Gamaredon:国家支援の攻撃とは言い切れない可能性
更新日:2 月 22 日、更新内容:IOC セクション
- Gamaredon は、ここ数年間、親ロシア派の活動に関与している攻撃者として名前が挙がっています。少なくとも 2013 年からその活動が確認されてきました。非常に活発ですが、通常は人目に付くような攻撃に関与しません。Cisco Talos の見解としては、同グループのずば抜けた活動性は、最も活発なクライムウェア犯罪組織に匹敵します。
- Gamaredon は長らく APT(高度サイバー攻撃)と見なされてきましたが、その特性を見ると一般的な APT の定義とは合致しません。それ自体を APT とみなすのではなく、他の地域や被害者に対して独自の攻撃を仕掛けながら、他の APT にサービスを提供するグループである可能性を考慮すべきです。
- 通常の APT の攻撃手法とは異なり、Gamaredon は特定の標的を狙うのではなく、世界中のユーザを標的にしています。
- アフリカの銀行から米国の教育機関まで、あらゆる人々が同グループの標的となっています。
- Gamaredon は他の主要な APT 攻撃者ほど秘密裏に動くのではなく、クライムウェア犯罪組織のように振る舞っています。
最新情報
Gamaredon はこれまでに数回、複数の脅威インテリジェンスレポートで取り上げられていますが、その活動を阻止する効果は目立って現れていません。Gamaredon の情報収集活動は APT の第 2 層に分類してほぼ問題ないと考えられます。主な目的は情報を収集して他の連携組織と共有することであり、最終的には連携組織がその情報を目標の遂行に利用します。
仕組み
Gamaredon による攻撃では、トロイの木馬化されたアプリケーションのインストーラ、よくあるファイル名とアイコンを使用した自己解凍型アーカイブ、悪意のあるペイロードを含むスパムメールなど、クライムウェアの世界で一般的となっている手口が使用されます。文書テンプレートに不正マクロを仕込むテンプレート インジェクションが使用されることもあります。第 1 段階のコマンドアンドコントロール(C2)で 600 を超える有効なドメインをインフラとして使用し、APT 攻撃としては非常に活発な動きを示します。この第 1 段階の C2 によって第 2 段階の配信と第 1 段階の更新が実行されます。場合によっては、第 2 段階も更新されます。一方、第 2 段階の配信は詳細な基準に則って行われるため、すべての標的に配信されるわけではないと考えられています。
特徴
どのような攻撃者に狙われやすいのか、組織は理解しておく必要があります。防御のために利用できるリソースは限られているため、リソースを最適化するには攻撃者を分類することが重要となります。多くの場合、APT グループは多大な影響を及ぼす、標的を絞った攻撃に関与し、その活動範囲は極端に狭くなっています。結果的に、APT の活動は極力水面下で行われることとなり、検出は困難です。その点 Gamaredon は正反対ですが、それでも APT 攻撃とみなされています。本稿の目的は、より広義のサイバーセキュリティ分野における Gamaredon の位置付けについて、組織が理解できるように解説することです。そこで、Gamaredon についての完全な包括レポートを作成するのではなく、2020 年に発生して以来現在も活発な動きを見せている 4 つの攻撃キャンペーンに注目しました。
概要
Gamaredon は、今日の脅威ランドスケープにおいて最も活発で、いまだ阻止されていない APT 攻撃グループの 1 つです。APT としては、Gamaredon は型破りな存在です。攻撃の対象がかなり広く、多くのドメインを使用しています。こうした攻撃手口は通常はクライムウェアグループが使用するものであり、APT ではほぼ見られません。ここ数年の間、Gamaredon の活動は何度か報告されていますが、攻撃の手を緩めたり秘密裏に動くというわけでもなく、執拗に活動を続けてきました。同グループは 600 以上のドメインを制御し、感染のタイムラインのさまざまな時点で展開しています。これほど大規模なインフラを備え、ここまで長く活動を続けている APT グループはめったにありません。これよりも規模は小さいものの、似たような例に Promethium グループがあります。
このレベルの活動は、APT 攻撃としてはあまりにも目立ちすぎだと言えます。一部の最も高度な攻撃で見られる手口とは違って、Gamaredon が使用する手口は巧妙ではありません。被害者の情報から利益を得ている兆候も見られません。あらゆる情報をさまざまな方法で収益化しようとする標準的なクライムウェア組織とは一線を画す点です。かと言って、Gamaredon を APT としては軽度の脅威だとみなすわけにはいきません。攻撃対象を拡大した活動だと捉えるべきであり、組織が標的になる可能性も高まっています。
