2020年2月、サイバーリーズンは、パレスチナ政府関係者に対する標的型攻撃で利用されているSparkおよびPierogiバックドアを発見したことを報告しました。この攻撃はMoleratsにより遂行されたものであると推測されました。

Molerats(別名:Gaza Cybergang)は、アラビア語を操る、政治的な動機を持つAPTグループの1つであり、2012年から中東で活動を続けています。

その発見以来、サイバーリーズンのNocturnusチームは、このAPTグループを追跡してきましたが、ここ数ヶ月の間に、SharpStageおよびDropBookと呼ばれるこれまで未確認であったバックドアと、MoleNetと呼ばれるダウンローダーを利用した新しい攻撃を検知しました。

この新しいマルウェア兵器は、特に中東におけるアラビア語を操る人々を主な標的としたステルス型のスパイ攻撃のために設計されたものであり、主としてパレスチナ自治区、アラブ首長国連邦(UAE)、エジプトで観測されているほか、トルコにおけるアラビア語を操らない人々を標的とした攻撃でも観測されています。

この最新の攻撃はソーシャルエンジニアリング技術を駆使することで、中東情勢に関連した各種の囮(おとり)テーマを含むフィッシング文書を配信しています。このフィッシング攻撃で使用されたテーマの中には次のようなものがありました。

新たに発見されたバックドアは、以前報告されたSparkバックドアと共に配信されたものであり、さらに過去の攻撃とのその他の類似性も存在するため、これらのバックドアがMoleratsにより作成されたものである可能性が高くなっています。

StageおよびDropBookの両バックドアはどちらもステルス方式で動作するものであり、正規のクラウドストレージサービスであるDropboxを利用してターゲットから盗み出した情報を流出させると同時に、正規のWebサービスを利用することで検出や削除を回避します。

また、Nocturnusチームは、Pythonベースの新しいバックドアであるDropBookが、ソーシャルメディアプラットフォームであるFacebookを悪用していることを発見しました。

このバックドアのオペレーターは偽のアカウントを作成することで、誰もが見ることのできる場所にその身を紛れ込ませつつ、バックドアを制御していました。DropBookが武器庫内にある他のスパイツールと異なる点として、それが偽のFacebookアカウントのみを使用することで、C2にオペレーターからの指示を受信させていることが挙げられます。

C2との通信のためにソーシャルメディアを悪用することは決して新しくありませんが、観測される機会は多くありません。

さらに、サイバーリーズンのNocturnusチームは、トルコ語で書かれたフィッシング文書の観測に基づいて、トルコ語を操る人々を標的としてSparkバックドアを利用するMoleratsの活動を発見しました。

最後に、Nocturnusチームは、Spark、SharpStage、DropBookの各バックドアに感染した類似のターゲットに対して、Pierogiバックドアの新しいバリアントを使用する別の攻撃を特定しました。このような重複が存在することから、Gaza Cybergangの2つのサブグループ(MoleratsとAPT-C-23(Arid Viper))の間につながりがあるのではないかという疑いが強まっています。

