脅威リサーチ

過熱する新型コロナウイルス(COVID-19)報道を悪用した攻撃の増加

投稿者 Val Saengphaibul および Fred Gutierrez | 2020年3月18日

FortiGuard Labsによる脅威分析レポート

2020年第1四半期、24時間のニュースサイクルでは世界中のほとんどを新型コロナウイルス(COVID-19)の感染に関するニュースが占めています。世界の政府首脳、科学者、医療専門家が、これは単なる流行ではなく、パンデミック危機になる可能性があることを示唆しています。世界中の人々がグローバルな緊急事態に釘付けとなり、正規の情報やニュースとソーシャルメディアで拡散されている噂や素人の話を同じように受け止めていますが、攻撃者はこのような状況が攻撃の絶好の機会であることをよく知っています。

標的が個人であれ組織であれ、最も簡単かつ迅速に付け込むことができる方法は、ソーシャルエンジニアリング攻撃です。ソーシャルエンジニアリングは、最速で攻撃を開始できるうえに、非常に高い収益率も見込めます。特に最近は、セキュリティベンダーが脆弱性パッチをタイムリーに適用する事によって、対応時間の短縮とセキュリティ態勢の改善を実現してきています。この事によってドライブバイダウンロードの有効性が低下するため、ソーシャルエンジニアリング攻撃を使用する傾向が高まっています。また、ソーシャルエンジニアリング攻撃が特に魅力的である理由として、どのような技術的セキュリティ対策が導入されていたとしても、セキュリティシステムで最も脆弱な部分は付け込まれやすい人間の心理そのものであることが挙げられます。

コロナウイルス関連の脅威活動

FortiGuard Labsは過去数週間にわたり、コロナウイルスに関連して正規の活動および悪意のある活動の両方が大幅に増加していることを確認しています。人事部からの注意書きが添付された無害なメールもあれば、マスクや手袋などの感染防止グッズを販売している会社からのもので、最初は疑わしいリンクを含んでいると思われましたが実際は無害なメールもありました。

そして、フォーティネットや他の脅威研究チームは、コロナウイルス流行の話題を利用した悪意のある攻撃についての報告書を作成しました。OSINTのチャネルを介して発見された脅威からは、さまざまなタイプがあることが分かってきました。たとえば、政府機関、報道機関などの信頼できる情報源から公開された、報告書に見えるが実際には悪意のあるものなどが確認されています。なお、新型コロナウイルスの感染は世界的に広がっているため、現在確認できているのは観測可能な攻撃のごく一部であること、そして、確認された脅威のほとんどが英語または主にヨーロッパ諸国で使用されるASCII(ISO-8859)文字を使用した言語であることにも留意する必要があります。

この問題は非常に深刻化してきているため、世界保健機関(WHO)は最近、Beware of criminals pretending to be WHO(WHOの名を騙る犯罪者にご注意ください)というタイトルの声明をWebサイトで公開しました。また国連も、そのような詐欺への警戒を呼びかける新たな勧告を2月29日に発表しています。

 

攻撃の第一波

ニュースサイクルが加速し続けている現在、フィッシング攻撃やSMSフィッシング攻撃から本ブログに掲載できないほど数多くのその他の攻撃まで、さまざまな攻撃が報告されています。本ブログでは、比較的よく知られている攻撃者とその攻撃キャンペーンを取り上げ、専門家までもがこの狂乱に一役買っている現状を浮き彫りにしていきます。

1月末に複数のセキュリティベンダーから報告されたEmotetは、拡散するためにコロナウイルスの恐怖を利用した最初の攻撃の1つでした。Emotet以外にも、セキュリティ研究チーム@issuemakerslabによって発見された最近の攻撃には、BABYSHARK(北朝鮮)の背後にいる攻撃者が韓国語で書いた悪意のあるWord文書などがあります(下図参照)。

図1:@issuemakerslabが投稿したツイート

また、セキュリティ研究者@RedDrip7は、ソーシャルエンジニアリングを使ってウクライナの公衆衛生センターを騙った攻撃や、WHOのマークを真似してユーザーを騙し、バックドアが組み込まれた悪意のあるWordファイルを開かせようとする攻撃を発見しました(下図参照)。

図2:@RedDrip7によるツイート

イタリアを標的にした攻撃

フォーティネットによる調査の過程で、イタリアを標的としたコロナウイルスをテーマにしたスピアフィッシング攻撃が最近検知されました。イタリア語で書かれた電子メールは、受信者に添付文書を開かせようとします。この文書には添付ファイル名が複数ありますが、すべて同じ命名法に基づいています(f216785352XX.doc)。

名前:f21678535239.doc
サイズ:544266 バイト(531 KiB)
SHA256:8EB57A3B520881B1F3FD0073491DA6C50B7284DD8E66099C172D80BA33A5032

実環境で確認された別の亜種:

名前:f21678535350.doc
サイズ:544266 バイト(531 KiB)
SHA256:3461B78384C000E3396589280A34D871C1DE3AE266334412202D4A6A85D02439

図3:WHOのマークを使い、イタリアを標的にした攻撃の例

“Dear Lord/Lady,

Due to the fact that cases of coronavirus infection are documented in your area, the World Health Organization has prepared a document that includes all necessary precautions against coronavirus infection. We strongly recommend that you read the document attached to this message!