同グループの活動は、盗んだ情報を他の攻撃者に販売するというものです。これは、通常のクライムウェア市場の情報窃取型の活動と一致しています。つまり、連携組織内の最前線チームに重要な情報を渡す第 2 層の APT 攻撃者としての役割を果たしています。もう 1 つ考えられるのは、Gamaredon が「サービスプロバイダー」としての顔を持っている可能性です。これが正しければ、西アフリカの主要な国営銀行を標的にした理由に説明がつきます。
一部のキャンペーンにおける同グループの活動は非常に活発で目立つ反面、特定の被害者を対象から外すために特別な注意を払っています。中には、第 1 段階の攻撃をシンプルに実行した後、そこで入手した情報に基づいて入念に精査した上で第 2 段階を配信するケースもあるとされています。
Gamaredon は高い技術力の水準を示すようなグループではありません。第 1 段階は活動を隠蔽することなく、ただ迅速に攻撃を実行するように設計されていると思われます。とは言え、その能力に欠陥があると考えるべきではありません。巨大なインフラを備えたグループであるのは確かであり、600 を超える有効なドメインが活動に使用されています。Gamaredon は多くの場合、第 1 段階で Windows バッチ言語や VBS(Visual Basic Scripting)を使用します。悪意のあるドキュメントに埋め込まれた VBA(VisualBasic for Applications)マクロによって第 1 段階のファイルが直接作成され、最初の感染経路として使用される場合があります。この記事の後半では、同グループによる過去 2 年間にわたるキャンペーンの詳細について説明していきます。2021 年 2 月の時点で Talos は、わずかずつではあるものの Gamaredon が何度も進化していることをうかがわせる、いくつかの新しいキャンペーンを確認しました。これが示唆しているのは、Gamaredon は大規模なインフラを備えているだけでなく、攻撃を継続しながら同時進行で新しい機能や特性を加えるための開発努力を続けているということです。さらに、キャンペーンを支えるためのインフラの管理も行っていると考えられます。
被害者に関する考察とインフラ
これまでに説明してきたように、Gamaredon は標準的な APT とは言えません。非常に活発な動きを見せるグループであり、活動が収まることはほとんどなく、その活動を支えているのは APT グループではあまり見られない大規模インフラです。分析を行ったあるキャンペーンでは、Gamaredon は第 1 段階の攻撃には使用しない IP リストを持っていました。全部で 43 ヵ国に拠点を置く、約 1,709 の IP アドレスです。
これらの IP アドレスが使用されなかった理由は明らかではありませんが、いくつかの可能性は考えられます。Tor や VPN、あるいはサンドボックスの出口ノードである可能性、あるいはシンクホールの可能性も考えられます。また「友好的な」国やプロバイダーを経由している可能性もあります。理由にかかわらず、Gamaredon は使用するマルウェアが地理的に広範に分散し得ることを認識しており、このことが彼らの攻撃性を明確に示しています。
Gamaredon のキャンペーンを調べていくと、他の APT とは異なり、その被害者はウクライナや米国といった特定の国に限定されていないことがわかります。もっとも、Gamaredon が標的として特にウクライナに注目しているのは確かです。悪意のある電子メールや文書の内容はロシア語で書かれていて、ウクライナ政府の公式文書を偽装しています。ただし、以下の地図に示すように Gamaredon の活動は 2021 年 1 月 1 日に始まったばかりです。
Cisco Talos はこれまで、Gamaredon が使用している大量のインフラ、ドメイン、その他の IOC(侵入の痕跡)を公開してきましたが、他にもインフラを持っており、いまだ確認されていない別の攻撃に使用している可能性が高いと思われます。これは完全なリストとは言えませんが、Talos が分析してきたキャンペーンの包括的なリストであるのは間違いありません。あるキャンペーンでは 600 を超えるドメインをリスト化しましたが、この記事の執筆時点で、さらに多くのドメインがリストに追加されています。これらのドメインはこれまでに 16 ヵ国で 330 を超える異なる IP アドレスを使用してきました。このうち、230 を超える IP がロシア国内の地理位置情報データを保有していました。この記事の執筆時点で、これらのドメインはわずか 36 の IP アドレスを使って配布されていました。そのうち 35 はロシア国内、1 つはドイツ国内の IP アドレスです。
キャンペーンのリスト
最も一般的な手口
