エグゼクティブサマリー
米国大統領の予備選挙が間近に迫った現在、マルウェアの作成者でさえ、熱狂から逃れることはできません。Cisco Talos は最近、いくつかのマルウェア配信キャンペーンを発見しました。それらのキャンペーンでは、何人かの著名な政治家の名前と似顔絵が利用されていますが、その中心が米国のドナルド・トランプ大統領です。Talos が発見した一連のランサムウェア、スクリーンロッカー、リモートアクセス型トロイの木馬(RAT)などのマルウェアには、トランプ大統領や、ヒラリー・クリントン前大統領候補の似顔絵が描かれていました。
一部のマルウェアは金銭(身代金)目的です。しかし他のマルウェアは、システムに侵入するためのバックドアを構築する目的で使用されている可能性があります。後者のマルウェアの一部は、作成者の政治的信条に基づいて開発されていることが明らかです。こうした政治的信条がマルウェアから読み取れるからです。今回の投稿では、これらの例のいくつかを分析し、展開されたマルウェアのタイプを確認していきます。
攻撃者は、政治的な背景を悪用した手口も含めて、あの手この手で侵入を試みてきます。このような脅威に対応するためには、さまざまなテクノロジーを活用して環境を保護し、ベストプラクティスを適用する必要があります。各種セキュリティ制御を導入する際に、徹底した多層防御アプローチを講じることも欠かせません。さらに、ダミー攻撃(実際に起こりそうな脅威を模したもの)によって従業員をトレーニングする情報セキュリティ教育プログラムも活用できるでしょう。
最初のマルスパムキャンペーン
最初に調査したのは、マルウェアを配信するためのマルスパムキャンペーンです。このキャンペーンで送信された電子メールは、表面的には「銀行詐欺」に関するものです。送信元は、クレジットカード会社 Visa 社のグローバルリスク担当ディレクタだと偽っています。以下に、電子メールの一例を示します。
圧縮されたアーカイブは、RTF ファイルと共に電子メールに添付されています。この RTF ファイルには詐欺防止に関連する情報が含まれています。
RTF ファイルを開くと、動的データ交換(DDE)によって、攻撃者が制御するサーバから悪意のある PE32 実行可能ファイルが取得されます。ここでの実行可能ファイル名は「trump.exe」となっています。
その後 PE32 が実行され、こちらで詳細に説明しているキャンペーンに関連する感染プロセスが開始されます。
政治的背景が読み取れる侵入の兆候
これらのキャンペーンを詳細に調査する中で、政治的意図が読み取れる他の IOC を探し始めました。まず、過去数年間にわたって政治的な領域全体をテーマにした、各種の名称、用語、図像のリストを作成しました。次に、さまざまなマルウェアリポジトリを徹底的に調査しました。その結果、政治家の名前や画像が驚くほど多用されているだけでなく、多種多様な脅威とも関連性があり、日常的に見られる脅威の縮図であることが判明したのです。中には、国家支援の攻撃であることが疑われるマルウェアすら存在しています。多くの悪意ある活動が発見されたため、いくつかを取り上げてカテゴリ別に分類し、それぞれの脅威タイプについて重要な例を示します。ここでは、政治的なマルウェアの状況を複合的に分析するのではなく、脅威の影響範囲や深刻さについて概説します。
偽のランサムウェア/スクリーンロッカー
さまざまなマルウェアリポジトリから取得したサンプルの分析中に、偽のランサムウェアとスクリーンロッカーの例をいくつか発見しました。これらのサンプルでは、トランプ大統領などの著名な政治家に関連する画像が利用されていました。これらのランサムウェアはデータをすべて暗号化するわけでなく、中にはまったく暗号化しないものもあります。それにもかかわらず、被害者には自分のデータが失われたと信じ込ませています。被害者は、だまされてデータへのアクセス権を取り戻すために身代金を支払い、攻撃者に収益を与える可能性もありました。以下は、トランプ大統領をテーマにしたランサムウェアの亜種で Talos が発見した一例です。
この特定の例では、実行されたマルウェアが複数のエラーメッセージを表示させます。それらの問題を「修正」した後、ファイルの暗号化を開始したと思わせます。ただし暗号化ファイルの数はマイナスの数字から始まっています。システムを分析したところ、実は何も暗号化されていませんでした。表面上だけの「ランサムウェア」やスクリーンロッカーは多数存在しています。
サンプルの調査を続けている中で、政治をテーマにした他のロッカーマルウェアを発見しました。今度はロシアに関するものです。
ご覧のように、ロシアのプーチン大統領をテーマにしたスクリーンロッカーで、「Putin Lockware 2.0」という名前が付いています。ほとんどのスクリーンロッカーと同様に、このマルウェアも、被害を受けたマシンでアイコン、タスクバー、タスクマネージャを削除し、上に示したアプリケーションウィンドウを全画面モードで表示する単純なものです。同時に、被害者によるアプリケーションの終了を防ぐことで、身代金が支払われる可能性を最大に高めています。
その後、ユーザに何らかの手段(この例では電子メール)で攻撃者に連絡するよう指示します。攻撃者は返信の中で、画面の「ロック解除」コードと引き換えに身代金を要求します。
Talos が発見した最後のロッカーは、トランプ大統領をテーマにした別のロッカーです。このロッカーは、ユーザに明示的なアクション(この例では、アプリケーションウィンドウに表示されたボタンをクリックすること)を要求します。ボタンをクリックすると、次のようなロック画面が表示されます。
ユーザが [閉じる(close)] ボタンをクリックしようとすると、今度は背景が次のように変わります。
