Transparent Tribe(別名 APT36、Mythic Leopard)は、正規の軍事組織や防衛組織に見せかけた偽装ドメインを立て続けに作成し、攻撃の中核に据えています。Cisco Talos が以前行った調査では、同グループが特に CrimsonRAT と関連していることを確認していました。しかし新たな攻撃では、ObliqueRAT を使用して Windows マルウェアの攻撃力を増強しようとしていることが明らかになっています。
Transparent Tribe の主な標的が軍と国防機関の職員であることに変わりはありません。ただし、外交関係者、防衛関連企業、研究機関、会議参加者を標的にするケースも徐々に増えており、攻撃対象を拡大していることがわかります。
Talos が最近同グループに関して実施した調査の中で、さまざまな攻撃で使用されている 2 種類のドメインが明らかになりました。インドの国防、行政機関に関連する正規の Web サイトに偽装したドメインと、コンテンツ ホスティング サイトを装った悪意のあるドメインです。これらのドメインは相互に連携し、CrimsonRAT と ObliqueRAT を配布する不正ドキュメントを配信します。
Talos の調査結果によれば、Transparent Tribe の戦術、手法、手順(TTP)は 2020 年以降ほとんど変更されていませんが、攻撃用のツールキットに新たな誘い込みの手口を導入し続けています。同グループが使用している不正ドキュメントの種類が多いことから、中心的な攻撃手段は今でもソーシャルエンジニアリングであることがわかります。
ホスティング インフラストラクチャ
悪意のあるドメインを登録するために Transparent Tribe が採用しているアプローチは 2 種類あります。1 つ目は、行政、国防、研究機関に属する正規のサイトに偽装したドメインの使用で、2 つ目はファイル共有 Web サイトに似せた悪意のあるドメインの使用です。
偽装ドメイン
Transparent Tribe に関する Talos の最新の調査では、同グループが国防関連の機関に偽装した悪意のあるドメインを攻撃のコアコンポーネントとして作成し続けていることが確認されています。直近の調査では、攻撃者が登録した偽装ドメイン clawsindia[.]com が見つかっています。このドメインは、インドに拠点を置く国家安全保障と軍事問題を扱うシンクタンク、Center For Land Warfare Studies(CLAWS)の Web サイトを偽装しています(CLAWS の正規のドメインは claws[.]in)。この悪意のあるドメイン clawsindia[.]com は、以前は 164[.]68[.]101[.]194 でホストされていました。この IP アドレスは CrimsonRAT のコマンドアンドコントロール(C2)サーバとして知られていたものです。CrimsonRAT は、Transparent Tribe 独自の .NET ベースのリモートアクセス型トロイの木馬(RAT)です。現時点では、攻撃者がこのドメインを多様な攻撃の一環としてどのように使用しているのか、あるいは使用するつもりなのかは確認できていません。しかし、同じ IP アドレスでホストされている mail[.]clawsindia[.]com というサブドメインも特定していることから、マルスパム攻撃の一環として使用しているものと推測されます。
以下は、CLAWS の「Chair of Excellence」に応募しようとする人を標的にした不正ドキュメントの 1 つです。CLAWS の公式文書では、「Chair of Excellence」とは戦略研究に多大な貢献をした人物に与えられる名誉ある称号だと説明されています。被害者は、sharingmymedia[.]com でホストされている埋め込み URL をクリックするよう促されます。このリンクをクリックすると ObliqueRAT がダウンロードされます。これは、2020 年に南アジアの組織を標的として実行された脅威アクティビティに関連して Talos が発見したトロイの木馬です。
不正ドキュメントが被害者に配信された方法を確認することはできていません。ただし過去の攻撃の手口と、今回見つかった標的型の攻撃から推測して、フィッシングメールの添付ファイルとして送信されたと考えられます。セキュリティ研究者は以前、Transparent Tribe が sharingmymedia[.]com を使用して、インドの軍・国防機関の職員を標的とした Android マルウェアをホストしていることを突き止めました。
図 1:称号授与候補者に向けた CLAWS からの通知に見せかける不正ドキュメント
ObliqueRAT を配布する不正ドキュメントの最初の感染ベクトルは確認できませんでしたが、過去の攻撃では、以前 CrimsonRAT の攻撃で見られたものと同じ感染チェーンが特定されています。以前のケースでは、攻撃者が標的に配信するフィッシングドキュメントに悪意のある VBA マクロが含まれていました。この VBA マクロが CrimsonRAT の実行ファイルまたは不正ドキュメントに組み込まれた ZIP アーカイブを抽出し、ディスクにインプラントをドロップしていました。その後、永続化メカニズムが確立され、最後に、感染したエンドポイントでペイロードを実行していました。