Gamaredon のキャンペーンではよく見られる手口ですが、この攻撃でも、Word ドキュメントのテンプレート インジェクションが最初の感染経路として使用されています。これは通常、スピアフィッシングメールを利用して被害者に配信されます。過去のキャンペーンでも同じ手口が確認されており、さまざまなホスティングサイトが使用され続けています。説明を簡単にするため、ここでは 1 つの事例を取り上げます。
この Microsoft Word ドキュメントのファイル名は「НУЖНА ПОМОЩЬ.doc」で「助けて」という意味です。このドキュメントは攻撃者が使用した誘い込みの手口です。ロシア語を起源とするキリル文字で書かれており、ロシア占領下のクリミア半島でテロ行為を行った罪で親戚がロシア連邦保安庁に逮捕されたと伝える内容です。Talos は同じファイル名が付けられたドキュメントを 2 つ見つけましたが、異なるハッシュとして使用していました。ハッシュ値に基づいた比較的シンプルなアンチウイルス検出やハンティングを避ける目的があると考えられています。
d5d080a96b716e90ec74b1de5f42f26237ac959da9af7d09cce2548b5fc4473d(C2: http://word-expert[.]online:80/September/jtFqxxHzQAw.dot)および 36ed18f16e5d279ec11da50bd4f0024edc234cccbd8a21e76abcfc44e2d08ff2
ユーザが Word のテンプレート(dot)を開くとファイルが取得され、C2 の hxxp://email-smtp[.]online/sequence/hjnerkXCXrc.dot からロードされます。
このテンプレートファイルには VBA(VisualBasic for Applications)マクロが埋め込まれています(以下の画像を参照)。このマクロによって base64 でエンコードされた行がデコードされ、VisualBasic スクリプトファイルを作成するファイルに書き込まれた後、実行されます。
これがこのマルウェアの第 1 段階です。第 2 段階が実行されているかどうかを確認し、実行されていれば、第 2 段階に関連するすべてのプロセスを終了します。
最初のビーコンのリクエストには、被害者ホストの詳細が含まれています。ユーザエージェントは「Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.64」のようにスクリプトにハードコーディングされていて、末尾は「::computername_SystemDriveSerialNumber::/.invalid/」のような文字列になっています。システムドライブのシリアル番号は 16 進数形式です。
リクエストのパスは「/ingenious_」で始まります。システムで実行中のプロセスが見つかった場合は「_procexp」、「_wireshark」または「_tcpdump」が付加され、「/28.01/ivan.php」で終了します。
最初のリクエストが失敗すると、マルウェアはシステムに対して ping を実行し、リクエストを再送します。最終的に、スクリプトは 95 〜 154 秒間ランダムにスリープしてから、第 1 段階の C2 に再接続します。第 1 段階の C2 は、新しい第 2 段階のバイナリか、ゼロバイトで応答します。
この場合、仮に被害者が第 2 段階を検出したとしても、最初の偵察フェーズの時点ですでに多くの情報が盗まれています。
比較的使用頻度の少ない、トロイの木馬化されたインストーラを使用する手法
Gamaredon はトロイの木馬化されたアプリケーションも手口として採用しています。トロイの木馬が仕掛けられた Zoom インストーラを使用したキャンペーンは、2020 年 1 月 28 日に初めて確認されました。それまで、Gamaredon が Windows アプリケーションをトロイの木馬化して攻撃チェーンの一部を形成することは知られていませんでした。この時が最初だったはずです。以下の Cisco Secure Malware Analytics サンドボックスの実行から、この手口を確認することができます。インストーラを起動すると複数のプロセスが開始します。1 つのプロセスでマルウェア感染の第 1 段階が開始されます。別のプロセスは本物の Zoom インストーラです。
この第 1 段階は、最初に説明した手口と同じく、VBS を作成する Windows のバッチファイルです。このケースでは、VBS は C ドライブのシリアル番号のみを抽出します。再試行は行わず、スリープ時間もありません。VBS の作成後、スケジュール化されたタスクが作成されます。このタスクはスケジュールされてから 14 分後に開始し、14 分ごとに再実行されます。つまり、新しい第 2 段階でマルウェアに感染させる C2 への応答として、第 1 段階のビーコンが 14 分間隔で送信されるということです。
