背景

2019年12月より、サイバーリーズンのNocturnusチームは、中東(主にパレスチナ地区内)における組織や個人を標的とするスパイ攻撃を追跡してきました。この攻撃は、ソーシャルエンジニアリングと囮(おとり)文書を利用しており、その囮文書は、地政学的な出来事およびパレスチナ政府との関係に関連するものであり、エジプト、ヒズボラ、イランにも言及しています。

本レポートのパート1では、Spark攻撃について調査しました。この攻撃では、攻撃者はソーシャルエンジニアリングを利用して、主としてパレスチナ地区内に居住している被害者をSparkバックドアに感染させます。パート1の詳細についてはこちらをご覧ください

この攻撃中に、被害者は、サイバーリーズンがPierogiと呼ぶ、これまで文書化されたことのないバックドアに感染させられます。このバックドアにより、攻撃者は、標的となる被害者に関するスパイ活動が行えるようになります。サイバーリーズンでは、このバックドアは「自家製」ではなく地下コミュニティから取得されたものではないかと疑っています。なぜなら、同バックドアのコード内には、それがウクライナ語を操るハッカーにより開発されたことを示唆する証拠が見つかっているからです。

この攻撃において観測されたTTP(戦術、手法、手順)、コンテンツ、囮文書のテーマ、および被害者学は、パレスチナを標的とした過去の攻撃と類似しています。特に、これらの攻撃は、MoleRATs(別名Gaza Cyber GangまたはMoonlight)と呼ばれるグループにより実行された攻撃に関係しているように思われます。同グループは、アラビア語を操る政治的動機に基づいたグループであり、2012年より中東で活動を続けています。

主なポイント

  • 新しいマルウェアを利用したサイバースパイ攻撃:サイバーリーズンのNocturnusチームは、中東における最近の標的型攻撃を複数検出しました。これらの攻撃は、Pierogiバックドアを提供することで、政治的な動機に基づくサイバースパイ攻撃を行うものです。
  • パレスチナ人が標的:これらの攻撃は、パレスチナの個人や組織(多くの場合パレスチナ政府に関連するもの)を標的としているように思われます。
  • 地政学的な緊張関係をテーマとする囮コンテンツを利用:攻撃者は、特別に作成された囮コンテンツを利用して、ターゲットが悪意あるファイルを開くように仕向け、その結果、被害者のマシンにPierogi バックドアを感染させます。この悪意あるファイル内の囮コンテンツは、さまざまな中東の政治事情に関連するものであり、特に同地域におけるハマスとその他の政治組織間の緊張を対象としています。
  • アラビア語を操るAPTグループMoleRATsにより用意されたもの:攻撃者の手口、ソーシャルエンジニアリング戦術、および囮コンテンツを合わせて考えると、この攻撃は、アラビア語を操るAPTグループであるMoleRATs(別名Gaza Cybergang)が過去に行った攻撃とつながっているように思われます。同グループは、2012年より中東で活動を続けています。

ソーシャルエンジニアリング経由の感染ベクター

過去の攻撃と同様に、この攻撃は、ソーシャルエンジニアリングを利用して開始されます。この攻撃は、被害者に電子メールの添付ファイルを開かせるよう仕向ける場合もあれば、中東や特にパレスチナ問題に関連する最近の政治事情についてのレポートをダウンロードするよう被害者を促す場合もあります。ほとんどの場合、ダウンロードされるファイルは、Microsoft Word文書を装った実行可能ファイルであるか、または兵器化されたMicrosoft Word文書です。


パレスチナ地区からVirusTotalへとアップロードされた、「主要な開発に関するレポート_347678363764」という名前の悪意あるファイル

囮コンテンツ

被害者がドロッパーをダブルクリックすると直ちに、同被害者には囮文書が提示されます。この文書は、ドロッパーがバックドアをインストールする際に、実際の文書を提示することで被害者の注意を逸らし、彼らの疑念を減らすためのものです。ただし、文書の中には、攻撃における追加的な役割を担うものもあります。新聞やマスコミの記事を単に引用したより中立的なものもあれば、政治目的に利用される誤った情報を拡散するためのフェイクニュースを報告するように思われるものもあります。囮コンテンツのテーマに関しては、この攻撃は、各種ブログで報告されたVectraUnit 42Talosによる過去の攻撃に類似しています。これらの囮文書には、次のものが含まれていると思われます。

  • パレスチナ政府により発行されたように見せかけるフェイクである可能性が高い文書
  • 各種のパレスチナ組織の議事録
  • ハマスおよびパレスチナ自治政府に関するニュース
  • フェイクである可能性が高い流出したハマス文書
  • ハマスに関する批判や挑発を含むコンテンツ