最後に、システムが大統領によってロックされていることを意味する、「Donald Trump Screen of Death(死のドナルド・トランプスクリーン)」と呼ばれる最終的なロック画面が表示されます。
ここで注目すべき点は 2 つあります。1 つ目は、ロッカーマルウェアを削除する方法を攻撃者が被害者に提供しなかったため、利益を獲得できない点です。もう 1 つは、画面をクリックするとロッカーが削除され、システムが正常に動作するように見える点です。以下は、すべてのプロセスの簡単なアニメーションです。
リモートアクセス型トロイの木馬
このデータを追跡している間に、政治をテーマにした複数の異なる RAT キャンペーンを発見しました。Talos が配信を確認したキャンペーンは、Neshta という、北朝鮮の最高指導者である金正恩氏をテーマにしたものでした。さらに、独特のおとり画像を配信する NjRAT キャンペーンも発見しました。これと同じ画像が、「Papa-Putin.exe」というぴったりな名前がついた実行可能ファイルのアイコンにも使用されていました。
最後に、「12 things Trump should know about North Korea.doc(トランプ氏が北朝鮮について知っておくべき 12 のこと)」というタイトルの Word ドキュメントを利用して配信された RAT を発見しました。最初このドキュメントは、分析システム上で開くのに数分かかったため、正常に機能するようには見えませんでした。さらに調査したところ、開くのに時間がかかったのは、そのドキュメント内に存在するデータから実行可能ファイルと DLL が再構築されるためだと判明しました。以下は、このドキュメントが最終的に開いた状態です。
配信されるマルウェアは「Konni RAT」であることが判明しました。これは 2017 年に発見されたものです。
悪意のある Excel スプレッドシートも、おとりドキュメントとして使用されていました。特定した次のスプレッドシートには、システムを ROKRAT に感染させるために使用されていた SWF ファイルが組み込まれていました。
「Trump_administration_economic_indicators_on_China_investments.xls」という名前の別の Excel スプレッドシートには、PoisonIvy を利用してシステムを感染させる悪意のあるマクロが含まれています。この RAT は、豊富なリソースを備えた以前のサイバースパイグループをはじめ、さまざまな攻撃者によって利用されています。
クリプタ/パッカー
トランプ大統領に関連する画像を利用したクリプタも発見しました。クリプタは一般的に、マルウェアバイナリに関連する悪意のあるコードを暗号化または難読化することにより、ウイルス対策による検出を回避するために使用されます。以下に、「Trump Crypter」のスクリーンショットを示します。
プロセスインジェクタ/マルウェアローダー
これまで発見したさまざまなクリプタの他に、インジェクタやローダーもいくつか検出しています。発見したインジェクタは、バラク・オバマ前大統領とプーチン大統領の両方を利用していました。どちらも、悪意のあるアクティビティの特性を難読化するために、コードをプロセスに挿入するという同じ基本的な機能を備えていました。以下に、コード挿入機能を備えたインジェクタのスクリーンキャプチャを示します。
最後に、プーチンをテーマにした別のマルウェアが発見されました。この場合はローダーでした。このローダーは、Brushaloader、Jasperloader、Divergent などのマルウェアローダーとは異なり、コードを難読化するために使用されるもので、今年初めに記載した Heaven’s Gate ローダーと同様のものです。
その他のサンプル
今回の調査で注目すべき点は、検出したサンプルすべてが必ずしも致命的な被害を及ぼすわけではない、ということです。Talos の調査では「ユーモラス」の部類から憂慮すべきものまで、多様な政治関連のソフトウェア アプリケーションが発見されました。かなりユーモラスな例の 1 つは、ヒラリー・クリントン前大統領候補をダンスさせられるソフトウェアです。
[ファンキーなダンス(Funky Moves)] ボタンをクリックすると、アプリケーションに描かれた小さなヒラリー・クリントンが、さまざまなファンキーな振り付けでダンスします。以下のアニメーションは、アプリケーションの操作を示しています。
残念ながら、発見したすべてのソフトウェアがユーモラスであったわけではありません。その多くは、政治家に対する暴力に言及したものも含め、憂慮すべきものでした。
今回発見した「Trump’s Cyber Security Firewall ™」と呼ばれる奇妙なソフトウェアは、以下のスクリーンショットが示すように、Windows のセキュリティを強化することに政治的なメッセージを絡めています。
このアプリケーションは Sysinternals の PSExec ユーティリティをベースに構築されたもので、ユーザに複数の機能を提供します。最初のトリアージの後、[ファイアウォールの構築(Build the wall!)] ボタンをクリックすると、システムのファイアウォールをアクティブにしてリブートを要求するなどの基本的なセキュリティ強化が行われます。次に示す [設定(config)] タブには、アプリケーションのインストール管理機能やパスワード管理機能、ユーザが指定可能な除外機能も含まれています。また、デバッグやリモート デスクトップ アクセスを有効にする機能もあります。
最後の [ツール(tools)] タブには、[トランプ大統領の極秘メール解読(Trump’s Top Secret Email Decryptor)] や [CIAのID検出(CIA Identity Detector)] という、不可解なラベルがいくつかありました。ただし、これらの機能はどちらも害はありません。以下のように、「トランプ大統領の極秘メール解読」機能は、MD5 ハッシュやファイルの所有者などの基本的なファイル情報を提供するだけで、「CIA の ID 検出」機能はシステム上に存在するグループのメンバーを表示するだけのものです。
