脅威リサーチ

2021年東京オリンピックに便乗するワイパーマルウェア

投稿者 Shunichi Imano および Fred Gutierrez | 2021年7月27日

 

 

本ブログは、FortiGuard Labs(Fortinet独自の調査研究機関)が観測した2021年の東京オリンピックを標的とした新たな脅威サンプルについて解説しています。東京オリンピックを機にサイバーセキュリティについて興味を持ったというような方でも新たな脅威サンプルがどのようなものか理解していただき、マルウェアに対する知識を深めていただける内容となっております。

 

社会がテクノロジーへの依存度をさらに高め、世界がこれまで以上につながっていく中で、脅威アクターによる攻撃は、より頻繁に発生するだけでなく、より破壊的なものとなっています。サイバー犯罪者、ハクティビスト、国家など、さまざまな悪意のある組織がさまざまな目的を持っているため、注目度の高いイベントを狙った攻撃や混乱は、混乱を引き起こしたり、マルウェアを配布したり、データを取得または流出させたり、さらにはイベントを完全に停止させたりするための格好のターゲットとなります。しかし、その目的にかかわらず、攻撃者の意図するところであるかどうかにかかわらず、大規模な混乱と恐怖が発生するのがほとんどです。

そのような中、FortiGuard Labs は2021年の東京オリンピックを標的とした新たな脅威サンプルを観測しました。これにはワイパーコンポーネントが含まれており、成功すれば、標的となるマシンに混乱をもたらす可能性があります。

背景

オリンピックを標的とした直近の攻撃は、2018年の冬季大会で記録されました。おびき寄せるための餌となったのは、「Russian figure skater won the PyeongChang Winter Olympics in South Korea.doc. 」というタイトルの悪意のあるWord文書でした。ユーザーがこの文書を開くと、サンプルはIcefogと呼ばれるバックドアコンポーネントを呼び出して落としました。2013年に初めて発見されたIcefogバックドアは、日本と韓国を中心としたAPAC地域への攻撃に使用されました。

Icefogを実行した脅威アクターグループは、非常に几帳面です。ターゲットは慎重に選ばれており、事前に何を狙っているのかを把握しているようです。Icefogは、CVE-2012-0158というWindows共通制御の古い脆弱性を利用しています。これは、多くのシステム管理者、特に多数のコンピュータを保有する組織(政府、NGO、企業、各種団体など)の管理者が、パッチの適用を面倒に感じることが多いという事実に基づいています。そのため、今回のような古い脆弱性は、攻撃された時点で6年以上経過しているにもかかわらず、うまく悪用されることが多いのです。

そして今日に話を進めると、東京オリンピックの開幕直前、平昌冬季オリンピックを標的にしたのと同じ破壊的なマルウェアを思わせる興味深いワイパーマルウェアが浮上しました。このマルウェアは 「Olympic Destroyer」と呼ばれています。そのファイル名は「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」です。

このマルウェアは、一部のOSINTレポートにおいて、Olympic Destroyerのサンプルに関連する可能性があると記載されていますが、我々はこれを確認していません。また、攻撃者が使用した配信メカニズムや方法、意図したターゲットについての情報もありません。しかし、オリンピックとの関連性や、悪用されるまでの期間が比較的短いことから、この新しいワイパーマルウェアについて、これまでに判明している情報を共有することが重要だと考えています。

:この問題は現在進行中であり、関連情報が入手でき次第、このブログを更新します。

オリンピックを標的とした攻撃の歴史的概要については、FortiGuard Labsが執筆に協力したCyber Threat Allianceのレポートをご覧ください。

2020 年 夏季オリンピック 脅威評価レポート2021 年4 月改訂版(version 2)

Q. このマルウェアはいつ発見されたのですか?

このマルウェアは、2021年7月20日に一般に公開されているファイルリポジトリにアップロードされました。その後、関連するファイルが2021年7月17日に同じリポジトリにアップロードされていたことが判明しました。どちらのファイルにもPDFのアイコンが付いています。

Q. フォーティネットのお客様は保護されていますか?

はい、FortiGuard Labsでは、このマルウェアに対して以下のAVカバレッジを実施しています。

W32/KillFiles.NKP!tr.ransom

すべての既知のIOCはFortiEDRの高度なリアルタイム保護によってブロックされており、お客様のシステム上でのさらなる実行を防ぐために、すでに当社のクラウド基盤にもインテリジェンスとして追加されています。
すべてのネットワークIOCは、Webフィルタリングクライアントによってブロックされています。