サイバーリーズンは、Facebook、Dropbox、Google、Simplenoteの各社に連絡を取り、アカウントの悪用に関して報告を行いました。


▲Moleratsによる最新の攻撃の感染チェーン

主な調査結果

  • 脅威アクターはMolerats(別名:Gaza Cybergang)であると見なされる:Moleratsは、2012年から中東で活動しているアラビア語を操る政治的動機に基づいたグループです。
  • Moleratsが開発した新たなスパイツール:サイバーリーズンは、SharpStageおよびDropBookと呼ばれる2つの新しいバックドアと、MoleNetと呼ばれるダウンローダーを特定しました。これらのツールを利用することで、攻撃者は、任意のコードを実行できるようになり、感染したコンピューターから機密データを収集し、同データを流出させることが可能となります。また、これらの新たに発見されたバックドアは、過去に報告されたSparkバックドア(Moleratsが作成したもの)と組み合わせて使用されていました。
  • 中東全域における標的の絞り込み:サイバーリーズンでは、この攻撃オペレーターが、中東(パレスチナ自治区、UAE、エジプト、トルコを含む)における地位の高い政治家や政府関係者を標的にしていると推測しています。
  • 政治的なテーマをフィッシングに利用:被害者をおびき寄せるために使用されたテーマには、イスラエルとサウジアラビアの関係をはじめ、ハマスの選挙やパレスチナの政治家に関するトピックが含まれていたほか、サウジアラビアの皇太子であるムハンマド・ビン・サルマン(MBS)、米国国務長官であったマイク・ポンペオ、イスラエル首相であるベンヤミン・ネタニヤフとの間で行われた極秘会談のようなその他の最近の政治的イベントに関するトピックも含まれていました。
  • Facebook、Google Docs、Dropbox、Simplenoteの各プラットフォームを悪用:新たに発見されたDropBookバックドアは、偽のFacebookアカウントやSimplenoteを使用してコマンド&コントロール(C2)通信を行っていました。また、SharpStageおよびDropBookは両方とも、Dropboxクライアントを悪用することで、ターゲットから盗み出したデータをクラウドストレージへと流出させることや、スパイツールの保存を行っていました。
  • Pierogiバックドアとの関連性:分析の結果、新たに発見されたバックドア、Spark、および過去に報告されたPierogiバックドアとの間には相互に関連性があることが判明しました。サイバーリーズンでは、これらのバックドアは、類似した利益のために活動する異なるチームによって開発されたものであるか、または同じ脅威アクターにより開発されたものであると、中レベルから高レベルの信頼度をもって推定しています。
  • Quasar RATの使用:攻撃者は新しいスパイツールを使用して、DropBoxから追加のペイロードをダウンロードしていました。これには、Gaza Cybergangが以前に使用していた悪名高いオープンソースのQuasar RATが含まれていました。

Moleratsの新しいサイバー兵器を検出

中東における脅威をハンティングする中で、サイバーリーズンのNocturnusチームは、これまで文書化されていなかった複数のユニークなマルウェアのサンプル分析に遭遇しました。

SharpStageおよびDropBookと呼ばれるこれら2つのバックドアとMoleNetダウンローダーは、TTPやフィッシングのテーマに関して複数の点で類似しており、これらはGaza Cybergang(別名Molerats)が作成したとされるSparkバックドアと一緒に配信されていました。

Moleratsは、政治や中東をテーマにしたフィッシングファイルを使って被害者をおびき寄せることで知られていますが、今回もMoleratsはこの方法にこだわっており、最近の政治的なイベント(イスラエルとアラブ近隣諸国との間の和平合意や正常化プロセスを含む)を利用して被害者をおびき寄せていました。


▲攻撃インフラストラクチャの概要図

この攻撃で確認されたフィッシング文書の1つが「MBS-Israel(MBS-イスラエル)」と題されたPDFファイルであり、この文書は、イスラエル首相であるベンヤミン・ネタニヤフ首相とサウジアラビア皇太子であるムハマンド・ビン・サルマンとの間で行われた最近の会談に言及しています。


▲フィッシングPDFファイルの検出率はゼロ(VirusTotal調べ)


▲MBS-Israel.pdf文書の内容

このPDFの内容は、DropboxまたはGoogle Driveから異なる会議の議事録を含むとされるアーカイブ(パスワードで保護されたもの)をダウンロードするようターゲットに指示します。

埋め込まれたURL アーカイブの種類とSHA-256ハッシュ
https://www.dropbox[.]com/s/r81t6y7yr8w2ymc/MOM.zip?dl=1 Zipアーカイブ
58f926d9bd70c144f8697905bf81dfff046a12929639dfba3a6bd30a26367823
https://drive.google[.]com/ uc?export=download&id=1NnMlUPwkxK4_ wAJwrqxqBAfdKCPDxyeh RARアーカイブ
d7675b5c1a47b876b505bf6fd8dc9ea3b35520c13408450df8807a1a5c24da68


▲当該PDFを使ってダウンロードされたペイロード

新しいファイルはSharpStageとDropBookの2つです。

ファイル名 分類 SHA-256
Details Crown Prince held ‘secret meeting’ with Israeli PM.Nov.23.20.MoM.exe SharpStage Backdoor 69af17199ede144d1c743146d4a7b7709b765e-57375d4a4200ea742dabef75ef
Details of MBS meeting with the US Secretary of State.
Nov.23.20.MoM.exe		 Spark Backdoor 54eadcd0b93f0708c8621d2d8d1fb-4016f617680b3b0496343a9b3fed429aaf9
Talking points for meeting.exe DropBook Backdoor 2578cbf4980569b372e06cf414c3da9e29226d-f4612e2fc6c56793f77f8429d8

