Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

PROMETHIUM、StrongPity3 APT を利用して世界中に感染拡大


2020年7月16日

ニュースの概要

  • StrongPity の攻撃者は過去 4 年間で何度も特定されているにもかかわらず、攻撃をやめようとしていません。
  • 感染拡大は続き、一見関連がないと思われる国まで攻撃されています。
  • 国を超えた感染拡大が続いていることから、このマルウェアは他の攻撃者が利用できるように国外に輸出されている可能性があります。

エグゼクティブサマリー

2012 年に活動を開始した PROMETHIUM の攻撃者は、過去数年にわたって何度か特定されていますpopup_icon。それにもかかわらず活動を続け、しかも攻撃範囲を拡大しています。Cisco Talos は、コードの類似性、コマンドアンドコントロール(C2)パス、ツールキットの構造、悪意のある振る舞いなどの指標を照合することで、約 30 の新しい C2 ドメインを特定しました。PROMETHIUM のアクティビティは、作成された年月ごとに分類するとピークが 5 つあることがわかっています。

最近の変化:

Talos が取得したテレメトリから、PROMETHIUM が複数の国へと狙いを広げていることが判明しています。StrongPity3 に関連したサンプルは、コロンビア、インド、カナダ、ベトナムの住人を対象としていました。このグループには、トロイの木馬化された 4 つの新しいセットアップファイルが含まれています。Firefox(ブラウザ)、VPNpro(VPN クライアント)、DriverPack(ドライバパック)、5kPlayer(メディアプレーヤー)の 4 つです。

仕組み:

Talos は最初の感染経路を特定できませんでしたが、有名なアプリケーションのインストールファイルをトロイの木馬化して使用している点は、以前に公開されたキャンペーンと一致しています。そのため、2018 年の CitizenLab のレポートpopup_iconに記載されているように、初期の感染経路は水飲み場型攻撃か、ネットワーク上でリクエストを傍受するタイプのいずれかであると考えられます。
トロイの木馬化されたセットアップファイルによってマルウェアと正規のアプリケーションがインストールされます。この方法は、マルウェアの活動を隠蔽するのに最適です。マルウェアをドロップする前に Windows Defender を再設定することで検出されないようにしている場合もあります。

特徴:

このグループは主にスパイ活動に特化しており、最新のキャンペーンでもその傾向が続いています。PROMETHIUM は、システム上で検出した Microsoft Office ファイルを窃取します。これまでの調査popup_iconでは、国家が背後にいる脅威との関連さえ明らかになっています。攻撃者が特定された後ですら新しいキャンペーンが続いていることから、この攻撃者の使命を達成する決意が伺えます。
PROMETHIUM は年を追うごとに活発になっています。PROMETHIUM のキャンペーンは何度か特定されていますが、それでも攻撃をやめようとはしていません。

2019 〜 2020 年のキャンペーン

想定される感染経路

さまざまなサンプルを分析し、多くの C2 サーバを特定したにもかかわらず、Cisco Talos は感染経路を特定できませんでした。悪意のあるインストーラをホストするために実際のアプリケーションの Web サイトが侵害されたという痕跡はありません。感染経路は、サプライチェーン攻撃とも関連していないようです。

CitizenLabpopup_icon の以前の調査と新しいキャンペーンのアーティファクトから、感染経路は 2018 年のものと同じであると思われます。標的となったユーザが公式の Web サイトで正当なアプリケーションをダウンロードしようとすると、ISP は HTTP をリダイレクトします。過去に利用された手法の詳細については、CitizenLab のホワイトペーパーをご覧ください。

新たな被害者

CitizenLab のレポートでは、国家が背後にいると思われる最初の攻撃経路にサービスプロバイダーが介在していることが示されています。また、合法的なスパイウェア企業によって開発された有名なマルウェアである FinSpy から StrongPity2 に変更されていることも記載されています。当時、被害者の大半はトルコとシリアの住人でした。

Talos の調査によると、被害者は現在、世界のさまざまな地域に拡散しています。

StrongPity の影響を受けた国

PROMETHIUM に多くの異なるバージョンが存在することと、ドメインがハードコードされているという事実から、Builder などのツールがバイナリの生成に使用されていることがわかります。PROMETHIUM の攻撃者が新しい国に感染を拡大しようとしているか、この攻撃者が開発した悪意のあるフレームワークが、これまで考えていたよりも多くの国に輸出されているかのどちらかです。

トロイの木馬化された Firefox インストーラ

トルコの住民が最も多く標的にされたという CitizenLab の主張を裏付けるものとして、Firefox インストーラのトルコ語版があります。

C2 インフラストラクチャ

Talos は 2019 年 7 月以降、少なくとも 3 つの異なるキャンペーンを特定し、ドメインの作成日に基づいてキャンペーンを分類しました。

ドメイン分類

ドメインを各キャンペーンに分類していますが、順番に実施されたわけではありません。実際、各ドメインを分析したところ、複数のキャンペーンにまたがっているのものもあり、一部は 2018 年に遡ります。