Sincerely

Dr. Penelope Marchetti (World Health Organization – Italy)”

皆様、

コロナウイルス感染の事例がお住まいの地域で確認されていることを受け、世界保健機関はコロナウイルス感染に対して講じるべきすべての予防策を文書にしました。このメッセージに添付した文書をお読みいただくことを強くお勧めします!

敬具

ペネロペ・マルケッティ博士(世界保健機関-イタリア)」

このレターは、受信者がいる地域でコロナウイルスの症例が確認されていること、そして添付ファイルを至急開いて詳しいアドバイスを確認する必要があることを示唆しています。添付のWord文書は、馴染みのあるMicrosoft Wordのトレードカラー(青色)を使用して公式のテンプレートを装ったマクロを、ユーザーに有効化させようとするものです(下図参照)。

図4:マクロが組み込まれた悪意のあるWord文書

受信者が添付ファイルを開くと、このファイルは次のURIに接続します。

45.128.134.14
insiderppe.cloudapp.net

図5:使用されるマクロの一覧
図6:ファイル名を示すIOCの例

ただし、この文書には、9000行を超える難読化されたJavaScriptが埋め込まれています。

図7:難読化された9000行のコードのJavaScript

詳細な分析の結果、この攻撃で使用されているファイルの名前、手法、およびネットワークIOCを考えると、Trickbotの攻撃者によるものである可能性が高いようです。

信頼されている商標を使用したもう1つの攻撃

別の攻撃では、受信者に信頼させて添付ファイルを開かせるため、FedExの商標がおとりとして使われています。添付ファイルはPDFのように見えますが、圧縮ファイルです。しかし、このファイルを解凍すると、PDFではなく実行ファイルであることがわかります。

ファイル名:Customer Advisory.PDF.exe
サイズ:838144 バイト(818 KiB)
SHA256:906EFF4AC2F5244A59CC5E318469F2894F8CED406F1E0E48E964F90D1FF9FD88

図8.FedExの商標を悪用したスピアフィッシングメール

ユーザーが実行ファイルを実行すると、次のURIにデータを流出させる情報窃盗マルウェアLokibotに感染します。

kbfvzoboss.bid/alien/fre.php

減災策

FortiGuard Labsは、すべてのAVシグネチャとIPSシグネチャを継続的に更新すること、ならびにベンダーのアップデートが公開されたタイミングでプロアクティブにパッチを適用する習慣を維持することを推奨します。パッチの適用が不可能であると判断される場合は、環境への追加の減災策を決定する目的でリスク評価を実施することをお勧めします。

その間実行できることとして、継続的なトレーニングセッションを実施し、最新のフィッシング / スピアフィッシング攻撃について従業員を教育して、情報を提供することをお勧めします。また、知らない人から送信された添付ファイルは絶対に開かないこと、および、心当たりのない / 信頼できない送信者からのメールは常に慎重に扱うことを従業員に呼び掛ける必要があります。

初期アクセスの制限:FortiMailまたはその他のセキュアメールゲートウェイソリューションを使用することで、このブログで概説したような特定のファイルタイプをブロックできます。FortiMailは、オンプレミスまたはクラウドのいずれかでFortiSandboxソリューション(ATP)に添付ファイルを送信して、ファイルが悪意のある動作をするかどうかを判定するようにも構成できます。有効なサブスクリプションと併せてアンチウイルスが有効になっているFortiGateファイアウォールもまた、適切に設定されていれば、この脅威を検出およびブロックできます。

教育とトレーニングの実施:この脅威はソーシャルエンジニアリングを用いた拡散メカニズムで配信されることが報告されています。したがって、ソーシャルエンジニアリングを介して配信されるさまざまな種類の攻撃に対する組織内エンドユーザーの認識を高めることが重要です。そのためには、組織内での定期的なトレーニングセッションと、セキュリティ部門が事前作成したテンプレートを使用した抜き打ちテストを実施します。悪意のある添付ファイルやリンクを含んだメールの特定方法をユーザーに教えるセキュリティ意識向上トレーニングを実施することで、ネットワークへの初期アクセスを阻止できる可能性があります。

フォーティネットのソリューション:意識向上トレーニングが功を奏さず、ユーザーが悪意のある添付ファイルまたはリンクを開いてしまった場合には、最新のウイルスシグネチャを実行しているFortiClientが、問題のファイルとその関連ファイルを検出してブロックします。レポートで強調表示されているファイルは現在、次のシグネチャで検出されています。