興味深いことに、Gaza Cybergangが使用している偽のMicrosoft Wordアイコンは、異なるマルウェア間で一貫したバリエーションを持っていることが分かります。

SharpStage DropBook Pierogi Spark

本稿執筆時点では、VirusTotalによれば、新たに発見されたSharpStageバックドアの検出率は非常に低いことが分かっています。


▲SharpStageの単一サンプルの検出率

また、サイバーリーズンのNocturnusチームは、次に示すような、SharpStageのC2ドメインで使われている、中東をテーマとしたさまざまなURLも観測しています。

  • http://artlifelondon[.]com/hamas_internal_elections.rar
  • https://www.artlifelondon[.]com/Hamas.php
  • https://forextradingtipsblog[.]com/SaudiRecognitionofIsrael.php
  • https://forextradingtipsblog[.]com/AhmedMajdalani.php
SharpStageバックドアの分析

SharpStageバックドアは、バックドア機能を備えた.NETマルウェアです。その名前は「Stage_One」と呼ばれるメインアクティビティクラスから派生したものです。

サイバーリーズンのNocturnusチームは、開発が続けられているSharpStageバックドアの3つのバリアントを特定できました。これらのうちの2つは、ハードコーディングされたミューテックス「71C19A8DC5F144E5AA9B8E896AE0BFD7」を共有していました。


▲SharpStageのコード内で確認されたミューテックス

これらのサンプルのコンパイルタイムスタンプは、2020年10月4日から11月29日の間で異なっています。これら3つのサンプルはすべて、複数の関数に対して何らかのバリエーションを持つ類似した機能を含んでいるほか、コード難読化やコードのモジュール化をはじめ、依存性に関するロギングおよび接続のチェックなどを重視することで、さらなる実行を可能にしています。また、各サンプルは、それぞれ独自のパーシステンスコンポーネントを保持しています。

SharpStageバックドアには次の機能があります。なお、一部の機能はC2から受信したコマンドに依存します。

  • 画面キャプチャ:SharpStageバックドアには、被害者の画面をキャプチャする機能があります。
  • アラビア語を操るユーザーを標的とする:SharpStageは、感染したマシン上にアラビア語が存在するかどうかをチェックすることで、関連性のないデバイス上での実行を回避します。また、これにより、ほとんどのサンドボックスを回避できます。
  • Dropboxクライアント:SharpStageにはDropboxクライアントAPIが実装されており、同APIを通じてトークンを使ったDropboxとの通信を行うことで、データのダウンロードやデータの流出を実現しています。
  • Powershell、コマンドライン、WMIを通じたコマンド実行:C2からコマンドを受信した時点で、SharpStageは任意のコマンドを実行できるようになります。
  • 追加のファイルをダウンロードして実行:このマルウェアは、追加のペイロードをダウンロードして実行できます。
  • RARアーカイブの解凍:SharpStageは、C2からダウンロードしたアーカイブデータ(SharpStageペイロードやパーシステンスモジュールを含むもの)を解凍できます。

下記の図に示すように、CybereasonはSharpStageの感染チェーンを検知しました。このバリアントでは、永続化コンポーネントは”sheaS.exe”であり、これはダウンロードされた”shear”サンプル(SharpStageのペイロードとなるもの)にスケジュールされたタスクを書き込みます。通常、SharpStageのパーシステンスコンポーネントには、SharpStageのメインモジュール名にかかわらず、”S”という文字が付け加えられることが確認されています。


▲SharpStageの攻撃ツリー(Cybereason Defence Platformでの表示)

SharpStageドロッパー(初期バージョン)

最初のバリアントには、バックドアを段階的に実行しパーシステンスを作成するドロッパーが付属しています。このドロッパーは、ペイロード(SharpStageバックドア)をtempフォルダとstartupフォルダの両方に書き込みます。


▲システム内にあるstartupフォルダとtempフォルダを検索

マルウェアのコピーと実行は、Windows Explorerのインスタンスを作成することにより実施されます。


▲Windows Explorerのプロセスを作成

さらに、同ドロッパーは、レジストリの自動実行キーを使用することで、%temp%にドロップされたマルウェアのパーシステンスを作成します。


▲レジストリを通じてパーシステンスを作成

セカンダリパーシステンスの埋め込み(後期バージョン)

