FortiGuard Labs 脅威リサーチ

「大臣」との会談

投稿者 James Slaughter | 2022年12月23日

「物事は見かけによらない」という一般的な格言は、まさにサイバー世界にぴったり当てはまります。フィッシングは、メールの受信者に対して公然と、そのメッセージが本物であり信頼できる(実際はそうでないのに)と信じ込ませようとします。これは、送信者が犯罪的エクスプロイトや国家の活動に関与している場合も同様です。

先日、FortiGuard Labsは、控え目なフィッシングメールを偶然発見しましたが、それは最初の印象をはるかに上回るものであることが判明しました。ロシア語で書かれたこのメールは、受信者が自分のシステムにマルウェアを配置するよう仕向けます。この策略に使用された方法は、Konniの過去のインスタンスと同じものです。Konniは、APT37(別名:Ricochet Chollima、InkySquid、ScarCruft, Reaper、Group123)というグループが関係しているRAT(遠隔操作ウイルス)です。このグループは、その標的や対象が北朝鮮(DPRK:朝鮮民主主義人民共和国)政府と同じであることで知られています。

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             別の目的を持つマルウェアの追加配信
深刻度:            

フィッシングメール

前述したとおり、このEメールは控え目で簡潔です。その目的は、瀋陽(中国)にあるロシア総領事館のアドレスをスプーフィングし、公式なメールに見せかけることです。このメールは、ロシア政府の別のアドレスも標的にしています。

興味深いことに、メッセージの件名は「Re: Посольство России в Японии」で、訳すと「Re: 駐日ロシア大使館」です。Eメールに過去のスレッドを挿入するこの手法は、受信者の信用を高めるためによく利用されています。

図1:フィッシングメール

図2:フィッシングメールの翻訳

Eメールの本文は受信者に対し、送信者と受信者間における資金移動の要請を実行に移すため、添付ファイルの内容を確認するよう求めています。

メールに添付されているのは「Donbass.zip」というZipアーカイブです。「Donbass」はウクライナのドンバス地方の英語つづりですので、これは奇妙です。

Donbass.zip

Zipアーカイブには2つのMicrosoft PowerPointファイル、「_Pyongyang in talks with Moscow on access to Donbass.pptx」と「Donbass.ppam」が格納されています。

Figure 3. Contents of “Donbass.zip”.

File 1: _Pyongyang in talks with Moscow on access to Donbass.pptx

このPowerPointファイルは、実はデコイ(おとり)です。スライド資料には、北朝鮮とドネツク人民共和国(DPR)の首脳級会談に関するニュースが含まれています。二国間の関係については、このファイルが作成された頃に主な報道機関が取り上げていました。

図4:PowerPointのタイトルスライド。ブログタイトルにスペルミスが見られる。

図5:PowerPointのスライド。北朝鮮とDPRの外交会議の記事が表示されている。

図6:PowerPointのスライド。外交活動に関するその他のニュースと、この件に関する最新ニュースへの複数のハイパーリンクが表示されている。

図6のファイルには、複数のハイパーリンクが埋め込まれています。これらはすべて無害で、トラフィックをインターネットのニュースソースへと単に移動させるだけです。ロシア語で表示される別の2つのスライドはテキストのみです。

このファイルには、マクロや悪意があると思われるものは含まれていません。

File 2: Donbass.ppam

PPAMはMicrosoft PowerPointで使用されるアドインファイル形式で、通常はアプリケーションを開く必要があります。アプリケーションを開くと、悪意のあるマクロが実行されます。

図7:「Donbass.ppam」の悪意あるマクロ

図8:「Donbass.ppam」を開くと表示されたエラー

このマクロは、最初に図8のメッセージボックスを表示します。次に、コマンドプロンプトを使用して、base 64でエンコードされた大きいテキストブロックを「oup.dat」というファイルに格納します。このファイルはユーザーの「一時」ディレクトリ(%TMP%)に保存されます。「oup.dat」内のエンコードされたテキストは、Microsoftの「Certutil」ツール(https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil)を使用して「oup.vbs」にデコードされます。これはVBScriptファイルで、Microsoft Officeディレクトリ(%LOCALAPPDATA%\Microsoft\Office)に保存されます。

