脅威リサーチ
Nobelium(ハッカーグループ)が政治の舞台に復帰
FortiGuard Labs Threat Research Report
影響を受けるプラットフォーム: Windows
影響を受けるユーザー: 対象の大使館と関連があるWindowsユーザー
影響: 侵害されたマシンが脅威アクターの制御下に置かれる
深刻度: 中
APT29およびCozy Bearとも称されるNobeliumは、ロシアの国家支援型の極めて高度なサイバー犯罪者グループです。約2年前、数多くのシステム管理者やITチームが24時間体制でNobeliumによるSolarWindsの攻撃の対処に追われました。昨年も同様に、ITネットワーク内に再び深く入り込む目的で、多数のITサプライチェーンが標的になりました。しかし、時は流れて現在、Nobeliumの集団は焦点を変えたようです。今回、標的はソフトウェアソリューションではなく、大使館に変わりました。今回の攻撃により、Windowsコンピュータの一般ユーザーに影響が及ぶ可能性は低いですが、政治的な影響が大きくなる可能性があります。
FortiGuard Labsは、Nobeliumの集団が標的型メール攻撃においてトルコ大使館関係者になりすましている証拠を発見しました。当社では、オミクロン型コロナウイルスを謳った攻撃を取り上げて分析します。大使館職員または関係者は、Eメールの開封時において細心の注意が求められています。
このブログでは、Nobeliumによるテクニックとコードの再利用について取り上げます。また、JARMの使用方法についても取り上げます。JARMでは、Salesforceが開発したテクノロジーを幅広く利用して、悪意のあるサーバーをフィンガープリンティングして追跡しています。
図1:大使館のEメール
送信元のEメールアドレスは、社会問題に特化した政府機関の不正メールアカウントであるにもかかわらず、正規のものに見えます。しかし、追跡してみると、このメールはアフリカのフランス語圏の国から送信されています。英語で書かれていますが、トルコ大使館からポルトガル語圏の国宛に送っているように偽装されています。
Eメールには.htmlファイルが添付されています。このファイルには悪意のあるJavaScriptが含まれ、ユーザーのコンピュータ上に.isoファイルを作成することができるようになっています。図2では、前回のNobelium攻撃と現在のバージョンとの類似点が示されています。
図2:悪意のあるJavaScript
Nobeliumによる元々のHTMLスマグリング攻撃は、EnvyScoutを使用してテキストのブロブを.isoファイルに変換するものでした。EnvyScoutは、このAPT集団のスピアフィッシング攻撃にてドロッパーとして使用されるツールセットの1つです。図2に示すように、どちらのサンプルにも「x-cd-image」のアプリケーションタイプが使用されています。攻撃においてこの部分はほとんど変わっていません。しかし、以下の図3では、.isoファイルの作成で使用される機能が前回のバージョンから合理化されていることがわかります。
図3:ISOの作成
ユーザーのマシンに.isoファイルが作成された後、攻撃を実行するにはユーザーがファイルを開く必要があります。デフォルトでは、最新バージョンのWindowsで.isoファイルを開くと、次に使用可能なドライブ名にファイルがマウントされます。マウントされると、ファイルが表示されます。以下の図4では、攻撃チェーンにおいてこの部分がわかるようになっています。
図4:マウントされたISOファイル
前回のNobelium攻撃の亜種のうち、1つは今回の攻撃のちょうど1年前に発生したものでした。どちらのバージョンにも、DLLファイルに誘導する悪意のあるショートカットが含まれています。今回のバージョンでは、binフォルダ内のDLLファイル名が「DeleteDateConnectionPosition.dll」になっています。
かつてペイロードの1つとしてCobalt Strikeビーコンが使用されていましたが、これが今回のバージョンに使用されています。現在の政治的状況を考えると、他の政府の意向、計画、行動を知ることがロシアにとって最大の利益であることは明らかです。また、Cobalt Strikeビーコンの導入が成功すれば、監視したい大使館への足掛かりとなります。この目的を達成するために、ショートカットが「DeleteDateConnectionPosition」というエクスポートを使ってDLLを起動するのです。
図5:DLLエクスポート