Cybereasonのプロセスツリーに示されているように、SharpStageのより新しくかつよりモジュール化されたバリアント(”shear”という名前を持つもの)が、“shearS”と呼ばれる小さなファイルと共に、C2からダウンロードされます。後者は、最初のファイルのパーシステンスを作成するものであり、いくつかのマシンプロファイリング機能を含んでいます。マシンプロファイリングはWMIクエリを使って実施され、これによりシステムのメーカーやモデルなどのデータが収集されます。


▲パーシステンスコンポーネントによるシステム情報の収集

パーシステンスを作成する場合、schtasksを使用して“shear”用の新規スケジュールタスクを作成します。下記に示す“shear”への参照は、単に“shearS”の末尾にある文字“S”を削除することで行われます。


▲パーシステンスコンポーネントでスケジュールされたタスクメソッドを実行

SharpStageのコア機能

SharpStage用のC2からダウンロードしたドロッパーは、DropboxクライアントAPIの実装を含むいくつかのバックドア機能に加えて、アラビア語の存在をチェックする機能を持ちます。このチェック機能を利用することで、同マルウェアは、望ましいターゲット上でのみ実行することや、サンドボックスの検出を回避することが可能となります。なお、デフォルトの言語設定は、通常「英語」となります。

言語チェックを行う前に、このバックドアは自動的に画面をキャプチャし、その画像を%temp%フォルダに保存します。


▲被害者の画面をキャプチャ

上述したように、このマルウェアはアラビア語キーボードの存在を検知するためのチェックを行います。そのようなキーボードレイアウトが見つかった場合、“startLoop”フラグが“true”に設定された後、実行はメインアクティビティへと進み、C2に接続してさらなる指示を得ることになります。



▲アラビア語キーボードのチェックと対応するフラグの更新

“GetUpload”メソッドを調べると、このマルウェアの持つバックドア機能が明らかになります。C2に接続した後、SharpStageはコマンドのパーシングを開始します。


▲C2にアクセスしてコマンド関連の変数を開始する

下記の図に示すように、このマルウェアはC2から受け取ったコマンド(コマンドライン、Powershell、およびWMIを通じて実行されるもの)をパーシングした後、関連する変数を開始します。

さらに、別のファイルをダウンロードするためにDropboxクライアントを起動します。この場合、同クライアントは、C2から以前に取得したトークンである”AcessTo”変数を使用して起動されます。


▲C2から取得したコマンドをパーシングした後、Dropbox クライアントを起動

追加ファイルをダウンロードするために攻撃者のDropboxアカウントが使用されますが、Webアドレスとセキュアな接続を利用して複数のダウンロードを完了させることも可能です。


▲追加ファイルをダウンロード

下記のコードは、コマンドを実行するためのswitch-caseシーケンスを実装したものであり、受信したコマンドに応じて、コマンドライン、Powershell、またはWMIのいずれかを使用します。


▲Command line parsing

SharpStageの後期バリアントでは、実行時に囮文書もドロップします。



▲文書のドロップとオープンがコード内で指示されている

この囮文書には、パレスチナ解放人民戦線(PLFP)のメディア部門が作成したとされる情報が含まれており、その内容はPLFPの53周年記念式典の準備について説明したものです。


▲SharpStageの囮文書

この文書のメタデータによると、同文書の作成者は“ABU-GHASSAN”と言う名前の人物です。PFLPの文脈では、この名前はAhmad Sa’adat(PFLPの事務局長であり、ABU-GHASSANとして知られている人物)を指している可能性があります。

サイバーリーズンはこの文書の真偽を判断できないため、これが盗み出された本物の文書なのか、それともこれは攻撃者が偽造した文書であり、攻撃者はこれがあたかもPFLPの高官から発信されたかのように見せかけているのか、どちらが真実であるかは不明なままです。


▲囮文書のメタデータ

DropBookバックドアの分析


▲DropBookの攻撃ツリー(Cybereason Defence Platformでの表示)

この一連のフィッシング攻撃で配信されたマルウェアの1つに、PyInstallerでコンパイルされたPythonベースのバックドアがあり、これは“DropBook”と呼ばれています。

