2024年9月5日

株式会社Doctor Web Pacific

ソーシャルエンジニアリングは、対抗することが難しい極めて効果の高い詐欺手法です。巧みな攻撃者は、被害者を脅したり説得したりして望み通りの行動をとらせるための効果的なアプローチを、どのように探ればよいか分かっています。しかし、攻撃にほとんどコミュニケーションを必要とせず、ユーザーのコンピューターがデジタルアシスタントであることをやめて意図せず共犯者となってしまったら？

スピアフィッシングは大規模な組織のコンピューターにマルウェアを侵入させるために広く用いられている手法です。通常のフィッシングと異なるのは、攻撃者が事前に情報を収集して、セキュリティ侵害につながるような行動をとらせるよう誘導するメッセージを標的となる受信者（被害者）に合わせてパーソナライズしているという点です。主に標的とされるのは、重要な情報にアクセスできる上層部の従業員や、複数の相手とやりとりをする部門の従業員です。特に、あらゆる形式の添付ファイルを含んだメールを見知らぬ人物から大量に受け取る人事部の従業員がこれに当てはまります。そしてこの攻撃ベクトルこそ、今回の事例で脅威アクターによって用いられていたものでした。

2024年3月、Doctor Webはロシアの大手鉄道貨物輸送業者から連絡を受けました。添付ファイルを含んだ不審なメールが情報セキュリティ部門の目に留まり、そのファイルの危険性を確認しようと試みた後、Doctor Webのスペシャリストに依頼したというものでした。Doctor Webのアナリストによる調査の結果、同企業はあと一歩でスピアフィッシングの被害者になるところであったということが判明しました。攻撃者の目的はシステム情報を収集し、侵害したコンピューター上でモジュラー型マルウェアを起動させることでした。

この攻撃を実行するにあたって、攻撃者は求職者からの履歴書送付を装ったフィッシングメールを企業のメールアドレス宛に送信しています。メールには応募書類のPDFファイルが格納されているとするアーカイブが添付されており、このファイルには「.pdf.lnk」といういわゆる「二重」拡張子が付いていました。二重拡張子を使用して悪意のあるオブジェクトを隠すというのは、ユーザーを騙すためによく用いられる手段です。Windowsでは、ユーザーにとって煩わしくないようデフォルトで拡張子が表示されないようになっています。ファイルに「二重」拡張子が付いている場合は2つ目の拡張子のみが非表示になります。つまり、今回のケースでは「.lnk」拡張子は表示されず、ユーザーの目に見えていたのは最初の「.pdf」拡張子だけということになります。そのうえ、ファイル名を拡張子まですべて表示する設定が有効になっている場合でも、「.lnk」拡張子は常にOSによって非表示にされます。

lnkファイルを使用してシステムを侵害するという手法は目新しいものではありません。最も目立った攻撃は、2010年に発生したイランの都市ナタンズにあるウラン濃縮施設に対する過去に類を見ないサイバー攻撃です。Stuxnetと呼ばれるワームがガス遠心分離機を制御するPLCを攻撃し、遠心分離機を異常な速度で回転させたのちに突然停止させて破壊したというものです。Stuxnetはこのウラン濃縮施設で機器を破壊するのみにとどまらず、世界中の多くの国で20万台を超えるコンピューターを感染させました。主な攻撃ベクトルはUSBドライブ経由で企業の管理コンピューターに到達したlnkファイルでした。このlnkファイルを含んだフォルダにユーザーが移動するだけで、悪意のあるプログラムが実行されます。攻撃には4つのゼロデイ脆弱性が悪用されており、中でも目を引くのが、ユーザーの介入なしにStuxnet ワームの起動を可能にするCPLINKエクスプロイトです。

lnkファイル内のメタデータ

実際の「.lnk」拡張子は、Windowsでショートカットファイルに付けられる拡張子です。「Target」フィールドでは実行ファイルなどのあらゆるOSオブジェクトへのパスを指定することができ、必要なパラメータでそれを実行することができます。この攻撃ではPowerShellコマンドプロンプトが密かに実行され、攻撃者のWebサイトから2つの悪意のあるスクリプトをダウンロードしていました。そして、これらのスクリプトがそれぞれ独自のペイロードを実行しています。

攻撃チェーン

1つ目のペイロードはおとりのPDFファイルと YandexUpdater.exe という名前の実行ファイルです。この実行ファイルはYandex Browserを更新するためのコンポーネントを装っていますが（本物のコンポーネントの名前は service_update.exe です）、実際は Trojan.Packed2.46324 と呼ばれるマルウェアドロッパーです。 Trojan.Packed2.46324 は、エミュレーション環境で実行されているかどうか、デバッグソフトウェアが存在するかどうかを確認する一連のチェックを行った後、侵害したシステム上で Trojan.Siggen28.53599 を展開します。 Trojan.Siggen28.53599 はリモートコントロール機能を備えており、システム情報を収集し、さまざまな悪意のあるモジュールをダウンロードします。これらの機能に加えて、このトロイの木馬にはアンチデバッグ機能が搭載されています。アンチウイルス、仮想マシン、あるいはデバッガのプロセスを検出した場合は自身のファイルをゼロで上書きし、それが保存されていたフォルダごとファイルを削除します。

