背景

この数ヶ月間、サイバーリーズンのNocturnusチームは、中東を標的とする最近のスパイ攻撃を追跡してきました。これらの攻撃は、特にパレスチナ地区における組織や個人を対象としています。この調査の結果、 MoleRATs (別名Gaza Cybergang)と呼ばれるグループによる過去の攻撃との複数の類似性が示されています。同グループは、アラビア語を操る政治的動機に基づいたグループであり、2012年より中東で活動を続けています。

我々の分析では、同時に発生した2つの独立した攻撃を区別しています。これらの攻撃は、ツール、サーバーインフラストラクチャ、囮(おとり)の内容のニュアンス、および意図する標的が異なっています。

  1. Spark攻撃:この攻撃は、ソーシャルエンジニアリングを利用することにより、主としてパレスチナ地区の被害者をSparkバックドアに感染させます。このバックドアは2019年1月に初めて現れたものであり、それ以来ずっと活動状態にあります。この攻撃の囮となるコンテンツは、最近の地政学的な出来事(特にイスラエル-パレスチナ紛争、ガーサム・ソレイマーニーの暗殺、パレスチナにおけるハマスとファタハ間の紛争など)を中心に展開されています。
  2. Pierogi攻撃:この攻撃は、ソーシャルエンジニアリング攻撃を利用することで、被害者をPierogiと呼ばれる文書化されていない新しいバックドアに感染させます。このバックドアは2019年12月に初めて現れ、サイバーリーズンにより検出されました。この攻撃では、攻撃者は、マルウェアであるMicropsiaおよびKaperagentを含むMoleRATsによる過去の攻撃を思い出させる、各種のTTPや囮文書を利用しています。

本調査のパート1では、Spark攻撃を分析します。この攻撃は、サイバーリーズンによりSparkと呼ばれた、MoleRATsグループが使用する珍しいバックドアにちなんで名付けられています。このバックドアは、以前360のブログで報告されたものです。

Pierogi攻撃に関する詳細については、本調査の パート2をご覧ください。

Sparkバックドアの作成者は、複数のテクニックを使って検知を逃れ、気付かれない状態を維持します。彼らは、Enigma Packerと呼ばれる強力な商用ツールを使ってマルウェアをパックするほか、言語チェックを実装することで、被害者がアラビア語を操るユーザーであることを確認します。これにより、検知のリスクや、望ましくない犠牲者への感染を最小化できます。

主なポイント

  • 中東におけるサイバースパイ攻撃:サイバーリーズンのNocturnusチームは、中東における最近の標的型攻撃を複数検出しました。これらの攻撃は、SparkおよびPierogiバックドアを提供することで、政治的な動機に基づくサイバースパイ攻撃を行うものです。
  • パレスチナ人が標的:これらの攻撃は、パレスチナの個人や組織(多くの場合パレスチナ政府に関連するもの)を標的としているように思われます。
  • 政治的動機に基づいたAPT:サイバーリーズンでは、脅威アクターの目的は、被害者から機密情報を取得し、その情報を政治的な目的に利用することではないかと疑っています。
  • バックドアを導入するよう誘導:攻撃者は、特別に作成された囮コンテンツを利用して、ターゲットが悪意あるファイルを開くように仕向け、その結果、被害者のマシンにバックドアを感染させます。この悪意あるファイル内の囮コンテンツは、中東の政治事情に関連するものであり、特にイスラエル-パレスチナ紛争、ハマスとファタハ間の緊張、および地域におけるその他の政治組織に対する言及が含まれています。
  • アラビア語を操るAPTグループにより用意されたもの:攻撃者の手口、ソーシャルエンジニアリング戦術、および囮コンテンツを合わせて考えると、この攻撃は、アラビア語を操るAPTグループであるMoleRATs(別名Gaza Cybergang)が過去に行った攻撃とつながっているように思われます。同グループは、2012年より中東で活動を続けています。

疑わしい脅威アクターの説明

これらの攻撃は、アラビア語を操る脅威アクターが行ったとされる、過去に文書化された攻撃との大きな類似を示しています。この脅威アクターは、通常、MoleRATsグループと呼ばれています(別名で、Gaza CybergangMoonlightDustySky、Gaza Hacker Teamとも呼ばれる)。

同グループは、各種のセキュリティチームにより攻撃者として特定されており、次の3つのサブグループから構成されていると見なされています。

  1. Gaza Cybergangグループ1(別名MoleRATs):MoleRATsは数なくとも2012より活動を続けています。このアラビア語を操るグループは、スピアフィッシング攻撃を利用することで、中東や北米における標的マシンを各種のRemote Access Trojan(RAT)に感染させています。MoleRATsはパレスチナ地区を主な標的としているため、そのスピアフィッシング攻撃は多くの場合、被害者をおびき寄せるために、パレスチナ自治政府に関連した時事問題を取り上げた悪意ある添付ファイルを利用しています。同グループはツールとマルウェアを組み合わせて利用しており、それらの中には自ら開発したものもあれば、より汎用的なツールもあります。
  2. Gaza Cybergangグループ2(別名Desert FalconsAPT-C-23Arid Viper:この2番目のグループは、中東と北米を主な標的とするアラビア語を操るグループであり、ヨーロッパやアジアの国を標的とする場合もあります。同グループは、カスタム構築されたWindows向けマルウェア(KasperagentMicropsia)およびAndroid向けマルウェア(VampGnatSpy)を利用する高度な攻撃で知られています。
  3. Gaza Cybergangグループ3: このグループは、Operation Parliamentの背後にいるものと見なされています。同グループは、上記3つの中で最も高度なグループであると見なされており、中東、北米、ヨーロッパ、およびアジアにおける人目を引く標的に狙いを定めています。同グループは過去に、政府機関、議会、州議会、外交機能をはじめ、オリンピックやスポーツ団体を攻撃したと言われています。
攻撃者の特定に関する注意

