Cisco Japan Blog / 脅威リサーチ / パレスチナが、Delphi を使用した攻撃の標的に

このブログは、Paul Rascagneres と Warren Mercer が、Emmanuel Tacheau、Vanja Svajcer、Martin Lee の協力を受けて執筆しました。

概要

Talos では、悪意のある電子メール キャンペーンの監視を継続的に行っています。そして、パレスチナ内の標的、特にパレスチナの司法当局に向けて始動された、1 つのスピア フィッシング キャンペーンを特定しました。このキャンペーンは 2017 年 4 月に始まり、感染システムをリモート制御するために、スピア フィッシング キャンペーンを使用して MICROPSIA ペイロードが配信されました。これは新しい手法ではありませんが、攻撃者にとって、その有効性は今も失われていません。

このマルウェア自体は、Delphi で開発されたものでした。この記事では、その特徴と、攻撃者が使用したコマンド & コントロール サーバへのネットワーク通信について説明します。攻撃者は、テレビ番組の登場人物名を引用したり、攻撃の中にドイツ語の単語を含めたりすることを選択しました。特筆すべきことに、どうやら攻撃者は、パレスチナの情報源から盗んだ本物の書類と、物議を醸す音楽ビデオを、攻撃の一部として使用したようです。

スピア フィッシング キャンペーン

Talos は、パレスチナの司法当局やパレスチナのその他の公共機関の職員を標的にしたと思われるスピア フィッシング キャンペーンを特定しました。電子メールは「Yasser Saad」という名の個人から発信されたことになっていますが、メール アドレスは「yassersaaid01@gmail.com」であり、そこから連想される「Yasser Saaid」という名前と名目上の発信者名との間に不一致が見られます。

メールの件名を訳すと「セキュリティ担当官および監督官諸君」となり、本文には次のような内容が書かれています。「責任を持って回覧してくださるようお願いします：政府機関におけるインターネットの使用に関する閣議決定」。

メールには、.r10 ファイルが添付されています。拡張子からすると、このファイルは分割 RAR アーカイブの 10 番目の部分であるような印象を与えます。しかし、実際はそうではありません。この添付ファイルは単純な RAR ファイルです。あまり一般的でないファイル名拡張子であるにもかかわらず、このファイルは多くの RAR アーカイブ ハンドラで修正を加えずに開くことができます。

この RAR アーカイブには、InternetPolicy_65573247239876023_3247648974234_32487234235667_pdf.exe というファイル名の実行可能ファイルが 1 つ含まれています。

.r10 というファイル拡張子が選ばれた理由は、既知のファイル名拡張子と照らし合わせることでアーカイブ内の悪意あるコンテンツをチェックする自動解析システムを混乱させるためだったのではないでしょうか。同様に、アーカイブ内のファイル名として「_pdf.exe」で終わる長い名前が使われたのは、被害者に本当の PDF ファイルだと信じ込ませることが目的だったと想像されます。Windows のデフォルト設定では .exe 拡張子はユーザに表示されないので、注意が必要です。この実行可能ファイルは、アイコン自体も PDF ファイルで一般的に使われるものと同じなので、アーカイブの中身が PDF であるという印象をさらに強くしています。

実行可能ファイルを起動すると、Resource_1 という名の PE リソースとして組み込まれているデコイ ドキュメントが展開され、それが開かれます。

デコイ ドキュメント

表示されるデコイ ドキュメント、InternetPolicy.pdf は、パレスチナ国の内務省の書類をスキャンしたもので、通信技術相 Alaa Mousa 博士の署名が入っています。

デコイ ドキュメントは 7 ページからなっており、新しいインターネット使用ポリシーについて説明がされています。最初のページ（上図）は、政府の各部局にポリシーについて通知し、それに従うように指示する内容です。IT 部局の監督者のものとされる手書きのメモには、監督者がドキュメントを承認したことを示す「承認印」が加えられています。

バックグラウンドでは、感染システム上でマルウェア MICROPSIA が実行されます。このマルウェアはリモート管理ツール（RAT）です。これについては後で説明します。

