2024年12月11日

株式会社Doctor Web Pacific

情報セキュリティインシデントの調査を行うなかで、Doctor Webのウイルスアナリストは進行中のキャンペーンを発見しました。このキャンペーンにはサイバー犯罪者が駆使する最新のトレンドが多数取り入れられています。

社内のコンピューターインフラストラクチャが侵害されている疑いがあるという内容の調査依頼をクライアントの一社から受けたDoctor Webは、同社から提供されたデータの分析を行いました。その間にもDoctor Webのウイルスアナリストによって同様のケースが複数特定され、このことから、アクティブなキャンペーンが進行中であるという結論が導き出されました。攻撃は主に東南アジア地域に集中しているように見られます。ハッカーは包括的なマルウェアスイート（マルウェア群）を使用し、それらを攻撃のあらゆる段階で導入しています。侵害されたマシンへの最初のアクセスがどのように取得されたのかを特定することは残念ながらできませんでしたが、Doctor Webでは残りの攻撃チェーンを再現することに成功しました。ここで目を引くのは、脅威アクターがeBPF（extended Berkeley Packet Filter）テクノロジーを悪用しているという点です。

eBPFは、Linuxオペレーティングシステムのネットワークサブシステムとそのプロセスに対するコントロールを向上させるために開発されたテクノロジーです。その著しいポテンシャルの高さが大手IT企業の関心を集め、GoogleやHuawei、Intel、Netflixなどの巨大企業が発足とほとんど同時にeBPF Foundationに加入し、さらなる開発を推進しています。一方で、ハッカーもまたeBPFに注目しています。

広範な低レベルの機能を提供するeBPFを悪意のあるアクターが利用することで、ネットワークアクティビティとプロセスを隠したり、機密情報を収集したり、ファイアウォールや侵入検知システムをバイパス（回避）したりすることが可能になります。その結果として検出に時間がかかるようになったマルウェアをAPT攻撃（Advanced Persistent Threat：高度な持続的標的型攻撃）に使用し、長期間にわたってハッカーの存在を隠すことができます。

これらの機能を悪用するために、攻撃者は侵害したマシン上に2つのルートキットをロードしていました。1つ目はeBPFルートキットで、カーネルモジュールとして実装されている別のルートキットの動作を隠すためのものです。この2つ目のルートキットが、システムにリモートアクセス型トロイの木馬をインストールできるようにします。このトロイの木馬の特徴的な機能はさまざまなトラフィックトンネリング技術をサポートしているというもので、これによりプライベートネットワークセグメントから攻撃者と通信し、コマンドの送信を隠すことができます。

総じて、悪意のあるeBPFソフトウェアは2013年以降ますます多く使用されるようになっており、このテクノロジーをベースにしたBoopkit、BPFDoor、Symbioteなどの複数のマルウェアファミリーの登場がそれを裏付けています。状況の悪化に拍車をかけているのが、繰り返し発見されるeBPFの新たな脆弱性です。現時点で217件の脆弱性が知られており、そのうちの約100件が2024年に発見されたものとなっています。

このキャンペーンのもう1つの顕著な特徴は、トロイの木馬の設定を保存する場所に関するいささか斬新なアプローチです。これまでは多くの場合、保存場所として専用のサーバーが使用されていましたが、現在ではパブリックプラットフォーム上に公然と保存されるケースが増えています。たとえば、今回発見されたマルウェアはGitHubなどのプラットフォームのほか、情報セキュリティに関する中国のブログにさえアクセスしていました。この方法を用いることで、侵害されたマシンからのトラフィックが注意を引かないようにすることが可能です。一見すると、マシンは安全なネットワークホストと通信しているように見えるからです。また、設定が保存されているコントロールサーバーへのアクセスを確保しなければならない必要もなくなります。一般に公開されているサービスをコントロールインフラストラクチャとして使用するという手法は目新しいものではありません。これまでにもDropbox、Google Drive、OneDrive、さらにはDiscordがハッカーに利用されています。ただしこれらのサービスは一部の国、特に中国では地域によって使用が制限されているため、確実性という点で劣ります。一方でGitHubへのアクセスはほとんどのプロバイダーで利用可能なままであり、そのためハッカーにとってより魅力的なプラットフォームとなっています。

GitLabとセキュリティブログに保存されている設定。面白いことに、後者ではハッカーがサードパーティのコードを復号化するために協力を求めています。このコードはその後、コマンドの1つの引数としてトロイの木馬に送信されます。

このキャンペーンにはまた別の特徴があります。それはトロイの木馬が、コンピューターへの不正アクセス後に用いられるソフトウェアスイートであるポストエクスプロイトフレームワークのコンポーネントとしても使用され始めているというものです。このようなフレームワーク自体は違法なものではなく、セキュリティ監査サービスを提供する企業によって使用されています。最も人気のあるツールは、多数のチェックを自動化することができ、内蔵の脆弱性データベースを持つCobalt StrikeとMetasploitです。

Cobalt Strikeによって作成されたネットワークマップの例（出典：公式サイト）

そしてもちろん、そのような機能は脅威アクターにとっても非常に魅力的です。2022年には不正利用のために改変されたクラック版のCobalt Strikeがリリースされ、ハッキング活動の急増を引き起こしました。地理的には、Cobalt Strikeインフラストラクチャは主に中国にあります。Cobalt Strikeの開発元はすべてのインストールを追跡することに注力しており、クラック版のサーバーは法執行機関によってたびたびシャットダウンされています。そのため現在では、そのままですぐに使用できる拡張機能をサポートしており、感染したホストとそのコントロールサーバー間のネットワーク通信を変更できる、オープンソースのフレームワークを使用する傾向がハッカーの間で強まっています。この手法を用いることで、ハッカーのインフラストラクチャが余計な注意を引かないようにすることができるためです。

今回の調査の結果、特定されたすべての脅威はDoctor Webのウイルスデータベースに登録され、悪意のあるeBPFソフトウェアを確実に検出するためにヒューリスティックルールも追加されました。

Trojan.Siggen28.58279の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語