巨大なスクリプトファイルを使用してサンドボックスによる検出を回避
このキャンペーンは、最初に紹介したキャンペーンと、第 1 段階の C2 の登録に使用された電子メールに関係しています。このキャンペーンの C2 ドメインは「atlanticos.site」、電子メールは「macrobit@inbox[.]ru」で登録されています。詳細については、被害者についての考察のセクションを参照してください。この事例では、Gamaredon グループは 68 MB の VBS を作成し、サンドボックスによる検出の回避を図っています。スクリプトはコメントアウトされたランダムな文字列で構成されています。
コメントを削除すると、最初に紹介したスクリプトとほぼ同じスクリプトになります。第 1 段階では、システムドライブのシリアル番号の 16 進数表記が、実行可能ファイルの名前として使用されます。このファイルがすでに存在する場合は置き換えられます。最初の例とは異なり、このサンプルには C2 に接続するループがありません。タスクスケジューラなどの外部トリガーメカニズムが使用されると考えられます。このスクリプトでは合計 49,200 ミリ秒のスリープが設定されていますが、3 つの異なる実行ポイントに分割されているため、合計実行時間は 50 秒以下に短縮されます。また最初の例とは異なり、ここではシステムドライブの 16 進数でエンコードされたシリアル番号とコンピュータ名のみが抽出されます。
特定の IP を回避する事例
このキャンペーンは 2018 年に初めて確認されましたが、現在も続いています。Gamaredon がよく使用する手法であり、ダイナミックドメインが攻撃に使用されます。以下のタイムラインに示すように、2018 年以降活動期間と休眠期間を繰り返していますが、このキャンペーンで確認された 3 つのドメインは現在も有効です。
例としてダイナミック DNS ドメインである spr-d4.ddns[.]net を見てみましょう。このドメインは過去 3 年間に 3 つの異なる IP アドレス(195.62.53.158、185.248.100.104、142.93.110.250)を参照しています。最初の 2 つ(2018 〜 19 年)は ASN IPSERVER-RU-NET、最後の 1 つは米国の DIGITALOCEAN-ASN に属しています。このキャンペーンは 2019 年 6 月初旬に開始されたと考えられていますが、今もなお攻撃は続いています。
このキャンペーンのサンプルはバージョンによって異なりますが、使用されているコードはほとんど同じです。Gamaredon グループは、VBS や VBA ではなく Windows バッチ言語を使用して第 1 段階全体を構築します。トロイの木馬アプリケーションを使用した攻撃と同様、7-Zip の自己解凍機能を使用して第 1 段階全体を 1 つの実行可能ファイルに圧縮して起動させます。以下に示すように、特定の被害者を回避するための IP アドレスのリストを含むものとして Talos が確認できた唯一のキャンペーンです。
このリストには 1700 を超える IP アドレスが含まれていて、43 ヵ国に分散しています。Talos は同種の攻撃に使用されている複数のリストを見つけました。これらのリストは時間と IP アドレスが重複しています。IP セットが異なる 2 つのサンプルも見つかりました。サンプル A(db2fd….39af1)は 2018 年 4 月 21 日に初めて確認されました。これと同じサンプルが 2020 年 12 月 14 日に見つかっています。バージョンコードが変更されたため、ハッシュは「8babd…..efe06」に変更されています。ただし、コードと IP アドレスのリストは同じです。同種の攻撃で使用された別のサンプル(940ed…..e6dc0)が 2019 年に確認されました。コードはまったく同じではありませんでしたが非常に似通っていました。この IP のリストは 179 の IP アドレスを追加して更新されていました。その多くはドイツ国内の IP アドレスです。更新されたこの最新のリストが 2020 年の事例で使用されなかった理由ははっきりしていませんが、同時期に発生したキャンペーンの数を考えると、単なる手違いであったとしても意外ではありません。
まとめ
国家の支援を受ける攻撃者と APT グループは必ずしも同一ではありません。国家によって何らかの形で支援を受けている APT のことを国家支援の攻撃者と定義することはできますが、それだけで、すべての APT が国家の支援を受けているとは言えません。ハッキングをサービスとして提供する APT 攻撃者は必ずしも国家支援の攻撃者とはみなされません。特定の国家に結び付けることはできず、最も金払いの良い相手のために攻撃を実行するはずだからです。かと言って、APT と考えるべきではないということではありません。Gamaredon に見られるような特性を持ち、同様に振る舞う攻撃者の場合、こうした線引きはより曖昧になります。Gamaredon の主な関心はスパイ活動であり、クライムウェアの手法を利用して収益を得ることを目的としているような兆候は見当たりません。そのためクライムウェア犯罪組織の定義には当てはまらないはずですが、その動向は確かに APT ではなくクライムウェア犯罪組織に似ています。