関連キャンペーン

Talos は、同じマルウェアの亜種を配信するドライブ バイ ダウンロード キャンペーンでありながら、別のデコイ ドキュメントを使うものも特定しました。

このキャンペーンで使用される URL：

• http://sheldon-cooper[.]info/Fuqha_NewDetails_docx.r10
• http://feteh-asefa[.]com/pc/public/Fuqha_NewDetails_docx.r10
• http://feteh-asefa[.]com/pc/public/Altarnatevs.r10
• https://sheldon-cooper[.]info/attachment.r10

スピア フィッシングと同様、ここでもアーカイブの拡張子に .r10 が使われています。最初の 2 つのアーカイブに含まれるファイルは、Fuqha_NewDetails_874918321795_39778423423094_1988734200039_docx.exe です。ファイル名からすると .docx ファイルのように思えますが、アイコンは PDF ドキュメントのものになっています。

次の 2 つのアーカイブに含まれるファイルは、Altarnatives_Palestine_89840923498679852_9879483278432732489_pdf.exe です。これもやはり、PDF スタイルのアイコンを持つ実行可能ファイルです。

デコイ ドキュメント

Altarnatives_Palestine ドキュメント

この .pdf デコイ ドキュメントは、Palestinian Center for Policy Research and Strategic Studies（MASARAT）の調査書類です。

この 22 ページの調査書類では、2016 年および 2017 年のヨルダン川西岸の脅威および治安問題に関する現状が論じられています。これには、人権、Arab World for Research and Development Center のデータ、暴力センターのレポートなどに関する章が含まれています。

Fuqha_NewDetails ドキュメント

この 8 ページのドキュメントは、インタビュー、書類、公開情報に基づくインテリジェンス レポートと思われます。このドキュメントは、Al Qassam 集団（武装民兵とも呼ばれる HAMAS の軍事部門）の最高位幹部の 1 人の暗殺報告に言及しています。また、HAMAS の指導者、治安上の階級組織、サブグループを 1 つの画像に示した内容が含まれています。

その他のキャンペーン

Talos では、この他にも悪意ある関連ドキュメントを特定しました。そこでは、私たちが発見した元のマルウェアと同様の命名パターンが使用され、同様のインジケータが共有されています。

Plan_Palestine ドキュメント

Plan_Palestine_898409266595123498679852_9879483278432732489_pdf.exe

このサンプルのデコイ ドキュメントは Word ドキュメントです。この書類では、課題への対処法、治安部隊（つまり、警察）の訓練方法、新しい武器など、治安部隊に関する戦略的目標、方針、武力介入について説明されています。

Diwan2017_Palestine ドキュメント

Diwan2017_Palestine_89840923498679852_9879483278432732489_pdf.exe

このデコイ ドキュメントは PDF ファイルです。ドキュメント自体は、パレスチナの閣僚会議の書類をスキャンしたものと思われ、職員規定についての通知に関連した内容となっています。

Goal2017 ドキュメント

Goal2017_487886_10152599711675287_250999354_n_354343741352mp4.exe

このサンプルはデコイ ドキュメントではなく、レバノン人歌手 Myriam Klink と Jad Khalife によるミュージック クリップ「Goal」を使ったデコイ ビデオです。このビデオは、その露骨な表現によりレバノンの法務省から発禁処分を受けており、特に多くの論争を巻き起こしています。これを共有または放送すると、5,000 万レバノンリラ（約 3 万 3,000 米ドル）の罰金が課せられます。

MICROPSIA の分析

これらのデコイ ドキュメントのマルウェアはすべて同一です。違っているのは、デコイ ドキュメント自体を含むセクションだけです。このマルウェアは、MICROPSIA という名の、Delphi で書かれたリモート アクセス型トロイの木馬（RAT）です。

特徴

最初に、マルウェアは自身を C:\ProgramData\MediaPlayer\ExecuteLibrary.exe にコピーします。マルウェアには複数のリソースが含まれています。そのうちの 1 つがデコイ ドキュメントで、そのほかに、shortcut.exe という名の、OptimumX で開発された正当なバイナリも含まれます。その名の示すとおり、このツールの目的はショートカットを作成することです。ショートカットを作成することで、マルウェアの持続性が確保されます。

Shortcut.exe /f:”C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D_Windows_v1.lnk” /a:c /t:”C:\ProgramData\MediaPlayer\ExecuteLibrary.exe”

このマルウェアは、コマンド & コントロール インフラストラクチャから取得した実行可能ファイルをダウンロードして実行するリモート管理ツール（RAT）です。この実行可能ファイルは、文字列形式でダウンロードされ、その後、Hex2Bin Delphi API によってバイナリ ファイルに変換されます。