最近攻撃者は、CrimsonRAT の感染チェーンでは見られなかった手口を使用するようになっています。ObliqueRAT のフィッシングドキュメントをより本物らしく見せかけるためです。たとえば ObliqueRAT を利用する攻撃者は、マルウェアを不正ドキュメントに埋め込むのではなく、侵害された Web サイトで悪意のあるペイロードをホストするようになりました。2021 年初頭に確認された事例では、インド産業協会の正規の Web サイトである iiaonline[.]in で ObliqueRAT のアーティファクトがホストされていました。その後は手口を変え、インド亜大陸の正規の組織の Web サイトに偽装したサイトをホストするようになります。図 2 を見ると、攻撃者が悪意のある目的で使用するために HTTrack(無料の Web サイトコピープログラム)を使用して正規の Web サイトを複製したことがわかります。攻撃者はその後、この偽装 Web サイトを使用して ObliqueRAT の配布を行っています。しかも、正規の Web サイトとほぼ同じに見えるドメインで偽装 Web サイトをホストしているのです。これらの例から、Transparent Tribe がコア TTP としてソーシャルエンジニアリングを大いに活用していること、また、可能な限り本物らしく見せかけようと腐心していることがわかります。
図 2:2020 年 5 月 29 日に HTTrack を使用して複製後、偽装された Web サイト
CrimsonRAT の配布にグループが使用しているもう 1 つの偽装ドメインが 7thcpcupdates[.]info です。インドの公務員向けに給与情報と最新情報を提供する The 7th Central Pay Commission(CPC)の情報ポータルを偽装したこのドメインは、名前と電子メールアドレスを入力してサインアップし、いかにも重要そうに見える「給与と手当に関するガイド」をダウンロードするよう促します。
図 3:7thcpcupdates[.]info のランディングページ
情報を入力すると、ポータルからガイドをダウンロードするように促す画面が表示されます。[今すぐダウンロード(Download Now)] をクリックすると、悪意のある XLS ファイルが被害者のコンピュータにダウンロードされます。ファイルを開いてマクロを有効にすると、エンドポイントで CrimsonRAT が実行されます。
図 4:CrimsonRAT が埋め込まれた悪意のある XLS へのリンクが含まれている [今すぐダウンロード(Download Now)] ボタン
悪意のあるファイル共有ドメイン
Transparent Tribe は、正規のファイル共有サービスやメディア共有サービスに見せかけたドメインも定期的に登録しています。たとえばこれまでの攻撃では、drivestransfer[.]com、file-attachment[.]com、mediaclouds[.]live、emailhost[.]network などのドメインが使用されていました。上記の CLAWS の例では、攻撃者は sharingmymedia[.]com を使用して ObliqueRAT をホストしていました(その他のドメインは IOC セクションに記載しています)。こうしたドメインに関連する感染チェーンは、これまでに説明した感染チェーンに似ています。ソーシャルエンジニアリングを使用し、被害者に偽装サイトでホストされているマルウェアをダウンロードして開くよう促します。
図 5:emailhost[.]network でホストされていた悪意のあるマクロを含む不正な XLS ドキュメントの例
誘い込みの手口と攻撃対象
Transparent Tribe は、さまざまな不正ドキュメントを誘い込みの手口として使っており、徐々に進化させてきています。履歴書に見せかけるなどの一般的な手口は、2019 年初頭から利用しています。2019 年から 2020 年にかけてはハニートラップを仕掛けるようになりました。女性の写真のように見せかけて、ZIP アーカイブや不正ドキュメントを開かせようとする手口です。2020 年半ばには、再び主に軍事関連文書を装った不正ドキュメントを配布するようになりました。これらの不正ドキュメントは、以前の攻撃で見られたような話題性のあるニュースに便乗しているものではなく、インド軍の兵站や作戦に関する文書を装っています。
なお、Transparent Tribe の攻撃対象はインドだけにとどまりません。2019 年半ばのある攻撃では、イラン外務省(MOFA)を装った不正ドキュメントを使用して CrimsonRAT を配布していました。その後、2020 年半ばから後半にかけては、パキスタンのイスラマバードにある英国高等弁務官事務所に関連があるように装った RAR アーカイブを使用していました。このとき標的となったのは外交機関でした。また 2020 年半ばには、会議参加者を標的とした最初の例が確認されています。アフガニスタンの会議のアジェンダに見せかけた CrimsonRAT 配布用の不正ドキュメントを使用するという手口でした。ただ今年の初めからは、インド政府主催の会議資料を装う誘い込みの手口を使用する例が増えています。