Q. 2つのファイルの関係は?

これらのファイルは、お互いに関連して動作するものではありません。7月20日にアップロードされたマルウェアは、ファイルの削除機能を持っています。7月17日にアップロードされたサンプルには、破壊機能以外のすべての機能が含まれています。

Q. このマルウェアは何をするのですか?

destroyerマルウェアは、感染したマシンで以下のファイル拡張子を持つファイルを検索し、削除します。

.doc
.docm
.docx
.dot
.dotm
.dotx
.pdf
.csv
.xls
.xlsx
.xlsm
.ppt
.pptx
.pptm
.jtdc
.jttc
.jtd
.jtt
.txt
.exe
.log

また、このマルウェアは無害なアダルトサイトにも静かにアクセスします。最後に、この脅威はすべてのアクションが完了すると自分自身を削除します。

Q. このマルウェアはワーム機能を持っていますか?

いいえ、このマルウェアには増殖の仕組みはありません。

Q. このマルウェアはどの組織を標的にしていますか?

現在のところ、標的や被害者に関する情報はありません。

Q: Olympic Destroyerとの類似性はありますか?

いいえ、このマルウェアとOlympic Destroyerにはコード上の類似性はありません。

Q. 国家の関与はありますか?

現時点では,国家が関与していることを裏付ける十分な証拠はありません。しかし、コードが比較的洗練されていないことから、国家がこのマルウェアの背後にいる可能性は低いと考えられます。

Q: このマルウェアで注目すべき点はありますか?

このマルウェアには、リサーチャーを牽制するための興味深い仕掛けが1つ用意されています。例えば、ワイパーではないサンプル(7月17日)には、以下のようなコードが含まれています。

基本的には、Enum_Procs、Check_Debuggers、Check_VMXなどの特定の関数(上のスクリーンショットで見られる)において、マルウェアは最初の5バイトに「0xCC」というオペコードが含まれているかどうかをチェックします。このx86アセンブリ命令はINT3を意味し、実行中のプログラムを一時的に停止するようデバッガに指示します。この方法は、この機能が無効になっていないかどうかを検出するため、もう1つのアンチデバッグチェックとして機能します。

このマルウェアのワイパー(7月20日)バージョンは、さらに進んでいます。0xCC」だけでなく、「0xEB」(call)、「0xE8」(jmp)、「0xE9」(jmp)などの命令もチェックします。これらの命令は、元のプログラマーが意図した流れからプログラムの流れを変えてしまいます。プログラムフローを迂回させる理由の1つは、WindowsのAPIをフックして監視することです。APIモニターは、実行中のプログラムが何をしているかを報告してくれるので、リサーチャーはリバースエンジニアリングの時間と労力を大幅に削減することができます。しかし、このコードのいずれかがモニタリングを可能にするように変更されている場合、ワイパーは悪意のある活動を行うことなく終了します。これは、行動監視を回避するための、もうひとつのアンチアナリシスチェックです。プログラムフローの流用に関する詳細は、Microsoft Detours のウェブサイトでご覧いただけます。

これは現在進行中のイベントであるため、FortiGuard Labsは状況を監視しており、重要な発見があった場合は関連する最新情報を提供します。

MITRE Classifications

Defensive Evasion

  • T1480: Execution Guardrails
  • T1070.004: File Deletion
  • T1027.002: Software Packing
  • T1497: Virtualization/Sandbox Evasion
  • T1497.001: System Checks
  • T1497.003: Time Based Evasion

Discovery

  • T1083: File and Directory Discovery
  • T1057: Process Discovery
  • T1518.001: Security Software Discovery
  • T1497: Virtualization/Sandbox Evasion
  • T1497.001: System Checks
  • T1497.003: Time Based Evasion

Impact

  • T1485: Data Destruction

IOCs

Sample SHA-256:

fb80dab592c5b2a1dcaaf69981c6d4ee7dbf6c1f25247e2ab648d4d0dc115a97

c58940e47f74769b425de431fd74357c8de0cf9f979d82d37cdcf42fcaaeac32