興味深い要素の 1 つが、RAT の設定を隠すために使用される難読化アルゴリズムです。変数がカスタムの Base64 で保存されています。

Base64、さらに 2 つの XOR キーでデコードすると、マルウェアの設定が取得できます。

[{000214A0-0000-0000-C000-000000000046}]
Prop3=19,2
[InternetShortcut]
IDList=
URL=file://
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
http://camilleoconnell.website/api/white_walkers/
daenerys
betriebssystem
anwendung
mikasa
ackerman
ginny
AV

後で説明しますが、この設定には、ネットワーク通信に使用されるユーザエージェント、CC URL、JSON キーが含まれています。

また、マルウェアは、システムにインストールされているウイルス対策について情報を収集します。情報の取得には、WMI クエリが使用されます。

• SELECT * FROM AntiVirusProduct
• SELECT * FROM AntiSpywareProduct
• SELECT * FROM FirewallProduct

セキュリティ製品がインストールされている場合、この情報が攻撃者に送信されます。

ネットワーク通信

すべてのネットワーク パラメータはサンプルに格納されており、作成者が簡単に更新することができます。CnC は Web サーバです（http://camilleoconnell[.]website）

ネットワーク通信は HTTP で行われます。マルウェアは、ハードコードされたユーザエージェント、Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) を使用します。

新しい感染システムを登録するために、マルウェアは POST リクエストを実行して、次の内容を含む侵害システムのデータを /api/white_walkers/new に送信します。

• 実行されたマルウェアのファイル名とバージョン
• 感染したオペレーティング システムのバージョン
• Base64 でエンコードされたホスト名とユーザ名

CC は JSON 形式で応答します。JSON オブジェクトには、ID（感染システムが登録されるたびに増分）と、その他の 3 つのブール値（load_varys、lma、ausfart）が含まれます。登録によって生成される出力を次に示します。

調査から、現在 500 個を超えるシステムがすでに CC で登録済みと考えられます。この数には、本当に感染したシステムと、セキュリティ研究者のサンドボックス システムが混ざっている可能性があります。

登録後、マルウェアは、次のパターンに沿って、CC に対する HTTP 要求を定期的に実行します。GET /api/white_walkers/[base64_data_previously_sent]/requests

サーバは json オブジェクトによって応答します。Talos では、サーバからの感染システムへの命令の発行が可能であると考えています。以下が一例です。

テレビ番組の登場人物名の引用

分析した亜種では、この攻撃者が使用するネットワーク通信および URL において、テレビ番組の複数の登場人物が引用されていることが確認されています。

• sheldon-cooper[.]info：この URL では、『The Big Bang Theory』の主要人物の 1 人、Sheldon Cooper の名前が引用されています。
• Camilleoconnell[.]website：この URL では、『The Vampire Diaries』や『The Originals』の主演女優、Camille O’Connell の名前が引用されています。
• Mikasa Ackerman は、CC によって返される JSON キーです。これは『進撃の巨人』の登場人物の名前です。
• URL 内の /White_Walker/ は、テレビ番組『Game of Thrones』に登場する種族の名前です。
• Deanerys は、Web リクエストで使用される変数です。これは『Game of Thrones』の登場人物の名前です。
• Lord_varys は、CC によって返されるもう 1 つの JSON キーです。これは『Game of Thrones』の登場人物の名前です。

どうやらマルウェアの作成者は、テレビ番組にたいへん関心がある人物のようです。

ゲーテのスタイル

私たちは、コマンド & コントロール サーバとのネットワーク通信にドイツ語の単語が使用されていることを確認しました。

• 「Betriebssystem」はオペレーティング システムを意味します。この変数は、OS バージョン（たとえば「Windows 7 Service Pack 1（バージョン1、ビルド 7601、32 ビット版）」など）を送信するのに使用されます。
• 「Anwendung」はアプリケーションを意味します。この変数は、マルウェアのファイル名とバージョンを送信するのに使用されます。
• 「Ausfahrt」は終了を意味します。これは、ネットワーク通信中に CC が使用する JSON キーです。キーにはブール値が含まれます（誤/正）。

もちろん、ドイツ語を使用しているからといって作成者が必ずしもドイツ人であるとは限りません。単に痕跡を隠すために、ドイツ語の単語を加えているだけという可能性もあります。