TTPとコードの類似性に基づいて、サイバーリーズンでは、DropBookがJhoneRATを開発したチームにより作成されたものではないかと疑っています。JhoneRATは、中東における標的型攻撃で観測されたPythonベースのマルウェアの1つであり、Sparkバックドアに関連付けられていたとの報告もあります。

DropBookバックドアには次の機能があります。

  • 偵察:インストールされているプログラムとファイル名を収集
  • シェルコマンド:Facebook/Simplenoteから受信したシェルコマンドを実行
  • 追加ファイルのダウンロードと実行:DropBoxを使用して追加のペイロードをダウンロードして実行する機能
  • アラビア語を操るユーザーを標的とする:感染したマシン上にアラビア語が存在するかどうかをチェックすることで、関連性のない潜在的な犠牲者に対する実行を回避する


▲デコンパイルされた python スクリプトのグローバル変数

DropBookは、感染したコンピューターにWinRARがインストールされている場合にのみ実行されますが、その理由はおそらく同攻撃の後期段階でWinRARが必要となるためです。

さらに、同バックドアはキーボードの言語をチェックすることで、アラビア語が設定されている場合にのみ実行されます。これは、Moleratsが頻繁に利用する手法の1つです。

ネットワークベースの検知を回避するために、DropBookは、Dropbox、Facebook、Simplenote(メモを残すために使用されるサービス)などの正規のWebサイトやサービスを介してオペレーターとの通信を行います。

そうすることで、同バックドアのWebトラフィックが合法的に見えるようになるため、疑念を招く可能性を低めることができます。また、DropBookでは、ファイルのダウンロードとアップロードにDropboxを使用しているほか、攻撃者からのC2コマンドを配信するためにFacebook/Simplenoteの投稿機能を使用しています。

DropBookの実行フローは次の通りです。

1. Dropbox APIトークンを取得:DropBookは、偽のFacebookアカウントでのFacebook投稿からDropboxトークンを取得します。このバックドアのオペレーターは、この投稿を編集することで、バックドアが使用するトークンを変更できます。Facebookからのトークンの取得に失敗した場合、DropBookはSimplenoteからトークンを取得しようとします。


▲FacebookにおけるDropboxトークン

2. 偵察活動を実施:トークンを受け取った後、このバックドアは、“Program Files”ディレクトリ内およびデスクトップ内に存在するすべてのファイルとフォルダの名前を収集した後、”C:\Users\%username%\info.txt”のファイルに当該リストを書き込み、マシンにログオンしている現在のユーザー名でDropboxに同ファイルをアップロードします。

3. Facebookからコマンドを取得:続いてDropBookは、感染したマシン上で実行するコマンドを受信するために、偽のFacebookアカウントの投稿をチェックします。攻撃者は投稿を編集することで、次のような新しい命令やコマンドをバックドアに提供できます。

  • すべての被害者または特定の被害者に対して任意のシェルコマンドを実行する
  • 後期段階でダウンロードする可能性のあるペイロードの名前を設定する
  • 新しいコマンドにおけるクエリ間のスリープ時間を設定する

Cybereasonは、次のコマンドがC2用のFacebookアカウントに投稿されたことを観測しました。

コマンド 目的
all::tasklist すべての感染したマシン上で“tasklist”を実行する
all::dir すべての感染したマシン上で”dir”を実行する
all::set::soundplyer.exe 次にダウンロードするファイルの名前を”soundplyer.exe”に設定する
all::re::30 スリープ時間を30秒に設定する
all::set::Kd.exe 次にダウンロードするファイルの名前を”Kd.exe”に設定する
all::schtasks すべての感染したマシン上で“schtasks”を実行する
all::set::Firefox.exe 次にダウンロードするファイルの名前を”Firefox.exe”に設定する
all:: %comspec% %userprofile%\Firefox.exe おそらく“Firefox.exe”の実行を試みるものだと思われる
all:: %userprofile%\Firefox.exe おそらく“Firefox.exe”の実行を試みるものだと思われる
all::schtasks /create /sc minute /mo 1 /tn
“Firefox” /F /tr “\”%userprofile%\Firefox.exe\””		 “Firefox.exe”用のスケジュールタスクを作成する
all::schtasks /create /sc minute /mo 1 /tn
“soundplyer” /F /tr “\”%userprofile%\soundplyer.exe\””		 ”soundplyer.exe”用のスケジュールタスクを作成する
all::set::PView.exe 次にダウンロードするファイルの名前を “PView.exe”に設定する
all::dir %userprofile% %userprofile%上で”dir”を実行する
all::schtasks /create /sc minute /mo 1 /tn ”PView.exe”用のスケジュールタスクを作成する
“PView” /F /tr “\”%userprofile%\PView.exe\””
all::set::DG3.exe 次にダウンロードするファイルの名前を“DG3.exe”に設定する