ドメインアクティビティのタイムライン

これらのドメインの一部はすでにシンクホール化されている可能性があるため、脅威にはなりません。ただし、ヒット数が依然として多いため、感染経路はまだ有効です。興味深い点は、この攻撃者が C2 で HTTPS を使用していることです。常に自己署名証明書を使用しています。

StrongPity2 と StrongPity3 の主な違い

StrongPity3 は StrongPity2 を進化させたもので、いくつか違いがあります。StrongPity3 は libcurl を使用しておらず、C2 へのすべてのリクエストに winhttp を使用しています。HKCU\Software\Microsoft\Windows\CurrentVersion\Run レジストリキーを使用することで永続化していた仕組みは、サービスを作成する方法に置き換えられています。このサービスはパッケージごとに名前が違います。サービス実行ファイルの役割は、サービスの起動時に C2 接続モジュールを起動することだけです。それ以外のマルウェアのフローは両バージョンで同じです。

ドロップされたファイルは、4CA-B25C11-A27BC などのような常に同じパターンで C:\DOCUME~1\<ユーザ>~1\LOCALS~1\Temp\ フォルダに保存されます。C2 のパスパターンも変更されています。Talos では、ini.php、info.php、parse_ini_file.php といったパスを特定しています。パスパターンはランダムではなくなり、動物の名前も使用されていません。

マルウェア

トロイの木馬化されたアプリケーション

Talos は 2019 年 7 月以降、トロイの木馬化された 4 つの異なるバイナリを検出しています。5kplayer、ドライバパック、Firefox のトロイの木馬化されたソフトウェアは、永続化するためにサービスを使用します。トロイの木馬化された VPNpro アプリケーションは AutoRun レジストリキーを使用します(2019 年 7 月以前に発表された文書参照)。

トロイの木馬化された Firefox インストーラのウイルス対策ソフトチェック

ツールキットをハードドライブに書き込む前に、偽の Firefox インストーラは PowerShell コマンドを実行します。このコマンドは、マルウェアが使用するディレクトリを Windows Defender の除外リストに追加しながら、サンプルの送信を防ぎます。その後マルウェアをドロップする前に、ESET または BitDefender ウイルス対策ソフトがインストールされているかどうかを確認します。インストールされている場合は何もドロップしません。

次に、トロイの木馬化された 5kplayer のインストーラについて説明します。5kplayer のセットアップでは、ツールセットに含まれる 3 つのファイル(rmaserv.exe、winprint32.exe、mssqldbserv.xml)が導入されます。

実行フロー

実行フローからわかるように、セットアップでは rmaserv.exe のみが実行されます。残りのモジュールは、rmaserv.exe がサービスとして実行されるときに rmaserv.exe によって実行されます。

悪意のあるサービス:RMASERV.EXE

RMASERV.EXE には主に 2 つの機能があります。1 つは、「help」パラメータを指定して実行するとサービスをインストールし、自身をサービスとして起動する機能です。このパラメータは、トロイの木馬化されたインストーラで使用されます。このタスクを実行するコードを次に示します。

rmaserv.exe エントリ関数

この関数は、Microsoft Windows のドキュメントに記載されている設計パターンに従っています(こちらpopup_iconを参照)。これには大きな別の効果があります。サンドボックス上で rmaserv.exe が単独で実行された場合(パラメータがない場合)、サービスが作成されないということです。そのため、実行されても何も発生せず、動的分析が正しく行えません。

2 つ目の主な機能はサービスです。このサービスには 2 つの機能があります。まず、winprint32.exe 実行ファイル(C2 接続モジュール)を起動し、イベントが発生するまで待機します。このイベントは C2 接続モジュールが利用する仕組みで、サービス実行ファイルにすべてのコンポーネントを削除するように警告します。

C2 接続モジュール:WINPRINT32.EXE

サービスは、Explorer の実行状況をチェックすることでユーザがログインしているかどうかを定期的に確認します。explorer.exe が実行されるとサービスは環境を設定し、C2 接続モジュール winprint32.exe を実行します。

winprint32.exe はドキュメント検索モジュールを起動し、C2 に接続して、収集したドキュメントを送信します。「YeucqCcpgapiZISEdRSNiLpopup_icon」という名前のミューテックスが作成された後、次の 2 つのプロセスが開始されます。

  • C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\4CA-B25C11-A27BC\mssqldbserv.xml
  • C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\4CA-B25C11-A27BC\wintasks.xml

ミューテックスの作成

その後、無限ループが開始されます。ループ内の最初のステップは、HTTPS で C2 に接続することです。最初の接続時に、ハードディスクボリュームのシリアル番号に基づいて被害者の ID を送信します。

C2 接続ループ

6,050 ミリ秒待機した後、「sft」ファイル(窃取するドキュメントを含むエンコードされたアーカイブ)を検索し、C2 に送信します。

その後、再起動する前にさらに 6,050 ミリ秒スリープします。このモジュールは、ツールキットの他のモジュールとは独立して実行できます。Talos では、サンドボックス回避メカニズムも特定できていません。