国防関連文書を装った誘い込みの手口
Transparent Tribe はこれまで、インドの軍・行政機関の職員を標的として、軍事・国防関連文書を装ったフィッシングメールや不正ドキュメントを使用してきました。同様のケースの 1 つとして、新型コロナウイルスのパンデミックに便乗し、国防機関の職員を攻撃の標的とした例が確認されています。
図 6:国防機関職員を標的とする Transparent Tribe のスピアフィッシングメール
マクロが組み込まれたこの XLS 不正ドキュメントは、新型コロナウイルスに関する一般的なヘルスアドバイザリを装っています。過去のレポートで報告されているように、この手口は、Transparent Tribe が新型コロナウイルス関連の公式アプリケーションとコンテンツを使用して Android マルウェアを配布したケースと同様です。
図 7:添付された悪意のある XLS マクロ
図 8 に示すように、東南アジア各国のインド大使館に所属するインドの国防アドバイザーを標的にした誘い込みの手口も存在します。
図 8:国防アドバイザーを狙ったスピアフィッシングメール
この誘い込み用の不正ドキュメントの内容は、College of Defense Management(CDM)の視察対象国のリストです。
図 9:CDM の視察先リストを装った不正ドキュメント
会議参加者
Transparent Tribe は、特定の会議の参加者も標的とするようになっています。図 10 に示したのは、2020 年の攻撃で CrimsonRAT の配布に使用された不正ドキュメントの一部です。悪意のある XLS には、Heart of Asia Society(HAS)が開催した「アフガニスタンの平和構築:アフガニスタンの平和のための地域的・国際的支援」という対話シリーズのアジェンダが含まれていました。
図 10:2020 年に HAS が開催した対話シリーズのアジェンダを装った不正ドキュメント
外交関係文書を装った不正ドキュメント
イラン関連の情報を扱った誘い込み用の不正ドキュメントを使用して CrimsonRAT を配布したケースもあります。米国がイラン革命警備隊(IRGC)を外国テロ組織(FTO)に指定したことを受けたイラン外務省のメモだということでした。攻撃の標的は特定できていません。
図 11:イラン外務省のメモを装った不正ドキュメント
イスラマバードの英国高等弁務官事務所を装って CrimsonRAT を使用する、悪意のある ZIP アーカイブも確認しています。
図 12:英国高等弁務官事務所に関連すると思わせるファイル名が付いた CrimsonRAT を含む悪意のあるアーカイブ
ハニートラップ
Transparent Tribe は、エンドポイントで悪意のあるコンテンツを実行させるため、俗にハニートラップと呼ばれる誘惑的なドキュメントとファイル名をこれまでずっと使用してきています。具体的には、履歴書や、誘惑的なコンテンツを含んでいると見せかけた ZIP 形式や RAR 形式のアーカイブを使用して CrimsonRAT を配布した例が確認されています。
図 13:Transparent Tribe がよく使用してきたハニートラップ型の不正ドキュメントの 1 つ
ハニートラップのほか、さまざまな題材を扱った CrimsonRAT 実行ファイルを含む悪意のあるアーカイブも配信しています。アーカイブ内の悪意のある実行ファイルを開かせるよう、ハニートラップ用のアイコンが使われている例もありました。
図 14:2019 年以降に使用されていた露骨なアイコンの CrimsonRAT の実行ファイル
まとめ
Transparent Tribe は、Windows インプラントを広めるため、不正ドキュメントを大いに活用しています。CrimsonRAT は今も同グループが主に使用している Windows インプラントです。しかし、2020 年初頭に ObliqueRAT が開発・配布されたことから、このグループが Windows マルウェアの攻撃力を急速に増強していることがわかります。こうしたインプラントを拡散するために使用されている誘い込み用の電子メールや不正ドキュメントは、会議のアジェンダ、ハニートラップ、外交関係など、さまざまな題材を扱っています。ただし、同グループの攻撃で一貫して使用されてきたのは、偽の履歴書と軍事関連の文書に見せかけた不正ドキュメントの 2 つです。このことから、引き続きインド亜大陸の国防機関職員を標的にしていると考えられます。Transparent Tribe は、一般的なコンテンツ ホスティング ドメインと、正規の国防機関関連の Web サイトを装った悪意のあるドメインを使用しています。このことは、侵害された Web サイトを使用して悪意のあるアーティファクトをホストする手口とともに、同グループがより本物らしく見せるために TTP を進化させていることを明らかに示しています。