Gamaredon はウクライナに非常に具体的な関心を持っていると Talos は 2013 年の発見当初から考えてきました。2013 年に確認されて以来、Gamaredon は常に活発なグループとして知られています。活動が発覚しても阻止に結びついていない事例です。ここに示した Talos の新たな発見から考察すると、ほぼクライムウェアに近い手法によって、非常に多様なレベルで標的を選んでいることがうかがえます。同グループはアフリカの主要銀行、米国の教育機関、欧州の通信事業者、ホスティングプロバイダーを標的にしてきました。Gamaredon は特定の被害者を狙っていると考えられていましたが、疑わしくなってきました。さまざまな攻撃対象が明らかになっており、それはここに挙げている標的にとどまりません。また、ウクライナだけを狙った手口ではなく、広範な手法が使用されています。
Gamaredon によって、APT 分類の第 2 層が存在する余地が示唆されています。クライムウェアが利用される状況をほぼ模倣し、より大規模な攻撃者グループに侵害サービスを提供する攻撃者の存在が考えられます。ログイン情報を収集して、その情報を他のクライムウェア組織に販売するグループも存在します。サービスとしてハッキングを行うグループも存在するでしょう。ただしこの場合、最も高い報酬を支払う相手のためではなく、おそらくは自らの目的に合致した特定の国家やグループにサービスを提供します。同時にこうしたグループは、利益を最大化するために最善を尽くします。ここで言う利益とは、サービスの提供手段である APT の「保護」という恩恵を受けることです。最後になりましたが、この第 2 層のカテゴリには巧妙とは言えない APT も含まれていて、作戦保全上の失敗や素人レベルのミスが原因で攻撃が露呈することがままあります。
Gamaredon や、これまでに説明した定義に当てはまるような他の攻撃者の現状に挑んでいくことは、全体として有益であると Talos は考えます。そうすることで、組織はリソースを集中させるべき脅威への理解を深めることができるでしょう。事実 Gamaredon は、悪名高いグループとして何の制約もなく活発な活動を維持しており、その影響は世界レベルに及んでいます。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Advanced Malware Protection(AMP)は、これらの攻撃者がマルウェアを実行できないようにするための最適な方法です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISR、Meraki MX
などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
IOC(侵入の痕跡)
この投稿を執筆する以前から、また執筆中にも、この攻撃者が使用しているドメインが多数特定されています。特定したドメインはこちらの txt ファイルに記載していますが、完全なリストだとは考えないでください。攻撃者は新しいドメインとペイロードを追加し続けています。
142.93.110.250 はシンクホールとして特定されています。
Snort SID:57194 ~ 57196
URL
hxxp://email-smtp[.]online/sequence/hjnerkXCXrc.dot
hxxp://inula[.]ru/HmGzHUg/vwEqNrh/index.html
ハッシュ
8babd686e005bad396b841bbe0399e5297771f68e1355f33ed0ab704b59efe06
db2fdaa59cc7c6bc7bed412ba5638bde7611a204e04e1b13c3e5435542839af1
940ed99abb8a1d9dd7269ebb27f34605bd715dcc45d75f17ad059139219e6dc0
36ed18f16e5d279ec11da50bd4f0024edc234cccbd8a21e76abcfc44e2d08ff2
81bdc709be19af44a1acc7c6289ed0212d214a7d0e5ffd4c35d3fa0b87401175
1ed5ddaa41046437ac9b6fe7b3719f89fd51c12b4b26c651876184613a018cdd
本稿は 2021 年 02 月 23 日に Talos Group
Tags:
