応募者を標的にする偽の求人情報を使った手口(韓国)
エグゼクティブ サマリー
Cisco Talos は最近、特定の組織への侵害を試みる標的型マルウェア キャンペーンを確認しました。このキャンペーンに関連付けられた感染ベクトルは、韓国シスコの求人情報を装った Microsoft Word 文書です。実際に複数の Web サイトに掲載されている正式な求人情報コンテンツの一部が悪用されていました。EST Security 社も今週ブログでこのキャンペーンを解説
しています。この悪意のある Office 文書は、多段階の感染プロセスの初期段階であると見られています。
Talos はこのキャンペーンの分析中に、同じ攻撃者による以前の複数のキャンペーンと関連しているとみられるその他のサンプルも入手しました。キャンペーンはそれぞれが悪意のある文書と初期段階のペイロードを悪用しており、いずれも同様の戦術、テクニック、手順(TTP)を特徴としています。このキャンペーンは、標的型であること、侵害データの広範な影響が示されていないこと、標的が明確であることから、高度な攻撃者によるものであると見られています。環境への最初の足掛かりを得られるまでユーザを標的にし続けるこの手の攻撃は、より一般的になっています。組織は、セキュリティに多層防御アプローチを採用し、マクロの実行を可能な限り許可しないように備えてください。
悪意のある Office 文書
この悪意のある文書には「Job Descriptions.doc」という名前が付けられ、韓国シスコの採用情報に関連しているかのように見せています。文書には、オンラインで公開されている正式な職務記述書と同一の内容が使用されています。以下は、デコイ ドキュメントの内容を示すスクリーン ショットです。
文書のコンテンツは、オンラインで公開されている職務記述書をコピーしたものと見られています以下はその一例です。
この Word 文書に関連付けられたファイルのメタデータによると、この文書の作成日は 2018 年であるものの、最終保存日は 2019 年 1 月 29 日であることが示されています。
この Microsoft Word 文書には悪意のあるマクロが含まれており、このマクロが「%APPDATA%\Roaming」にドロップされている「jusched.exe」(Java アップデータ バイナリと同じ名前)と呼ばれる悪意のある PE32 実行可能ファイルを抽出します。このマクロは以下のように難読化されています。
エンコードされた文字列は、XOR キー「0xe7」でエンコードされた PE32 実行可能ファイルです。以下は、変数 str(1) の復号された値です。これは PE ヘッダーで特定できます。
PE32 内に存在する機能は、次のセクションで説明します。
第 1 段階のマルウェア ペイロード
バイナリの目的
PE32 実行可能ファイルは、HTTP 経由でコマンドアンドコントロール(C2)サーバへの接続を試みます。その目的は、感染したシステムで実行するための追加の指示(スクリプトまたは PE32 実行可能ファイル)を取得することであると推測できます。
残念ながら、今回の分析では第 2 段階のペイロードは入手できず、この HTTP 要求には HTTP 404 メッセージが表示されました。接続されたドメインは正規のウェブサイト(www[.]secuvision[.]co[.]kr/)で、侵害を受けて悪意のあるコンテンツのホスティングに利用されていたものです。
API の難読化
この手口では、4 つの固有の API コールが攻撃者により隠されていました。これらの API はインポート テーブルに追加されず、代わりに GetProcAddess() を使用して動的に読み込まれます。静的分析をより困難にするべく、関数名が難読化されています。以下に例を示します。
ライブラリ名(kernel32.dll)は確認できますが、関数名(3ez7/+r7zuzx/fvt7d8=)は表示されていません。この文字列は、算術バイト演算を使って復号されています。以下は復号された API です:
3ez7/+r7zuzx/fvt7d8= -> CreateProcessA()
2vvy++r7y+zy3f/99vvb8Ors598= -> DeleteURLCacheEntryA()
y8zS2vHp8PLx//rK8dj38vvf -> URLDownloadToFileA()
y8zS0e778M3q7Pv/898= -> URLOpenStreamA()
API はプロセスの作成やネットワーク通信に関連したものです。インポート テーブルを使用する静的分析の検出エンジンから疑わしい API を隠そうとする攻撃者の試みが読み取れます。C2 サーバはプレーンテキストで表示されており、この機能が手動分析を阻止するために実装されたものではないことを示しています。
以前のキャンペーンとの関係
キャンペーンの分析中、このキャンペーンに関係するとみられるその他のサンプルをいくつか特定しました。
ケース 1