カバレッジ
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Cisco Secure Endpoint(旧 AMP for Endpoints) は、この記事で説明したマルウェアの実行を阻止するのに最適です。こちら から AMP を無料でお試しいただけます。
Cisco Secure Email は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、
Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザがアクセスする前に疑わしいサイトをテストします。
特定の環境および脅威データに対する追加の保護機能は、Cisco Secure Firewall Management Center から入手できます。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
この脅威を検出するため、SID 57551 ~ 57562 がリリースされています。
Cisco Secure Endpoint(AMP)ユーザは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが ObliqueRAT などの脅威に感染しているかどうかを確認できます。類似の脅威に対応する OSquery の具体例については、こちらとこちらをクリックしてください。
IOC(侵入の痕跡)
IOC の完全なリストについては、こちらを参照してください。
悪意のあるドメイン
特定の組織や機関を偽装したドメイン:
- clawsindia[.]com
- mail[.]clawsindia[.]com
- larsentobro[.]com
- millitarytocorp[.]com
- 7thcpcupdates[.]info
- india[.]gov[.]in[.]attachments[.]downloads[.]7thcpcupdates[.]info
- email[.]gov[.]in[.]attachment[.]drive[.]servicesmail[.]site
- tprlink[.]com
- armypostalservice[.]com
- isroddp[.]com
- mail[.]isroddp[.]com
- pmayindia[.]com
- mailer[.]pmayindia[.]com
- mailout[.]pmayindia[.]com
- email[.]gov[.]in[.]maildrive[.]email
一般的なサイトの偽装ドメイン:
- urservices[.]net
- drivestransfer[.]com
- emailhost[.]network
- mediaclouds[.]live
- mediabox[.]live
- mediafiles[.]live
- mediaflix[.]net
- mediadrive[.]cc
- hostflix[.]live
- shareflix[.]co
- studioflix[.]net
- medialinks[.]cc
- medialinks[.]cc
- servicesmail[.]site
- filelinks[.]live
- file-attachment[.]com
- mediashare[.]cc
- shareone[.]live
- cloudsbox[.]net
- filestudios[.]net
- datacyncorize[.]com
- templatesmanagersync[.]info
- digiphotostudio[.]live
- onedrives[.]cc
- sharingmymedia[.]com
- awsyscloud[.]com
- shareboxs[.]net
- sharemydrives[.]com
- myftp[.]org
- duckdns[.]org
- duckdns[.]org
- duckdns[.]org
- contaboserver.net
- contaboserver.net
- duckdns[.]org
- micrsoft[.]ddns.net
URL
- hxxp://drivestransfer[.]com/files/Officers-Posting-2021.doc
- hxxp://drivestransfer[.]com/files/Special-Services-Allowance-Armd-Forces.xlam
- hxxp://drivestransfer[.]com/myfiles/Dinner%20Invitation.doc/win10/Dinner%20Invitation.doc
- hxxp://drivestransfer[.]com/files/Officers-Posting-2021.doc