DLL内のエクスポートの多くには、ジャンクコードが含まれています。そのため、マルウェアをデバッグする方が、静的に分析するよりも早く行えます。デバッグ後、以下のようなC2サーバーが検出されました。
図6:悪意のあるDLLをデバッグ
送信元によると、このサーバーは共有サーバーではなく、IPアドレスにはsinude[.]comのドメインのみが含まれています。
JARMフィンガープリンティング
JARMに馴染みのないユーザー向けに説明すると、JARMはSalesforceが開発したテクノロジーで、クラスター化するためにサーバーをフィンガープリンティングするもので、サーバーのTLS実装を中心に展開されています。さらに、Salesforceが説明するとおり、セキュアな暗号化機能ではないため、誤検出が発生する可能性もあります。しかし、悪意のあるサーバーを関連するクラスターにグループ化するには非常に正確な方法となっています。
sinude[.]comのJARMシグネチャは、多数のサーバーで検出されています。これらのサーバーの多くは、Cobalt StrikeビーコンのC2サーバーとしても機能しています。調査の過程で、このJARMシグネチャがマルウェアファミリーのBazarLoaderに関連付けられたC2サーバーでも検出されたことが判明しました。中でもBazarLoaderにはコードやアプリケーションのガードレールが含まれ、ロシアのコンピュータで動作しないようになっています。
今年に入ってからのネットワークトラフィックを見ると、sinude[.]comに接続されているIPアドレスが複数あることがわかりました。しかし、データによると、C2と完全に接続して実際に通信が行われているIPアドレスは1つ(1月)だけでした。このIPアドレスの所在地は、ウクライナで2番目に大きな都市であるハリコフでした。このハリコフのIPアドレスは、固有のマルウェアファミリーと通信が行われていて、TORネットワークに属していました。
結論
今回の最新の攻撃でNobeliumが使用した手法は、かつて彼らが使用したものと同様のものでした。悪意のあるEメールは今もなお組織への侵入手段として主流であり、Nobeliumもその攻撃ベクトルを利用しています。今回の最大の違いは政治的な分野であるということです。今までのNobeliumによる攻撃では技術的な性質が見られましたが、今回の最新の攻撃は、政治の舞台に大きな影響を与えるものです。
フォーティネットのソリューション
FortiGuardアンチウイルスサービスでは、.isoおよびDLLファイルの両方をW64/CobaltStrike_Beacon.A!trとして検知してブロックします。
FortiGuardアンチウイルスサービスでは、悪意のあるHTMLメールの添付ファイルをJS/Agent.ONO!trとして検知してブロックします。
関連するネットワークIOC(Indicators of Compromise:侵害指標)はすべてWebフィルタリングクライアントによりブロックされます。
MITRE TTP
初回アクセス |
|
フィッシング:スピアフィッシング |
T1566.001 |
実行 |
|
コマンドおよびスクリプトインタープリター:JavaScript |
T1059.007 |
ユーザー実行:悪意のあるファイル |
T1204.002 |
防御回避 |
|
ホスト上にイメージを構築 |
T1612 |
ファイルや情報の難読化解除 / 復号化 |
T1140 |
難読化されたファイルや情報: |
T1027.006 |
コマンド&コントロール |
|
アプリケーション層プロトコル: |
T1071.001 |
影響 |
|
リソースのハイジャック |
T1496 |
IOC(Indicators of Compromise:侵害指標)
ファイルIOC
Covid.html (SHA2: A896C2D16CADCDEDD10390C3AF3399361914DB57BDE1673E46180244E806A1D0)
Covid.iso (SHA2: 3CB0D2CFF9DB85C8E816515DDC380EA73850846317B0BB73EA6145C026276948)
DeleteDateConnectionPosition.dll (SHA2: 6EE1E629494D7B5138386D98BD718B010EE774FE4A4C9D0E069525408BB7B1F7)
ネットワークIOC
Sinitude[.]com
JARM Signature: 2ad2ad0002ad2ad0002ad2ad2ad2ade1a3c0d7ca6ad8388057924be83dfc6a