まとめ

このスピア フィッシング キャンペーンは、パレスチナ自治政府に向けられたものでした。加えて、そのほかの団体も標的にされていた可能性もあります。少なくとも 500 台のマシンが CC インフラストラクチャによって登録されています。このインフラストラクチャがいまだに機能していることを考えると、このキャンペーンは成功したと言っていいでしょう。

Talos では、多くの APT キャンペーンに深く関わってきました。今回の事例で最も意外だった要素の 1 つに、命名規則がはっきりしていたことが挙げられます。作成者は、マルウェアの通信に、米国の複数のテレビ番組からの引用をわざと使用し、ドイツ語の単語を意図的に使用しています。これらの使用が、出自を混乱させる目的で行われているのか、アナリストをからかうためなのか、あるいは知識や経験の欠如を示しているのかは、定かではありません。これは、説得力の高いデコイ ドキュメントとは対照的です。デコイ ドキュメントは、現在のパレスチナ情勢に関連する本物の書類のコピーと思われ、高度な専門性を感じさせます。

IOC（侵入の痕跡）

ファイルのハッシュ値

InternetPolicy.r10: 9b162f43bcbfaef4e7e7bdffcf82b7512fac0fe81b7f2c172e1972e5fe4c9327

InternetPolicy_65573247239876023_3247648974234_32487234235667_pdf.exe: 9cb5ef0b17eea1a43d5d323277e08645574c53ab1f65b0031a6fc323f52b0079

Attachment.r10: c7081b00ad8db62519c7af2cb5f493f56ecc487b087ae52d01f43953d2aa6952

Altarnatives_Palestine_89840923498679852_9879483278432732489_pdf.exe: 0180e2b601ae643e7adf1784c313dd2d10d114bd2b5692eb6e9c031a6e448ed1

Fuqha_NewDetails_docx.r10: 94902877b2cb523548a272d4e4fe0789192e1cb35b531297368b16a2865b33af

Fuqha_NewDetails_874918321795_39778423423094_1988734200039_docx.exe: 77adba034d13b570c6aab79282326a1eb2efdfc14fbd7cd0651906e3fa31f9fe

Plan_Palestine_898409266595123498679852_9879483278432732489_pdf.exe: 6c5884cf45d943f51566ea98113fecf851d49f59b70c8039aa21a14e09e21e5c

Diwan2017_Palestine_89840923498679852_9879483278432732489_pdf.exe: 7c87f992674b962269d7fb2ffbad6d21f606c90d151a6fb67ac54387b6883aae

Goal2017_487886_10152599711675287_250999354_n_354343741352mp4.exe:

5f5af4762c073234fef6bfeaa3b9f6a04982e82a25e540116aa1f9e38223ae2b

ドメイン

feteh-asefa[.]com

sheldon-cooper[.]info

camilleoconnell[.]website

URL

http://sheldon-cooper[.]info/Fuqha_NewDetails_docx.r10

http://feteh-asefa[.]com/pc/public/Fuqha_NewDetails_docx.r10

http://feteh-asefa[.]com/pc/public/Altarnatevs.r10

https://sheldon-cooper[.]info/attachment.r10

http://camilleoconnell[.]website/api/white_walkers/new

http://camilleoconnell[.]website/api/white_walkers/[base64]/requests

カバレッジ

オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。

お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。

高度なマルウェア防御（AMP）は、これらの攻撃者により使用されるマルウェアの実行の阻止に最適です。

CWS や WSA の Web スキャニングは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されたマルウェアを検出します。

ネットワーク セキュリティ アプライアンス（NGFW、NGIPS、高度なセキュリティを備えた Meraki MX など）は、この脅威に関連した悪意のあるアクティビティを検出できます。AMP Threat Grid は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護を組み込むのに役立ちます。

Umbrella は悪意のあるアクティビティに関連付けられているドメインの DNS 解決を防止します。

Stealthwatch は、ネットワーク スキャニング アクティビティ、ネットワーク伝達、および CnC インフラストラクチャへの接続を検出し、これらのアクティビティについて管理者にアラートを発行します。

本稿は 2017年6月19日に Talos Group のブログに投稿された「Delphi Used To Score Against Palestine」の抄訳です。

Authors

TALOS Japan