- hxxp://drivestransfer[.]com/files/Parade-2021.xlam
- hxxp://drivestransfer[.]com/files/Age-Review-of-Armd-Forces.doc
- hxxp://drivestransfer[.]com/files/My-Resume-Detail.doc
- hxxps://emailhost[.]network/National-Conference-2021
- hxxp://mediaclouds[.]live/files/cnics.zip
- hxxp://mediaclouds[.]live/files/attachment.zip
- hxxp://mediabox[.]live/anita-resume4
- hxxp://mediabox[.]live/files/nisha-resume-2020.zip
- hxxp://mediafiles[.]live/files/my%20fldr%20for%20u%20diensh.zip
- hxxp://mediafiles[.]live/files/for%20u%20krishna%20my%20pic%20and%20video%20fldr.zip
- hxxp://mediafiles[.]live/files/khushi%20pics%20all.zip
- hxxps://mediafiles[.]live/aditii
- hxxps://mediaflix[.]net/BHC-PR
- hxxp://mediaflix[.]live/files/skype-lite.apk
- hxxp://mediadrive[.]cc/?a=W1549544649I
- hxxp://mediadrive[.]cc/?a=W1550558721I&fbclid=IwAR1PzHnHCOjDqfpqaBqxnY4o1xMX6ibdgXAComUmJuHFYHgtCBHFq5NlYug
- hxxp://hostflix[.]live/files/my_new_pic.zip
- hxxp://shareflix[.]co/files/lkgame.apk
- hxxp://shareflix[.]co/larmina-circulum-vetae-complete-2020
- hxxps://studioflix[.]net/my-social
- hxxp://social.medialinks[.]cc/files/scan0001.rar
- hxxp://social.medialinks[.]cc/Case-Detail
- hxxp://social.medialinks[.]cc/my-100-pics
- hxxp://social.medialinks[.]cc/files/hot_song.rar
- hxxp://email.gov.in.attachment.drive.servicesmail[.]site/files/Co ast%20Guard%20HQ%2010.rar
- hxxps://email.gov.in.attachment.drive.servicesmail[.]site/New-Projects-List
- hxxp://filelinks[.]live/files/Note%20Verbal.doc
- hxxp://filelinks[.]live/Details-and-Invitations
- hxxp://file-attachment[.]com/files/fauji%20india%20september%202019.xls
- hxxp://file-attachment[.]com/files/pfp-73rd%20independence%20day%20gallantry%20awards%20.xls
- hxxp://mediashare[.]cc/?a=W1551315913I
- hxxps://shareone[.]live/New-sonam-cv1
- hxxp://cloudsbox[.]net/files/new%20cv.zip
- hxxp://cloudsbox[.]net/files/new%20preet%20cv.zip
- hxxp://cloudsbox[.]net/files/preet.doc
- hxxp://cloudsbox[.]net/files/sonam%20karwati.zip
- hxxp://cloudsbox[.]net/files/nisha%20arora%20sharma.zip
- hxxp://cloudsbox[.]net/files/cv%20ssss.zip
- hxxp://cloudsbox[.]net/files/sonamkarwati.exe
- hxxps://cloudsbox[.]net/files/sonam
- hxxps://cloudsbox[.]net/My-Pic
- hxxp://cloudsbox[.]net/files/sonam%20karwati.exe
- hxxp://cloudsbox[.]net/files/sonam
- hxxps://cloudsbox[.]net/sonam-karwati5
- hxxp://cloudsbox[.]net/sonam11
- hxxps://cloudsbox[.]net/sonam11
- hxxp://filestudios[.]net/files/Nisha%20Doc.doc
- hxxp://filestudios[.]net/
- hxxps://filestudios[.]net/Sunita-Singh1.html
- hxxp://filestudios[.]net/files/sonam%20cv.zip
- hxxp://templatesmanagersync[.]info/essa.dotm
- hxxp://10feeds[.]com/temp.dotm
- hxxp://datacyncorize[.]com/
- hxxps://datacyncorize[.]com/
- hxxps://datacyncorize[.]com/INDISEM-2021.ppt
- hxxps://datacyncorize[.]com/INDISEM-2021(INDISEM-2021.ppt)
- hxxps://datacyncorize[.]com/
- hxxps://datacyncorize[.]com/INDISEM-2021
- hxxps://datacyncorize[.]com/INDISEM-2021(INDISEM-2021.ppt
- hxxps://datacyncorize[.]com/NDC-Updates
- hxxp://sharingmymedia[.]com/recordsdata/Standards-of-Military-Officers.doc
- hxxps://sharingmymedia[.]com/files/1More-details.doc
- hxxp://sharingmymedia[.]com/files/Criteria-of-Army-Officers.doc
- hxxp://sharingmymedia[.]com/files/7All-Selected-list.xls
- hxxps://sharingmymedia[.]com/files/More-details.docm
- hxxps://sharingmymedia[.]com/myfiles/Immediate%20Message.docm/Unknown%20OS%20Platform/Immediate%20Message.docm
- hxxps://7thcpcupdates[.]info/downloads/7thPayMatrix.xls
- hxxp://armypostalservice[.]com/myfiles/file.doc/win7/file.doc
- hxxp://isroddp[.]com/rEmt1t_pE7o_pe0Ry/hipto.php
- hxxp://newsupdates.myftp[.]org/lee/vbc.exe
IP アドレス
- 23[.]254.119.11
- 64[.]188.12.126
- 64[.]188.25.232
- 75[.]119.139.169
- 95[.]168.176.141
- 107[.]175.64.209
- 107[.]175.64.251
- 151[.]106.14.125
- 151[.]106.19.218
- 151[.]106.56.32
- 162[.]218.122.126
- 164[.]68.101.194
- 167[.]114.138.12
- 167[.]160.166.177
- 173[.]212.192.229
- 173[.]212.226.184
- 173[.]212.228.121
- 173[.]249.14.104
- 173[.]249.50.57
- 176[.]107.177.54
- 178[.]132.3.230
- 181[.]215.47.169
- 185[.]117.73.222
- 185[.]136.161.124
- 185[.]136.163.197
- 185[.]136.169.155
- 185[.]174.102.105
- 185[.]183.98.182
- 192[.]99.241.4
- 193[.]111.154.75
- 198[.]46.177.73
- 198[.]54.119.174
- 206[.]81.26.164
- 207[.]154.248.69
- 209[.]127.16.126
- 212[.]8.240.221
- 216[.]176.190.98
本稿は 2021 年 05 月 13 日に Talos Group のブログに投稿された「Transparent Tribe APT expands its Windows malware arsenal」の抄訳です。