ファイル名:f21678535239.doc
[SHA 256:8eb57a3b520881b1f3fd0073491da6c50b7284dd8e66099c172d80ba33a5032f]
検出名:VBA/Agent.BLN!tr

ファイル名:f21678535350.doc
[SHA 256:8eb57a3b520881b1f3fd0073491da6c50b7284dd8e66099c172d80ba33a5032f]
検出名:VBA/Agent.BLN!tr

ファイル名:Customer Advisory.PDF.exe
[SHA256:906EFF4AC2F5244A59CC5E318469F2894F8CED406F1E0E48E964F90D1FF9FD88]
検出名:W32/Agent.AJFK!tr

情報流出とC&C:すべての出入口に配備されたFortiGateのWebフィルタリングサービスが有効でシグネチャが最新のものである場合、またボットネットセキュリティが有効になっている場合、正しく構成されている観測可能なアウトバウンド接続を検出してブロックします。

攻撃の高度化が進むにつれて、セキュリティ対策を回避できる場合があることに留意してください。このため、多層型のセキュリティ戦略に加えて、悪意があると疑われる異常な活動を検出する機能が必要です。

最後に、フォーティネットのEnterprise Bundleは、この攻撃および同様の攻撃に対処します。Enterprise Protectionには、IoTデバイスを含むエンドポイントからクラウドまでのあらゆるサイバー攻撃チャネルからの保護と防御に必要なすべてのサイバーセキュリティサービスが統合されています。これにより、今日の高度な脅威に立ち向かい、困難なリスク、コンプライアンス、管理、可視化、運用セキュリティ(OT)への懸念事項に対処する上で欠かせない統合型防御機能を提供します。

Webフィルタリング:本レポートに記載されているすべてのネットワークIOCは、FortiGuard Webフィルタリング用サービスのブラックリストに登録されています。

悪意あるWord文書への対策:FortiGuard CDR(Content Disarm & Reconstruction:コンテンツ無害化)は、すべての受信ファイルを処理して分解し、あらゆるアクティブコンテンツをリアルタイムでファイルから除去して、フラットな無害のファイルを作成します。CDRを利用して、ファイルに不正コンテンツが含まれる可能性をプロアクティブに排除することで、ゼロデイファイルに対する保護戦略が強化されます。

MITRE ATT&CK

スピアフィッシングの添付ファイル

ID:T1193
戦術:初期アクセス
プラットフォーム:Windows、macOS、Linux

スクリプト

ID:T1064
戦術:防衛回避、実行
プラットフォーム:Linux、macOS、Windows

防御の回避

ID:T1064
戦術:防衛回避、実行
プラットフォーム:Linux、macOS、Windows

標準アプリケーション層プロトコル

ID:T1071
戦術:C&C(コマンドアンドコントロール)
プラットフォーム:Linux、macOS、Windows

標準暗号化プロトコル

ID:T1032
戦術C&C(コマンドアンドコントロール)
プラットフォーム:Linux、macOS、Windows

IOC(Indicators of Compromise:侵害指標)

Trickbot

ファイル名:f21678535239.doc
[SHA 256:8eb57a3b520881b1f3fd0073491da6c50b7284dd8e66099c172d80ba33a5032f]
検出名:VBA/Agent.BLN!tr

ネットワークIOC:
45.128.134.14
insiderppe.cloudapp.net
hxxps://45.128.134.14/C821al/vc2Tmy.php?h=m2&j=ffd38fb8&l=NQDPDE@@NQDPDE@@FD1HVy@@*192.168.0.136%3A%3A%5B00000003%5D%20Intel%28R%29%2082574L%20Gigabit%20Network%20Connection&40521390

ファイル名:f21678535350.doc
[SHA 256:8eb57a3b520881b1f3fd0073491da6c50b7284dd8e66099c172d80ba33a5032f]
検出名:VBA/Agent.BLN!tr

ネットワークIOC:
45.128.134.14
insiderppe.cloudapp.net

Lokibot

ファイル名:Customer Advisory.PDF.exe
[SHA256:906EFF4AC2F5244A59CC5E318469F2894F8CED406F1E0E48E964F90D1FF9FD88]
検出名:W32/Agent.AJFK!tr

ネットワークIOC:
kbfvzoboss.bid/alien/fre.php

CTAへの支援

FortiGuard Labsは、ファイルのサンプルや侵害指標など、このレポートに記載されている調査結果をCyber Threat Allianceの他のメンバーと共有しています。CTAメンバーは顧客への迅速な保護機能の導入とサイバー攻撃の組織的妨害のためにこのインテリジェンスを活用しています。Cyber Threat Allianceの詳細については、cyberthreatalliance.orgをご覧ください。

FortiGuardセキュリティサービスのポートフォリオの詳細をご覧いただき、毎週お届けしている脅威インテリジェンスブリーフ(英語)をぜひご購読ください。

FortiGuardセキュリティレーティングサービスは、セキュリティ監査とベストプラクティスを提供することで、お客様に最適なセキュリティ態勢の設計、実装、維持を支援します。