Facebookの「投稿編集履歴(post edit history)」機能を利用することで、バックドアのオペレーターが投稿したコマンドをすべて閲覧できます。


▲Facebookの投稿編集履歴機能により明らかとなった、攻撃者が使用したシェルコマンド

4. 追加のペイロードのダウンロード:DropBookは、Dropboxに保存されているペイロードの拡張された武器庫をダウンロードして実行できます。これには、MoleNetダウンローダーをはじめ、Quasar RATや、DropBookのアップデートバージョンであるSharpStageバックドアが含まれているほか、Windowsプロセスを監視するためのMicrosoftによる正規ツールであるProcess Explorerも含まれています。多くの場合、攻撃者はこれらを利用することで、偵察やクレデンシャルのダンプを行います。

コマンドの投稿は別として、偽のFacebookプロフィールは空であり、接続やユーザーに関する個人情報は一切表示されません。この事実は、偽のFacebookプロフィールが、同バックドアのコマンド&コントロール(C2)通信のためだけに作成されたという仮説をさらに裏付けるものです。


▲DropBookのC2通信に使用される偽のFacebookプロフィール

MoleNetダウンローダーの分析

この攻撃で発見された最も興味深いツールは、おそらくMoleNetダウンローダーでしょう。このツール自体はこれまで文書化されていませんでしたが、Nocturnusチームは、2017年以来動作しているインフラストラクチャと共に、同ツールが気付かれない状態のまま、少なくとも2019年から活発に開発されていたという証拠を見つけました。

MoleNetダウンローダーは、Moleratsの武器庫内に含まれている多くのツールの中の1つであり、今回の攻撃において、SharpStageおよびSparkの両バックドアと共にDropBookバックドアにより配信されていることが発見されました。また、MoleNetダウンローダーは.NETで書かれており、大幅な難読化が施されています。

MoleNetダウンローダーには次の機能があります。

  • OSのプロファイリングのためにWMIコマンドを実行:これには次のコマンドが含まれます。
    ・SELECT * FROM FirewallProduct
    ・SELECT * FROM AntivirusProduct
    ・SELECT * FROM Win32_PhysicalMedia
    ・SELECT * FROM Win32_ComputerSystem
    ・SELECT * FROM Win32_DiskDrive
    ・SELECT * FROM Win32_LogicalDiskToPartition
  • デバッガのチェック:MoleNetは、それがデバッグされているかどうかを確認するために、APIへの問い合わせ(IsDebuggerPresentやCheckRemoteDebuggerPresentなど)のようないくつかのチェックを行います。
  • コマンドラインを使用したマシンの再起動:MoleNetは、シャットダウンコマンドラインユーティリティを実行することにより、感染したマシンを再起動します。


▲コマンドラインを使用して被害者のマシンを再起動

  • 広範な種類のOS情報をC2に送信:C2に送信されるパラメータの例を次に示します。:name={0}&subject={1}&OS={2}&category={3}&priority={4}&message={5}&FileLocation={6}& email={7}&MyVer={8}&XMLDoc={9}&PCTypeOne={10}
  • 追加のペイロードのダウンロード:MoleNetは、C2から追加のペイロードをダウンロードできます。
  • パーシステンスの作成:MoleNetは、Powershellを通じて下記のコマンドを実行することで、感染したマシンにパーシステンスを提供します。powershell reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Run” /f /v Firefox /t reg_sz /

新しいバージョンのMoleNetでは、オペレーターとの通信に下記のURLを使用しているようです。

  • hxxps://exchangeupdates[.]com/enterprise/Wenterprise.php
  • hxxps://exchangeupdates[.]com/enterprise/Senterprise.php
MoleNetの旧バージョンを発見