おとりのPDFファイル

2つ目のペイロードはおとりのPDFファイルと Trojan.Siggen27.11306 で構成されています。この Trojan.Siggen27.11306 は暗号化されたペイロードを持つ動的ライブラリ（DLL）です。このトロイの木馬の特異な点は、DLL検索順序ハイジャッキング（DLL Search Order Hijacking）を目的にYandex Browserの脆弱性を悪用するということです。Windowsでは、DLLファイルはアプリケーションが関数や変数、インターフェース要素を保存するために使用するライブラリです。アプリケーションは起動されると複数のデータストア内のライブラリを特定の順序で検索します。そこで、攻撃者はDLL検索の優先順位が高いフォルダに悪意のあるライブラリを配置することで、いわば「列に割り込む」形でその悪意のあるDLLが先に見つかるようにします。

DLL検索優先順位の簡易スキーム図

このトロイの木馬は Wldp.dll という名前で隠しフォルダ %LOCALAPPDATA%\Yandex\YandexBrowser\Application に保存されます。これはYandex Browserがインストールされるディレクトリであり、このブラウザが起動時に必要なライブラリを検索するディレクトリです。一方、本物の Wldp.dll ライブラリ（アプリケーションを正常に起動する役割を担っています）はOSのシステムライブラリで、 %WINDIR%\System32 フォルダにあります。悪意のあるライブラリがYandex Browserインストールフォルダに置かれているために、それが最初にロードされます。同時に、この悪意のあるライブラリはメインアプリケーションのすべての権限を取得し、ブラウザに成り代わってコマンドを実行したりプロセスを生成したり、インターネットアクセスのファイアウォールルールを継承したりできるようになります。

ブラウザの起動後、悪意のある Wldp.dll ライブラリはそこに埋め込まれているペイロードを復号化します。ここで注意したいのは、復号化が2回実行されるということです。1回目は悪意のあるDLLが置かれているパスのハッシュから生成されたキーを使用して実行され、2回目はトロイの木馬の本体に埋め込まれたグローバルキーを使用して実行されます。復号化の結果シェルコードが生成され、このシェルコードを実行することで、攻撃者が.NET言語で記述されたアプリケーションを侵害されたシステム上で起動することが可能になります。そして、そのアプリケーションの実行ファイルがネットワークからマルウェアをダウンロードします。残念ながら、調査時点ではダウンローダが通信していたサーバーがダウンしていたため、ここでダウンロードされていたトロイの木馬を特定するには至りませんでした。

以上のことから、今回の事例ではフィッシングメールに添付されたファイルが開かれることで2つの異なるトロイの木馬が侵害されたシステム上に侵入するという、マルチベクトル（複数のベクトル）かつマルチステージ（複数の段階）での感染スキームが用いられていることが分かります。複雑な手口ではありますが、このような攻撃を阻止するために必要な対策はいたってシンプルです。

1. 情報セキュリティに対する従業員の意識を向上させる（リンクやファイル名を注意深くチェックする、疑わしいオブジェクトを開かない）。
2. メールフィルタリング機能を備えたソフトウェア（例： Dr.Web Mail Security Suite ）を使用することで、悪意のあるメールや添付ファイルの受信を阻止する。
3. ネットワーク内のすべてのノードにアンチウイルスソフトウェア（例： Dr.Web Desktop Security Suite、 Dr.Web Server Security Suite ）をインストールする。これにより、インターネットの使用中に危険なファイルが侵入することを防ぎ、USBドライブ経由でファイルが侵入してしまった場合でもコンピューター上の疑わしいアクティビティがブロックされます。
4. プログラムのバグを修正するためのソフトウェアアップデートを定期的に適用する。

Doctor Webは発見されたYandex Browserの脆弱性についてYandex社に報告を行いました。その後、当該脆弱性（ CVE-2024-6473 ）が修正されたYandex Browserの新しいバージョン（24.7.1.380）がYandex社より直ちにリリースされました。

なお、本記事は、攻撃に関する詳細が公表される前にYandex Browserユーザーがパッチの適用されたバージョンへのアップグレードを安全に行うことができるよう、公開日についてYandex社のブラウザ開発者との間で調整を行ったうえで掲載されています。

Indicators of compromise (侵害の痕跡)※英語