上記の囮コンテンツから選んだ画面ショットを下記に示します。


被害者に提示される囮文書の抜粋


流出した可能性のある、ハマスの設立32周年記念祭における支出明細を記述したハマス文書

これらの文書に加えて、同コンテンツには、ハマスのイランとの関係や抵抗運動におけるハマスの立場を批判した多数の政治風刺漫画が含まれています。


「#イランの動向」 – ハマスの共同設立者であるMahmoud Al-Zaharと、イランの最高指導者であるAli Khameneiの肖像が描かれている。
SHA-256: 06e92ca2d9c6c17c45ed5b347df1d27cb96747ba3a4585f7c94f0861fc643e94


「ハマス、設立より32周年」
上部:「抵抗」を呼びかけるスピーチ
下部:「現実」
SHA-256: 6ccdfa8fcf5e2fc5baeea765e59a10e9f9a5d3d1b2a2f189ff1beee4fe9c4539

感染ベクター:悪意あるWord文書の分析

この攻撃の大部分の感染は、悪意あるMicrosoft Word文書を原因とするものではありませんが、サイバーリーズンのNocturnusチームは、兵器化されたMicrosoft Word文書が本攻撃でいくつか利用されていることを発見しました。そのようなWord文書には、バックドアをダウンロードしてインストールするダウンローダー用のマクロが埋め込まれていました。


パレスチナ地区からアップロードされた悪意あるMicrosoft Word文書

被害者がこの文書をクリックすると、「コンテンツの有効化」をクリックするよう促されます。これをクリックすることにより、埋め込まれていた悪意あるマクロコードが実行されます。


兵器化されたMicrosoft Word文書の内容

同文書内に埋め込まれているマクロコードは、比較的シンプルであり、難読化はされていません。実際、同コードは、通常あり得ないほどに素朴です。

このマクロコードは次のことを実行します。

  1. Base64でエンコードされたペイロードを次のURLからダウンロードします。
    hxxp://linda-callaghan[.]icu/Minkowski/brown.
  2. Writes the decoded payload to C:\ProgramData\IntegratedOffice.txt.
  3. このBase64ペイロードをデコードし、同ファイルをC:\ProgramData\IntegratedOffice.exeへと書き出します。
  4. この実行可能ファイルを実行した後、当該.txt ファイルを削除します。


フィッシング用文書の中に見つかった悪意あるマクロコード

Pierogiバックドアの分析

本攻撃で使用されるバックドアPierogiは、プログラミング言語Delphiで書かれた新しいバックドアであると思われます。Pierogiを使うと、攻撃者は、より基本的なバックドア機能を使用して被害者に関するスパイ行為を行えるようになります。

現時点では、このバックドアを作成した人物が、この攻撃の背後にいるグループのメンバーと同じであるかどうかは不明ですが、このマルウェアはウクライナ語を操るマルウェア開発者により作成されたことを示唆する徴候が存在しています。C2サーバーとの通信に使用されるコマンドや、当該バイナリ内にある文字列は、ウクライナ語で書かれています。

これが、我々がこのマルウェアをPierogiと名付けた理由です。この名前は、ポピュラーな東欧料理(ピロシキ)に由来しています。


バックドアのバイナリに埋め込まれている文字列にはウクライナ語の単語が含まれている

このバックドアは次の機能を持ちます。

  • 感染したマシンに関する情報を収集すること。
  • ファイルを攻撃者のサーバーへとアップロードすること。
  • 追加のペイロードをダウンロードすること。
  • 感染したマシンから画面ショットを取得すること。
  • CMDシェル経由で民意のコマンドを実行すること。

本バックドアは、スパイ機能に加えて、自分自身が安全な環境で実行されていることを保証するいくつかのチェック機能を実装しています。特に、同バックドアは、アンチウイルスソフトウェアおよびその他のセキュリティ製品を検出します。

  1. 同バックドアは、コマンド「WMI: SELECT * FROM AntiVirusProduct」を使用して、インストールされているアンチウイルスソフトウェアをWindowsに問い合わせます。
  2. 同バックドアは、感染したマシン上にインストールされている具体的なアンチウイルスソフトウェアおよびセキュリティ製品(Kaspersky、eScan、F-secure、Bitdefenderなど)を検出します。


