- PoetRAT の新種が登場しましたが、公的機関をはじめとするアゼルバイジャンの重要組織を狙う点は変わっていません。
- 攻撃者は、アゼルバイジャン政府発行の文書に見せかけた、悪意のある Microsoft Word 文書を利用します。
- ただし使用言語は Python から Lua スクリプトに変更されています。
- また、プロトコルを置き変え、侵入先のシステム上で偵察を行うことにより、攻撃者側の運用セキュリティ(OpSec)が強化されています。
エグゼクティブサマリー
Cisco Talos は、今年前半に PoetRAT を発見しました。その後数か月にわたって、攻撃者の行動を監視し続けています。その間に、攻撃者の能力の変化を示す複数のキャンペーンが確認されるなど、運用セキュリティ確保の成熟度が高まってきていることが伺われます。この攻撃者は今後も引き続きスピアフィッシング攻撃を使用して、一時的なホスティングプロバイダーから悪意のあるドキュメントをダウンロードさせようとする可能性が高いと考えられます。現在のところ、マルウェアの配布元は電子メールに含まれる悪意のある URL だと考えられます。ユーザがこれらの URL をクリックすると不正ドキュメントがダウンロードされます。これらのドキュメントには現在も悪意のあるマクロが含まれていています。攻撃者が侵入に成功すると、追加のペイロードをマクロがダウンロードします。以前のバージョンの PoetRAT では、マルウェアに含まれるソースコードを実行するために Python インタプリタが導入されていたため、Lua スクリプトに切り替えられた最新バージョンに比べてファイルサイズがかなり大きくなっていました。今のアゼルバイジャンは近隣諸国との緊張が高まっています。したがって、アゼルバイジャン政府に特定の利害がある攻撃者の仕業(つまり国家レベルの妨害工作)だとみて間違いないでしょう。
新しいキャンペーン
2020 年 9 月のキャンペーン
下図に示す悪意のあるドキュメントの上両隅には、アゼルバイジャンの国章が配されています。
Talos が確認したドキュメントでは、複数のファイル名が使用されていました。1 つは「argument.doc」で、もう 1 つは「siyahı.doc」(アゼリー語で「リスト」の意)という名称です。以前のバージョンの PoetRAT と同様に、Word ドキュメントには以下のマクロが含まれていました。
文学作品からの引用が含まれているところも、Talos が以前に紹介したバージョンと同様です。今回見つかったドキュメントでは、ロシアの作家フョードル・ドストエフスキーの小説「カラザーゾフの兄弟」からの引用が使用されています。
このドキュメントも、Python インタプリタと PoetRAT をドロップしますが、PoetRAT マルウェアにいくつかの変更点が見られます。
1 つ目は、pyminifier
を使用して Python スクリプトを難読化し、文字列や YARA ルールに基づく検出を回避するようになっている点です。
難読化には base64 と LZMA 圧縮アルゴリズムが使用されています。
2 つ目は、マルウェアが複数のファイルに分割されている点です。たとえば変数は C2 サーバ情報や設定情報を含む「Constant.py」ファイルに保存されています。
また、コードも若干変更されています。最も注目を引くのは、ファイルのダウンロードとアップロードに使用するプロトコルが変更された点です。PoetRAT の最初のバージョンでは FTP が使用されていましたが、新しいバージョンでは HTTP プロトコルがサポートされています。
これらの変更により、攻撃者は最も一般的なプロトコルを使用して情報を盗み出し、シグネチャに基づく追跡を回避して検出を逃れられるようになったため、運用上のセキュリティが強化されています。
2020 年 10 月のキャンペーン
このキャンペーンでは、アゼルバイジャン徴兵局発行とされる Microsoft Office 文書がデコイドキュメントとして使用されています。
最近発生した軍事衝突を受け、アゼルバイジャン共和国大統領は先日「アゼルバイジャン共和国における部分動員宣言について」という法令に署名しました。詳細については、こちらをご覧ください。Office ドキュメントの保存日は、法令発表の 6 日後となっていました。
攻撃者はマルウェアに埋め込まれたペイロードを変更しています。この Office ドキュメントは次のマクロを実行します。
このマクロはターゲットシステム上に ZIP ファイルを作成し、ZIP アーカイブ内の Lua スクリプトを実行します。アーカイブには、Lua ペイロードと luajit(Windows 用の Lua インタプリタ)が含まれています。スクリプトの内容は次のとおりです。
このスクリプトは別のペイロードをダウンロードして実行します。ただし Talos はこのペイロードを受信しませんでした。その後 Talos には、罵倒の言葉が数百行にわたって書き込まれた「FUCK-YOU.txt」というテキストファイルが送られてきました。
ターゲットは同じ
以前のキャンペーンと同様に、今回もアゼルバイジャン政府を狙っています。以前のキャンペーンでは、風力タービンの関係機関を中心にエネルギー分野が狙われていました。
攻撃者は依然として VIP や公的機関に強い関心を寄せています。最近のキャンペーンでは、アゼルバイジャン市民が所有する外交旅券などの機密情報へのアクセスが確認されています。
まとめ
アゼルバイジャンと周辺諸国との最近の緊張関係を踏まえると、サイバー攻撃が予想されるのは当然と言えます。PoetRAT は数か月前にアゼルバイジャンに対して使用されたマルウェアですが、軍事衝突が発生した後、同じ攻撃者が新たなキャンペーンを開始しています。
以前の記事で取り上げたとき以来、このマルウェアはわずかながら進化しています。開発者は、活動を隠蔽するために新しいデータ漏洩プロトコルを実装しました。また、文字列やシグネチャに基づく検出を回避するための難読化も追加されています。
PoetRAT の最新版では、Python から Lua への進化が確認されています。このコードは簡単に解析できますし、特に高度なわけでもありません。しかし分析結果からはキャンペーンの効率性の高さが判明済みです。現在の情勢や標的を限定した攻撃から予想されるほどの技術的進化は見られませんが、攻撃者は実際に侵入先のシステムから機密文書にアクセスしているのです。
カバレッジ
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述の攻撃で使用されるマルウェアを検出します。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISR、Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。
IOC(侵入の痕跡)
悪意のあるドキュメント
以下は、新たに確認されたハッシュと、以前に確認された PoetRAT ハッシュです。
dc565146cd4ecfb45873e44aa1ea1bac8cfa8fb086140154b429ba7274cda9a2 – 2020 年 10 月
64aeffe15aece5ae22e99d9fd55657788e71c1c52ceb08e3b16b8475b8655059 – 2020 年 9 月
ac4e621cc5895f63a226f8ef183fe69e1ae631e12a5dbef97dd16a6dfafd1bfc – 2020 年 4 月
a703dc8819dca1bc5774de3b6151c355606e7fe93c760b56bc09bcb6f928ba2d – 2020 年 4 月
208ec23c233580dbfc53aad5655845f7152ada56dd6a5c780d54e84a9d227407 – 2020 年 4 月
e4e99dc07fae55f2fa8884c586f8006774fe0f16232bd4e13660a8610b1850a2 – 2020 年 4 月
C2 インフラストラクチャ
slimip[.]accesscam[.]org
本稿は 2020 年 10 月 6 日に Talos Group
Authors