TTPと文字列を示すツールを追跡することで、Cybereasonは、2020年7月まで遡って、同じドメインであるexchangeupdates[.]comと通信するより初期のサンプルを発見できました。

さらに多くのインジケーターに基づいて調査したところ、2019年まで遡って、さらに初期のサンプルが見つかりました。このサンプルは、別のドメインであるupgrade.newshelpyou[.]comと通信を行っていました。

このドメインは、2017年に発行されたKasperskyによるレポート(Gaza Cybergangによるさまざまな攻撃を取り上げたもの)で言及されていました。ただし、同レポートには、MoleNetダウンローダーに関する情報は含まれていませんでした。

トルコでのSparkバックドアの活動

サイバーリーズンではまた、トルコ語を操る個人を標的としたSparkバックドアの最近の活動も観測しました。このトルコを標的とした攻撃が前述の攻撃と関連しているかどうかは不明ですが、どちらの攻撃もMoleRatsに由来するSparkバックドアを使用しています。Sparkバックドアは、感染したマシン上でアラビア語の設定をチェックすることで知られているため、それがトルコ語を操る個人を標的としているのは興味深いことです。

トルコを標的とした攻撃で観測されたSparkバックドアのドロッパーの1つには、”YENİ İNŞAAT İÇİN GEREKLİ BELGELER.exe”という名前(このファイル名を翻訳すると「新しい構築に必要な文書」になる)が付けられていました。マルウェアが実行されると、悪意ある活動から被害者の注意をそらすために、トルコ語で書かれた囮ファイルがオープンされます。

ファイル名:YENİ İNŞAAT İÇİN GEREKLİ BELGELER.exe
SHA-256:5b0693731f100b960720d67bda6f3e6df1c25b7d5024d11cf61c13e7492f18cf
囮文書のSHA-256:dc9aa462547e1436c7254a78c907915d41f771a3a66d2f4656930724cbf3914d


▲Sparkのバックドアと共にドロップされたトルコ語の囮文書

トルコを標的とした攻撃では、異なるC2ドメインであるbrooksprofessional[.]comを使用しているようです。

Pierogiバックドアへの接続

本調査を実施する中で、上述したような新たに発見されたマルウェア兵器と、サイバーリーズンにより以前に検出された Pierogiバックドアとの間には、興味深い関連性があることが観測されました。

新たに発見されたバックドアの犠牲者の一部は、Pierogiバックドアの新しいバリアントによって標的にされており、この攻撃はAPT-C-23(Moleratsと関係のあるGaza Cybergangの隣接サブグループ)により実行されたものであると考えられています。

Pierogiの配信方法やフィッシングテーマを分析した結果、本レポートで紹介した攻撃との類似性や、MoleratsおよびAPT-C-23が実施したと考えられる過去の攻撃との類似性が、非常に高いことが判明しました。

たとえば、Pierogiバックドアのドロッパーでは、偽のMicrosoft Wordアイコンを持つ実行可能ファイルを利用していることが、複数のインスタンスで観測されています。また、フィッシングの手口や被害者に送られた囮コンテンツにも類似点があります。


▲VirusTotalによれば、Pierogiバックドアのドロッパーのアンチウイルスによる検出率は低い

ファイル名:general secretariat for the council of ministers 1839-2021.exe
SHA-256: 2d03ff4e5d4d72afffd9bde9225fe03d6dc941982d6f3a0bbd14076a6c890247


▲パレスチナ自治区からアップロードされたPierogiのドロッパーファイル

ドロップされた囮PDF文書のSHA-256:
b1ac14df66e1b10b3c744431add3d99a7eb39714b61253fb22dd3a00cba61e05


▲Pierogiがドロップした囮文書の内容

囮文書のもう1つの例としては、次のファイルが挙げられます。これはPierogiバックドアと共にドロップされたものです。

ファイル名:appreved structural-85763489756-5629857-docx.exe (originally with typo)
SHA-256: b61fa79c6e8bfcb96f6e2ed4057f5a835a299e9e13e4c6893c3c3309e31cad44


▲Pierogiバックドアがドロップした囮文書

新しいPierogiのバリアントは、以前報告された機能のほとんどを維持しているようですが、サイバーリーズンでは、コードの難読化やbase64エンコードされたC2通信などを含む、コードに対するいくつかの変更点および改善点を検知しました。さらに、以前報告されていた特徴のあるURIパターンが変更され、ウクライナ語の単語が含まれなくなりました。