図9:「oup.vbs」

図9に示すように、「oup.vbs」には2つの狙いがあります。一つ目は、「Office Updatev2.2」というスケジュール済みタスクの作成です。このタスクの目的は、「oup.vbs」を5分間隔で実行し続けることです。

図10:スケジュールされたタスク「OfficeUpdatev2.2」

2つ目の狙いは、base 64でエンコードされたPowerShellコマンドの実行です。

図11:最後にデコードされたPowerShellコマンド

PowerShellコマンドは、いくつかの環境情報(マシン名など)を入力して、gg1593[.]c1[.]bizにあるURLへの接続を試みます。このドメインは、IPアドレス185[.]176[.]43[.]106を指しています。しかし、本稿執筆時点ではC2(コマンド&コントロール)サーバーが接続に応答せず、これ以上の分析はできませんでした。

図12:C2のURLに接続を試行したときのパケットキャプチャ

このC2サイトは利用できなくなっているため、さらに分析を進めるためにRATの実行ファイルを取得することはできませんでした。とはいえ、永続化やC2への接続は、Konniの配信で見られた過去の企てと一致しています。

結論

フィッシングが成功するには、必ずしも正規のメールを完璧に模倣する必要はありません。本ブログの例は、たとえ国家の意図が絡んでいる場合であっても、ユーザーをおびき寄せるために十分な仕掛けが必要であることを示しています。一目見て簡潔に思える内容であれば、さらに効果的です。

なじみのある言葉を用いたり、先の例のように受信者との過去のスレッドを思わせる文言を含めたりすると、信用性は一層高まります。

この例が示すように、攻撃者はひとたび侵入すると、コマンド&コントロールによる永続化メカニズムや頻繁なチェックインを使って居座り続けます。

だからこそ、災難を回避するには防御と検知がなおさら重要になってくるのです。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのWebフィルタリング、アンチウイルス、FortiMail、FortiClient、FortiEDRサービスによってこのマルウェアからすでに保護されています。

本ブログで解説したマルウェアサンプルは、次のAVシグネチャによって検知されます。

VBA/Agent.AIF!tr

Webフィルタリングクライアントは、ネットワークベースのURLをすべてブロックします。

フォーティネットでは、フィッシングの脅威を理解し検知するトレーニングを実施できるソリューションを複数用意しています。

FortiPhishフィッシングシミュレーションサービスでは実際の攻撃をシミュレーションして、組織がフィッシングの脅威に対するユーザーの認識や警戒をテストするほか、ユーザーがフィッシング攻撃の標的にされた場合の適切な対処を学び、強化することができます。

組織においては、フォーティネットが無償で提供するNSEトレーニングNSE 1 – 情報セキュリティ意識向上の受講をエンドユーザーに奨励することをお勧めします。このトレーニングにはインターネットの脅威に関するモジュールが含まれ、エンドユーザーはフィッシング攻撃を識別して自らを保護する方法を学習できます。

IOC(Indicators of Compromise:侵害指標)

ファイル名

SHA256

Donbass.zip

cf69e7cf0eef759f5c1604448be8e2ed4b2e4d02ad72724406f4aa19f501b08b

_Pyongyang in talks with Moscow on access to Donbass.pptx

b1f9b577088f00ffe54c1822578e0ca309c08589791249323b6db1e32f2d2a22 (clean)

Donbass.ppam

061e17f3b2fd4a4dce1bf4f8a31198273f1abc47c32456d06fd5997ea4363578

ネットワークIOC:

IOC

IOCタイプ

gg1593[.]c1[.]biz

C2

185[.]176[.]43[.]106

C2