関連サンプルの 1 つは、2017 年 8 月に使用されており、「 IT ? ?.zip(IT 情報セキュリティ企業およびセキュリティ企業一覧)」というファイル名が特徴です。ZIP アーカイブには、オリジナルのサンプルと同じマクロ群を埋め込まれた Office 文書が含まれていますが、その文書の役割は異なる PE32 実行可能ファイルをドロップすることです。これらのマクロ群もオリジナルのサンプルと同じ XOR キーを使用します。
この文書では、企業の一覧と各社の製品の概要が説明されています。
これらのマクロ群は、異なる PE32 実行可能ファイルをドロップしますが、そのファイルも「jusched.exe」と呼ばれています。このキャンペーンで使用される API の難読化アルゴリズムは、オリジナルのサンプルで使用されたものと同じです。以下は、両方のサンプルのコード実行フローを示すスクリーン ショットです。左側は 2017 年 8 月のサンプルで、右側は 2019 年 1 月のサンプルです。
このキャンペーンの C2 サーバ www [.]syadplus [.]com も正当な Web サイトで、この攻撃の侵害を受けました。
Office 文書の SHA256:809b1201b17a77732be3a9f96a25d64c8eb0f7e7a826c6d86bb2b26e12da7b58
PE32 実行可能ファイルの SHA256:adfb60104a6399c0b1a6b4e0544cca34df6ecee5339f08f42b52cdfe51e75dc3
ケース 2
Talos が特定した 2 つ目のキャンペーンは 2017 年 11 月に確認されたものです。このケースでのファイル名は「 ?_ ?.xls(履歴書_自己紹介)」でした。前述のキャンペーンと同様に、このドキュメントでも同じマクロ実行と XOR キーが利用されていますが、その役割は別の PE32 実行可能ファイルをドロップすることでした。
このキャンペーンの悪意のある文書には、空白の履歴書テンプレートが使われていました。
このキャンペーンで使用された C2 サーバ ilovesvc [.]com も正当な Web サイトの一例で、これも同じ攻撃者によって侵害を受け、悪意のあるコンテンツのホスティングに利用されていました。
Office 文書の SHA256:bf27c1631ef64c1e75676375a85d48f8ae97e1ea9a5f67c2beefc02c609fc18b
PE32 の SHA256:
1497ab6ddccf91ef7f2cd75ce020bb3bf39979210351deaa6e0025997ddfda5a
まとめ
これらのキャンペーンは、世界中の組織への侵害を試みる攻撃者の手口がますます高度化していることを示しています。この最新のキャンペーンでは、標的に配信する悪意のある Office 文書を正当なものに見せかけるため、正式な求人情報のコンテンツが使用されていました。長期にわたり複数のキャンペーンで同じ TTP(戦術、テクニック、手順)が使用されていることから、この攻撃者が自身の目的を達成すべく長年活動を続けていることがわかります。Cisco Talos は、今回お伝えした攻撃だけでなく、今後出現する可能性のある攻撃からもお客様が確実に保護されるよう、グローバルな脅威状況の監視を続けていきます。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
侵入の痕跡(IOC)
次の Ioc は、このキャンペーンに関連付けられています。
悪意のある Office 文書
7af59922d4c1b4f2d589cb2853afb543b37a1f23da0cf0180a693f9748e05906 (SHA256)
bf27c1631ef64c1e75676375a85d48f8ae97e1ea9a5f67c2beefc02c609fc18b (SHA256)
809b1201b17a77732be3a9f96a25d64c8eb0f7e7a826c6d86bb2b26e12da7b58 (SHA256)
悪意のある PE32 実行可能ファイル
e259aa1de48fd10b7601c4486b841428fbd6cd1a4752cf0d3bbe1799116ae6e6 (SHA256)
cd2e8957a2e980ffb82c04e428fed699865542767b257eb888b6732811814a97 (SHA256)
1497ab6ddccf91ef7f2cd75ce020bb3bf39979210351deaa6e0025997ddfda5a (SHA256)
adfb60104a6399c0b1a6b4e0544cca34df6ecee5339f08f42b52cdfe51e75dc3 (SHA256)
ドメイン
Talos が確認したすべてのキャンペーンで、正当な Web サイトが悪意のあるコンテンツをホスティングする目的で侵害を受けたことに留意してください。
www [.]secuvision [.]co [.]kr
ilovesvc [.]com
www [.]syadplus [.]com
以下のスクリーンショットは、AMP によりお客様がこの脅威から保護されることを示しています。
Tags:本稿は 2019年1月30日に Talos Group