このアプリケーションの設計には悪意があるようには思われず、システム管理者が Windows エンドポイントを管理する際に通常頻繁に発生するタスクを実行できるように作成されたアプリケーションのようでした。
また調査中に、露骨なプログラムのグループが確認されました。これらのアプリは、成人向けのテーマを利用して複数の大統領の疑惑行為に言及したものです。非常になまなましいものから、ジグソーパズルのような「ゲーム」にまで及んでいました。それ以外の兆候もありましたが、これらのアプリケーションについては、あからさまな悪意のあるものは見つかりませんでした。
まとめ
この調査から明らかなように、攻撃者は、ポップカルチャーから政治に至るまで、攻撃に有利だと判断したあらゆるものを利用しています。すべてが格好の標的です。これは、マルウェアを配信する攻撃者だけでなく、クリプタ、インジェクタ、ローダーなどを開発するために悪意のあるツールを利用する攻撃者にもあてはまります。
調査において予期しなかったことの 1 つは、(複数の国家レベルの攻撃で過去に使われた)マルウェアを投下したおとりの存在です。このことは、どれほど高度で巧妙な攻撃者でも、目的のためには手段を選ばないことを物語っています。また、ランサムウェアやスクリーンロッカーからアドウェアやリモートアクセス型トロイの木馬などに至るまで、さまざまな種類のマルウェアがあることにも衝撃を受けました。
最後に、この調査には特異な側面がありました。それは、未知の作者によって作成された、目的のわからない、ユーモラスでありながら憂慮すべきソフトウェアが発見されたということです。ほとんどのソフトウェアは無害でしたが、どこにでも奇妙な人物がいるということがわかりました。また、その中には、マルウェアリポジトリやマルチエンジンのスキャニング プラットフォームに送信されるコードを記述するものもありました。
いずれにせよ、当初の目的はマルスパムキャンペーンを分析するという日常的なものでしたが、最終的には政治関連のソフトウェアが多く発見されたのです。それらのソフトウェアの一部は(最終的には)悪意がないことが判明しましたが、少なくとも悪意の兆候があったことは確かです。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
特定の環境および脅威データに対する追加の保護は、Firepower Management Center から入手できます。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
侵入の痕跡(IOC)
今回のマルウェアキャンペーンに関連する侵入の痕跡として、以下のようなものが確認されています。
ハッシュ(SHA256)
次のファイルハッシュが、マルウェアに関連するものとして確認されました。ここに記載したのは、Talos が発見した悪意のあるファイルのハッシュだけであることに注意してください。
6a60cd318d1bbae691afa685e1b21799fa62c2581231309bc4d6d2a88270fbeb (Trump Crypter)
057635f414ae4f9febeca5e6325c9d0e3c3b2e4119e6e6032ea13744e031df01 (Putin Hook)
47ffdd88735c5c9d20370b4a0b6b4aaabeaaa13b40ac488ecca788d5e7ee491f (Putin Locker)
2bb693e06f54026a74b07fec0aa7c61bbfeb31124be2e5642f6afd83922f28f2 (NjRAT)
c12da1253c554b1b952eb3fa45818e267c2ccccf2147981ac3c31bbcb5d84c23 (Putin Injector)
b01718fd2c768e9564fb087ab560f91b85cfd46eab25987ca15c6ba01848e09f (Obama Injector)
545a0756449ee6ef221b397308ceca8c81e63d4eb914406a525c9ef7f009cce8 (Neshta)
60fff84d43d1a18494d44b9bdb9776a71f6cc30373c8fbb663877ab7e28a7581 (Donald Trump Screen of Death)
4cea9dbc941756f7298521104001bc20cb73cfdda06a60a9e90760188661f5e4 (Donald Trump Ransomware)
df2ea575168063c53454b5f07f2741d728276309049a5b8906948cbc653fea71 (Word Maldoc)
d7ef08aabb432d58ddc6a5a6c286c3b729c9085a987e46a6a82652fff4461ef2 (Excel Maldoc)
1b7d1e76d23cc48e3d3546902ec46c77c891453ce997adebe9a353774cc94efd (PE32)
bf1a40987d0040ba0672cce074e583132b1a9f559692cd597e8319d94eebca81 (RTF Maldoc)
本稿は 2019年11月5日に Talos Group のブログに投稿された「How adversaries use politics for compromise」の抄訳です。