ドキュメント検索モジュール:MSSQLDBSERV.XML

このモジュールについては、以前こちらpopup_iconの記事で説明されています。このツールの目的は、ハードドライブを解析して特定の拡張子を持つファイルを抽出し、抽出したファイルのアーカイブを作成することです。作成されたアーカイブは最後に C2 に送信される前にエンコードされます。

mssqldbserv.xml メイン関数

興味深い情報がいくつかありますので公開します。この関数が最初からバックグラウンドで実行されるように設計されたものでないことは明らかです。メイン関数の最初の命令でコンソールウィンドウが非表示になります。その後、古い「sft」ファイルはすでに窃取したものとして削除します。6,500 ミリ秒待機した後、ターゲットファイルの検索を開始します。

SFT ファイル作成ルーチン

作業ディレクトリがベースのパスとして使用されます。このサンプルケースでは C:\DOCUME~1\<ユーザ>~1\LOCALS~1\Temp\4CA-B25C11-A27BC\ です。選択された各ファイルが kr.zp ファイルに圧縮されます。次に kr.zp データが読み取られ、独自の同じエンコード方式でエンコードされます。

byte = byte XOR (byte >> 4)

ファイルが 2048 X 53 バイト(〜 106kb)より大きい場合は、以下の命名規則に従って分割され、複数の sft ファイルとして保存されます。

gui_app0_[VolumeSerialNumber]_[MonthDayHourMinuteSecondMilliseconds]_[Counter].sft

このモジュールにはループがなく、通信モジュールの起動時にのみ実行されます。つまり、サービスの開始時に一度だけ実行されるということです。

不思議な WINTASK.XML

サンドボックスでの最初の分析では、C2 接続モジュールがドキュメント検索モジュールと同じパスでこのファイルを検索して実行しようとすることがわかっています。手動分析でさらにその裏付けをとろうとしましたが、このファイルを取得できませんでした。ツールキット内のすべてのファイルは、トロイの木馬化されたソフトウェアによってドロップされます。C2 接続モジュールがこのファイルの存在を想定していることは明らかです(具体的な名前はドロッパーごとに異なります)。Talos が分析したトロイの木馬化されたソフトウェアはいずれもこのファイルをドロップしませんでした。手動分析では、ファイルをドロップするかどうかを判断する箇所が見つかっていません。1 つ可能性があるとすれば、分析したソフトウェアが途中で放棄された古いコードの残骸であるということです。

まとめ

PROMETHIUM の攻撃者はひたむきな活動家で、特定されても攻撃の手をゆるめることはありません。最初にレポートされた後、ツールキットは変更されましたが、手法や手順は変わりませんでした。それ以来ツールキットは同じまま、活動を可能な限り効率的にするための更新だけが行われています。この間、ヨーロッパと中東を最初のターゲットにしていた裏でほとんどの大陸の組織を対象にして世界中に拡散しています。

これらの特徴から、この攻撃者が実際には雇用に関する企業向けサービスに属している可能性があります。各マルウェアは非常に類似している点が多いものの、わずかに変更されて異なるターゲットに対して利用されているため、専門家によってパッケージ化されたソリューションであると考えられます。

また、Citizen Lab で説明されているように、過去には StrongPity ではなく合法的なスパイウェアが使用されていたこともありました。このことは Talos の見解を裏付けている可能性があります。

カバレッジ

今回の脅威は、以下の製品で検出してブロックすることが可能です。

Advanced Malware Protection(AMP)は、これらの攻撃者がマルウェアを実行できないようにするための最適な方法です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。

Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述の攻撃で使用されるマルウェアを検出します。

E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISRMeraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。

AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。

IOC(侵入の痕跡)

ハッシュ
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ドメイン

upd-ncx4-server[.]com
upd3-srv-system-app[.]com
syse-update-app4[.]com
upd32-secure-serv4[.]com
system2-cdn5-mx8[.]com
secure-upd21-app2[.]com
ms21-app3-upload[.]com
apt5-secure3-state[.]com
upd8-sys2-apt[.]com
update5-sec3-system[.]com
state-awe3-apt[.]com
app-system2-update[.]com
awe232-service-app[.]com
ms6-upload-serv3[.]com
updt-servc-app2[.]com
cdn2-system3-secrv.[]com
file3-netwk-system[.]com
service-net2-file[.]com
system2-access-sec43[.]com
ms-sys-security[.]com
mailtransfersagents[.]com
hostoperationsystems[.]com
inhousesoftwaredevelopment[.]com
mentiononecommon[.]com
safecopydisk[.]com
fileservingpro[.]com
network-msx-system33[.]com
mx3-rewc-state[.]com

 

本稿は 2020年6月29日に Talos Grouppopup_icon のブログに投稿された「PROMETHIUM extends global reach with StrongPity3 APTpopup_icon」の抄訳です。

 

Tags:
コメントを書く