用しているということも着目すべき点です。また、同一コンピューター上で複数の PlugX の亜種も発見されています。
本調査では、検出されたバックドアのアルゴリズムについて分析しています。中でも特に、 ShadowPad と PlugX のサンプルにおけるコードの類似点と、それらのネットワークインフラストラクチャにおける共通点に焦点を当てています。
検出されたマルウェア一覧
以下は、感染したコンピューター上で発見されたバックドアの一覧です。
| SHA256ハッシュ | 検出名 | C&Cサーバー | インストールされた日付 |
|---|---|---|---|
| ac6938e03f2a076152ee4ce23a39a0bfcd676e4f0b031574d442b6e2df532646 | BackDoor.ShadowPad.1 | www[.]pneword[.]net | 07.09.2018 13:14:57.664 |
| 9135cdfd09a08435d344cf4470335e6d5577e250c2f00017aa3ab7a9be3756b3 2c4bab3df593ba1d36894e3d911de51d76972b6504d94be22d659cff1325822e |
BackDoor.Farfli.122 BackDoor.Farfli.125 |
www[.]pneword[.]net | 03.11.2017 09:06:07.646 |
| 3ff98ed63e3612e56be10e0c22b26fc1069f85852ea1c0b306e4c6a8447c546a (DLL-downloader) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (main module) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]mongolv[.]com | 29.12.2016 14:57:00.526 |
| 32e95d80f96dae768a82305be974202f1ac8fcbcb985e3543f29797396454bd1 (DLL-downloader) b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (main module) |
BackDoor.PlugX.47 BackDoor.PlugX.48 |
www[.]arestc[.]net | 23.03.2018 13:06:01.444 |
| b8a13c2a4e09e04487309ef10e4a8825d08e2cd4112846b3ebda17e013c97339 (main module) | BackDoor.PlugX.48 | www[.]icefirebest[.]com | 03.12.2018 14:12:24.111 |
ShadowPad と PlugX バックドアの類似点について詳細な調査を行うため、 ShadowPad ファミリーの他のサンプルを入手し、分析を行いました。
- BackDoor.ShadowPad.3
- BackDoor.ShadowPad.4 — 自己解凍形式 WinRAR ドロッパーに含まれる ShadowPad の亜種で、このファミリーの典型的なモジュールとは異なりDLLライブラリ形式でロードされます。
ShadowPad のサンプルに対する徹底的な調査と、それらサンプルと前回調査を行った PlugX の亜種との比較を行った結果、両ファミリーのバックドアには動作原理とモジュール構造に極めて高い類似性があるということが示されました。これらのプログラムは全般的なコンセプトのみでなく、コードのニュアンス、すなわち特定の開発手法、アイデア、技術的ソリューションについてもほとんど同じです。重要な点は、キルギスの国家機関の侵害されたネットワーク内で両方のバックドアが見つかっているということです。
使用されたマルウェアとその動作の詳細については、調査報告のPDFバージョンまたはDr.Webウイルスライブラリを参照してください。
- BackDoor.ShadowPad.1
- BackDoor.ShadowPad.3
- BackDoor.ShadowPad.4
- BackDoor.Farfli.122
- BackDoor.Farfli.125
- BackDoor.Siggen2.3243
結論
得られたデータから、これらファミリーには関連性があり、その関係は単にコードを借用しただけであるか、または同じ作成者/作成者グループによって開発されたものであると結論付けることができます。後者の場合、 ShadowPad は、より新しく高度なAPTツールとして PlugX を進化させたものである可能性が極めて高いと言えます。 ShadowPad で使用されている悪意のあるモジュールのストレージ形式は、RAM内でそれらを検出することを遥かに困難なものにするものとなっています。
Rate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments