概要
Cisco Talos で追跡中の高度な脅威グループが、2016 年以降、韓国や日本に対してサイバー攻撃を行っています。このグループは、Tick、Redbaldknight、Bronze Butler といった数種類の名前で呼ばれています。
各キャンペーンではカスタム ツールが使用されていますが、Talos は、攻撃者のインフラストラクチャの使用方法でいくつかのパターンが繰り返されているのを確認しています。ハイジャックしたコマンド アンド コントロール(C2)ドメインが重複していることや、異なるキャンペーンで C2 が同じ IP アドレスに解決されることなどです。これらのインフラストラクチャのパターンは、Datper、xxmm バックドア、Emdivi マルウェア ファミリに類似点があることを示しています。この記事では、これらの類似点を詳細に確認し、この攻撃者が利用している方法について考察します。
はじめに
「Tick」、「Bronze Butler」、「Redbaldknight」と呼ばれる APT(高度持続的脅威)攻撃者は、2016 年以来、日本や韓国などの東アジアの国々に対して、スパイ活動を実施しています(1)。Talos が分析した最近のキャンペーンでは、「Datper」と呼ばれるマルウェア ファミリに属しているいくつかのサンプルで、侵害された韓国や日本の Web サイトが C2 サーバとして使用されていました。「Datper」は、侵害したマシンでシェル コマンドを実行し、ホスト名やドライブ情報を取得することができます。Talos は、Datper、xxmm バックドア、Emdivi マルウェア ファミリの間でインフラストラクチャが共有され、つながっている可能性があることに気づきました。これらのマルウェア ファミリはそれぞれ、この攻撃者が上記 3 つの別名のうち 1 つを名乗って発生させたものです。
Talos チームは、VirusTotal からこの Datper の亜種を取得しました。Delphi コードで書かれたサンプルは、2018 年 7 月末にかけて送信されました。正確な攻撃ベクトルはわかっていませんが、攻撃者は、正当ながら脆弱性が存在する韓国のランドリー サービスの Web サイトを C2 のホストとして選択したように思われます(以下参照)。
Datper の C2 ホストとして使用された正当な韓国のランドリー サイト
この Web サイト(whitepia[.]co.kr)は、SSL 暗号化も証明書も使用していません。具体的には、次の URL が C2 通信に使用されました。
hxxp://whitepia [.]co [.]kr/bbs/include/JavaScript.php
Datper の亜種が実行されると、「gyusbaihysezhrj」というミューテックス オブジェクトが作成され、侵害されたマシンから、システム情報やキーボード レイアウトなどの情報が取得されます。その後、このサンプルは、上記の C2 サーバに対する HTTP GET リクエストを発行しようとします。このドキュメントの執筆時点では、IP アドレス 111[.]92[.]189[.]19. に解決されています。
このリクエストの例を以下に示します。
GET /bbs/include/JavaScript.php?ycmt=de4fd712fa7e104f1apvdogtw HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: whitepia[.]co.kr
Cache-Control: no-cache
残念ながら今回の調査の時点ではこの C2 サーバが利用できなかったため、C2 通信を詳細に調べることはできませんでした。ただし、以前 2017 年に実施されたキャンペーンは分析できていました。このキャンペーンでは、今回のファミリに類似したサンプルが採用されていました。わずかに違っていたのは、使用されていたミュー テックスが「d4fy3ykdk2ddssr」だったということです。以下の図のサンプルは、いずれも 2017 年のキャンペーンに関連したものであり、ミューテックス オブジェクト「d4fy3ykdk2ddssr」を実装しています。その目的はおそらく、実行中に他のプロセスからアクセスされないようにするためだったと考えられます。
2017 年のキャンペーンにおける C2 通信の構造
このキャンペーンの背後にいる攻撃者は、主に韓国や日本に C2 インフラストラクチャを導入して管理していました。Talos は、攻撃者が定期的に C2 インフラストラクチャを変更していたのを確認しています。攻撃者が韓国や日本の脆弱な Web サイトを特定して侵入していた形跡があります。whitepia[.]co[.]kr の他にも、Web サイトを侵害して C2 サーバとして使用していた別の例が確認されています。マルウェアのサンプルは、ドライブバイ ダウンロードや水飲み場型攻撃などの Web ベースの攻撃を使用して配信されている可能性があります。さらに Talos では、C2 サーバとして使用されているホストを特定しましたが、このサーバは、侵害された Web サイトには接続されていない可能性があります。このことから、当初は合法的に取得した(および購入した可能性がある)ホストに C2 サーバ インフラストラクチャが導入されていた可能性が示唆されます。
侵害され C2 ドメインとして使用された Web サイトが重複していることは、「xxmm バックドア」(別名「Murim」または「Wrim」)と呼ばれるもう 1 つのマルウェア ファミリとの関連を示しています。これは、追加のマルウェアのインストールを可能にするマルウェア ファミリです。xxmm バックドアと Datper の GET リクエストの URI パスは以下に示すように類似しています。
xxmm バックドア:?hxxp://www.amamihanahana.com/diary/archives/a_/2/index.php
Datper:hxxp://www.amamihanahana.com/contact/contact_php/jcode/set.html
これまでの調査結果に基づいて考えると、2016 年以降どちらのツールも、日本にある同じ Web サイトを C2 インフラストラクチャとして使用しています。
上の図の右側にある xxmm のサンプルのハッシュは、397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25(2)となっています。
サンプルから抽出された PDB デバッグ シンボルのパスを以下に示します。
C:\Users\123\Documents\Visual Studio2010\Projects\shadowWalker\Release\BypassUacDll.pdb
C:\Users\123\Documents\Visual Studio2010\Projects\shadowWalker\Release\loadSetup.pdb
C:\Users\123\documents\visual studio 2010\Projects\xxmm2\Release\test2.pdb
C:\Users\123\Desktop\xxmm3\x64\Release\ReflectivLoader.pdb
Datper と xxmm バックドアとの関係のほか、2018 年 3 月にコンパイルされた最近の Datper の亜種で、IP アドレス 211[.]13[.]196[.]164 に解決される正当な Web サイトが C2 として使用されていました。この同じ IP アドレスが、Emdivi マルウェア ファミリでも C2 インフラストラクチャとして使用されていました。Emdivi は、侵害したマシン上でバックドアを開くトロイの木馬で、「Blue termite」というキャンペーンの背後にいる攻撃者が発生源となっていました(3)。
2018 年の Datper および Emdivi キャンペーンの構造
さらに、Datper と Emdivi で使用されていたドメインのリソース レコード(RR)に対するパッシブ DNS ルックアップ データから、この IP アドレスが両方のマルウェア ファミリで使用されていたことが示唆されます。
Datper のリソース レコード
Emdivi のリソース レコード
まとめ
この攻撃に関する Talos の調査から、Datper、xxmm バックドア、Emdivi マルウェア ファミリの間には共通点があることがわかりました。具体的には、これらのマルウェア ファミリでは、攻撃に利用される C2 インフラストラクチャが共通しています。これらの攻撃で使用された C2 ドメインの一部は、ハイジャックされた正当な韓国および日本のホストに解決されており、攻撃者によって購入されていた可能性もあります。これらのマルウェア ファミリを利用した攻撃が成功すると、侵害されたマシンでシェル コマンドが実行され、機密情報の漏洩につながる可能性があります。シスコのセキュリティ製品は、以下のようなさまざまな方法でお客様を保護します。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
シスコクラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
IOC:
ハッシュ
Datper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 バックドア
397a5e9dc469ff316c2942ba4b503ff9784f2e84e37ce5d234a87762e0077e25
Emdivi
9b8c1830a3b278c2eccb536b5abd39d4033badca2138721d420ab41bb60d8fd2
1df4678d7210a339acf5eb786b4f7f1b31c079365bb99ab8028018fa0e849f2e
C2 通信に使用された IP アドレス
202[.]218[.]32[.]135
202[.]191[.]118[.]191
110[.]45[.]203[.]133
61[.]106[.]60[.]47
52[.]84[.]186[.]239
111[.]92[.]189[.]19
211[.]13[.]196[.]164
悪意のある IP アドレスに解決される C2 サーバ
hxxp://www.oonumaboat[.]com/cx/index.php
hxxp://www.houeikai[.]or.jp/images/ko-ho.gif
hxxp://www.amamihanahana[.]com/contact/contact_php/jcode/set.html
hxxp://www.amamihanahana[.]com/diary/archives/a_/2/index.php
hxxp://rbb.gol-unkai4[.]com/common/include/index-visual/index.htm
hxxp://www.whitepia[.]co.kr/bbs/include/JavaScript.php
hxxp://www.adc-home[.]com/28732.html
hxxp://www.sakuranorei[.]com.com/blog/index.php
本稿は 2018年10月18日に Talos Group のブログに投稿された「Tracking Tick Through Recent Campaigns Targeting East Asia」の抄訳です。