新しいPierogiのバリアント内で観測されたURIパターン:

  • hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/ibcdgpuw
  • hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/zbkvngmnc
  • hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/hknbuahwg
  • hxxp://ruthgreenrtg[.]live/xqgjdxa/yhhzireha/tcpuvvfi
旧URIパターン
(ウクライナ語のコマンド)		 目的
debby/weatherford/Yortysnr マシン情報
debby/weatherford/Ekspertyza C2からの更なるコマンドを要求する
debby/weatherford/Zavantazhyty データ(主にスクリーンショット)のアップロード
debby/weatherford/Vydalyty 情報の削除

詳細については、下記のリンク先のIOC文書に含まれているPierogiのIOCの完全なリストをご覧ください。

結論

本レポートにおいて、サイバーリーズンのNocturnusチームは、中東におけるアラビア語を操る人々を主な標的とした活発なサイバースパイ攻撃を調査しました。これらの攻撃は、主としてパレスチナ自治区、アラブ首長国連邦(UAE)、エジプト、およびトルコで観測されたものです。

当社による過去の調査や他社による調査に基づいて、サイバーリーズンでは、これらの攻撃がMoleratsにより遂行されたものであると、中レベルから高レベルの信頼性をもって推測しています。Molerats(別名:Gaza Cybergang)は、アラビア語を操る、政治的な動機を持つAPTグループの1つであり、2012年から中東で活動を続けています。

この攻撃のソーシャルエンジニアリング段階で使用されたフィッシングテーマと囮文書を分析したところ、それらが主にイスラエルと近隣アラブ諸国との関係や、パレスチナの時事問題や政治的な論争を中心としたものであることが判明しました。囮コンテンツの特徴を考慮した上で、サイバーリーズンは、この攻撃オペレーターが中東における地位の高い政治家や政府関係者を標的にしていると推測しています。

調査の結果、これまで知られていなかった“SharpStage”および“DropBook”と呼ばれる2つのバックドアと、“MoleNet”と呼ばれるダウンローダーが発見されました。

これらは、以前検出されたSparkバックドアと共に配信されていました。SharpStageとDropBookはどちらも、DropboxやGoogle Driveのような正規のWebサービスを悪用することでサイバー兵器を保存しているほか、これらのプラットフォームに与えられた信頼を悪用することで、そのようなサイバー兵器をステルス方式で被害者に配信しているようです。

さらに、DropBookバックドアの作成者は、Facebookを悪用して偽のパブリックプロフィールを作成することで、誰もが見ることのできる場所にその身を紛れ込ませつつ、コマンド&コントロール(C2)命令をマルウェアに送信していました。

また、サイバーリーズンは、Gaza Cybergangの2つの隣接サブグループであるMoleratsとAPT-C-23間の類似性を示すことができました。両者は、同じような利益のために活動しているように見えます。

今回の新しいサイバースパイツールの発見は、同グループが使用している以前に特定されたツールとの関連性と共に、Moleratsが現在の政治情勢や最近の中東における出来事を踏まえた上で、同地域での自らのスパイ活動を強化していることを示唆しています。

MITRE ATT&CKによる分類

初回アクセス
スピアフィッシング用の添付ファイル
スピアフィッシング用のリンク

実行
コマンドラインインターフェイス
スケジュールされたタスク
スクリプティング
ユーザーによる実行
Powershell

パーシステンス
スケジュールされたタスク
Task
レジストリ実行キー / Startupフォルダ 
ショートカットの改変

権限昇格
ユーザーアカウント制御(UAC)のすり抜け 
Startup項目

防御回避
ユーザーアカウント制御(UAC)のすり抜け 
ファイルまたは情報の難読化解除/復号化 
ツールの無効化または変更
ファイルの削除
ソフトウェアのパキング
マスカレーディング
分析環境の回避
セキュリティソフトウェアの検出

検出
システム情報の検出 
 システムのオーナー/ユーザーの検出
仮想化/サンドボックスの検出 

収集
画面キャプチャ
収集の自動化

流出
・収集したデー化のアーカイブ化

C&C
Webサービス
データのエンコーディング
リモートファイルコピー
Encrypted 
チャネルの暗号化

インパクト
システムのシャットダウン/リブート

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」