バックドアコード内に見つかったセキュリティ製品を表す文字列

パーシステンスを実現するメカニズム

このバックドアは、古典的なスタートアップ項目の自動実行手法を使用して、パーシステンスを実現します。

  1. 下記のスタートアップ用フォルダにショートカットが追加されます。C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  2. ユーザーが感染したマシンにログオンすると、このショートカットは、C:\ProgramData\フォルダ内にあるバイナリファイルを指すようになります。


Sysinternals Autorunsツールにより表示されたバックドアのパーシステンス

同マルウェアにより生成されたGUIDは、GUID.binという名前のファイルに保存されます。このファイルは、同バックドアのバイナリと同じフォルダ内に作成されます(C:\ProgramData\GUID.bin)。


本バックドアにより生成されたGUID.binファイルの内容

PierogiバックドアによるC2通信

このバックドアは、一連の事前定義済みのURLを通じて実装される、より基本的なC2機能を持ちます。

1. マシン情報とハートビートを次のC2サーバーへと送信する

URL: hxxp://nicoledotson[.]icu/debby/weatherford/Yortysnr

C2サーバーに送信される情報には次のものが含まれています。

  • cname:コンピュータ名、ユーザー名、GUID
  • av:検出されたアンチウイルスソフトウェアの名前
  • osversion:オペレーティングシステムのバージョン
  • aname: 感染したマシン上における当該マルウェアの保存場所


感染したマシンに関する基本情報を送信

2. C2サーバーからコマンドを要求する

URL: hxxp://nicoledotson[.]icu/debby/weatherford/Ekspertyza

ここで「Ekspertyza」は、ウクライナ語で「専門知識」または「検査」を意味します。md5 ハッシュ形式で同サーバーから送られてくる基本コマンドには、次の3種類があります。


感染したマシンの画面ショットをアップロードするコマンドをC2サーバーから受け取る

3. データ(主に画面ショット)をC2サーバーへとアップロードする

URL: hxxp://nicoledotson[.]icu/debby/weatherford/Zavantazhyty

ここで「Zavantazhyty」は、ウクライナ語で「ロード」または「ダウンロード」を意味します。このコマンドを使用して、収集したデータをC2サーバーへとアップロードします。たとえば、バックドアの一部のインスタンスでは、次のような方法で感染したマシン上で取得した画面ショットをアップロードします。


バックドアが、感染したマシンの画面ショットをC2サーバーへとアップロードする

4. 情報を削除する

URL: hxxp://nicoledotso[.]icu/debby/weatherford/Vydalyty

ここで「Vydalyty」は、ウクライナ語で「除去」または「削除」を意味します。同マルウェアは、下記のコマンドに基づいて各種の要求を削除できます。


C2サーバーからの削除要求を処理するコードからの抜粋

新しいインフラストラクチャ

この攻撃に関与したドメインやIPの記録を見ると、攻撃者が、特にこの攻撃用に新しいインフラストラクチャを作成したことを示しているように思われます。これらのドメインは、2019年11月に登録されており、その直後から運用されています(下図参照)。


PassiveTotal UI:悪意あるドメインLinda-callaghan[.]icuの活動履歴


悪意あるドメインNicoledotson[.]icuの活動履歴

結論

本レポートのパート2では、Pierogi攻撃を調査しました。サイバーリーズンでは、この攻撃が中東におけるパレスチナ人の個人や組織や個人を標的としており、特にパレスチナ政府内部の組織や個人に向けられたものであると推測しています。この攻撃の背後にいる脅威アクターは、ソーシャルエンジニアリングを利用して、被害者をPierogi バックドアに感染させることで、サイバースパイ活動を実行します。

この攻撃の背後にいる脅威アクターは、中東におけるパレスチナ人の個人や組織を標的として特別に作成した文書を使って被害者を誘い出すために、かなりの時間と努力を費やしています。我々はこの分析において、TTPと囮コンテンツを確認することで、MoleRATsが行ったとされる過去の攻撃との間の類似性を指摘しました。同グループは、アラビア語を操る政治的動機に基づいたグループであり、2012年より中東で活動を続けています。

本調査中にサイバーリーズンが検出したPierogiバックドアは、これまで文書化されていないものであると思われ、脅威アクターはこのバックドアを使うことで被害者に関するスパイ活動を行えるようになります。同バックドアに埋め込まれていたウクライナ語に基づいて、サイバーリーズンは、このバックドアが脅威アクターにより地下コミュニティで取得されたものであり、同グループによる「自家製」ではない可能性が高いと考えています。

IoC(Indicators of Compromise:痕跡情報)

https://www.cybereason.com/hubfs/Pierogi IOCs.pdf

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」