中東には活動している脅威アクターが多数存在しており、しかも多くの場合、彼らが利用するTTP、ツール、同期、被害者学には重複があるということを忘れないでください。過去には、攻撃者を特定する作業を妨害するために、ある脅威アクターが別のアクターの真似をしたというケースもありました。このため、攻撃者の特定に関する情報は鵜呑みにすべきではなく、常に疑いを持ち、批判的な観点から捉える必要があります。

感染ベクター:標的型コンテンツを利用したソーシャルエンジニアリング

ターゲットの誘い出しに使われるコンテンツのテーマ

この攻撃では、ターゲットは、電子メールに添付された文書やリンクを開くように誘導されます。過去にも、被害者がフェイクニュースのWebサイトから悪意あるコンテンツをダウンロードしたケースがありました。これらのファイルやそのコンテンツの名前は、それらを開かせるよう被害者を誘導する上で大きな役割を演じるため、それらは通常、ハマス、パレスチナ自治政府、および中東におけるその他の最近の出来事のような、最新の話題に関するものとなっています。サイバーリーズンが分析したこの攻撃における囮文書は、次のテーマに集中していました。

  • ハマスとファタハ間の紛争:ハマスとファタハ間の歴史的な対立は、これらの2組織間で多くの紛争を生み出してきました。2006年以降、ハマスはガザ地区を、ファタハはヨルダン川西岸地区をそれぞれ支配しています。
  • イスラエル-パレスチナ紛争に関する問題:この攻撃における文書の中には、イスラエル-パレスチナ紛争の持つ様々な側面、イスラエルとパレスチナ間の休戦および和平プロセスに関する取り組みを取り上げたものもあります。これには、米国大統領ドナルド・トランプと大統領上級顧問ジャレッド・クシュナーにより実施された最新の和平計画も含まれています。
  • ソレイマーニーの暗殺後の警戒:囮文書の1つには、ソレイマーニーの暗殺後のイラン軍、シリア軍、レバノン軍の間における警告および警戒状況を報告したレバノンの情報源に言及したものもありました。
  • ハマスとエジプト政府間の緊張:エジプトは、イスラエル-パレスチナ紛争の調停者として重要な役割を演じており、これまでに休戦協定やその他の折衝を何度も仲介してきました。しかし、ここ数年間、エジプトの内政状況に対する変化が、エジプト政府のハマスとの関係に影響を与えていることが知られています。最近、ハマスの政治局長官であるIsmail Haniyehが、ガーサム・ソレイマーニー司令官の暗殺後、同司令官の葬儀に出席するための彼のテヘラン訪問に関して、エジプト政府と仲たがいしたことが報じられました。


パレスチナ地区から VirusTotalへとアップロードされた「アブ・マゼンとクシュナーの会談」という名前のSparkバックドアドロッパー


Spark攻撃で観測されたファイルをまとめた表

Spark攻撃では、囮文書およびリンクは、2つのファイル共有Webサイト(EgnyteまたはDropbox)のうちどちらかを指しています。ターゲットは、Microsoft Word文書を装ったrarまたはzip形式のアーカイブファイルをダウンロードするよう促されます。

次のファイルはDropBoxからダウンロードしたものです。


Dropboxでホスティングされている悪意あるアーカイブ


悪意あるアーカイブにはターゲットを誘導するための名前が付けられている

例1:PDF文書を使用したソーシャルエンジニアリング

Spark攻撃で使われた囮文書の例として、Sparkバックドアを被害者へと配信するために使われるPDFファイルが挙げられます。この文書には、エジプトの新聞であるAl-Ahramから引用されたと思われる特別レポートが含まれています。

同文書は、ハマスの政治的指導者であるIsmail Hanieyhが、ソレイマーニー司令官の葬儀に参加するためにテヘランを訪れた後、海外に留まるつもりであるとエジプト政府に通知したことによりエジプト政府との緊張が高まったと伝えています。


この文書は、2020年1月20日に、パレスチナ地区からVirusTotalへとアップロードされたものです。


2020年1月20日にパレスチナ地区からVirusTotalへとアップロードされた文書


読み手に悪意あるリンクをクリックさせようと誘導するフィッシング文書

ターゲットは、記事を全部読むためにはリンクをクリックするように促されます。しかし、この文書は、エジプトの新聞社のWebサイトにはリンクしておらず、代わりにEgnyteという名前の共有Webサイトへとリンクしています。ユーザーは、記事の全文を含んでいると思われるファイルをダウンロードするよう促されます。


PDF文書に埋め込まれているリンク:hxxps://csaasd.egnyte[.]com/dd/h5s7YHzOy5
ダウンロードされたファイルはアーカイブファイル(.r23)であり、これにはPDFと同じ名前のWindows実行可能ファイルと、偽のMicrosoft Wordアイコンが含まれています。


偽のアイコンを使用してWord文書になりすましたSparkバックドアドロッパーファイル

被害者がこの実行可能ファイルをダブルクリックすると、同ファイルはアンパックされ、Sparkバックドアがインストールされます。攻撃ツリーの画面ショットは次のようになります。


Sparkバックドアのインストールプロセス(Cybereasonの攻撃ツリーでの表示)

バックドアのインストール:Autoitドロッパー

抽出された実行可能ファイルには、コンパイル済みのAutoitスクリプトが含まれています。同スクリプトは、このファイルのRT_RCDATAセクション内に見つかります。


ドロッパーのバイナリリソース内に見つかったAutoitのコード(SHA-256: 7bb719f1c64d627ecb1f13c97dc050a7bb1441497f26578f7b2a9302adbbb128)

このコードを逆コンパイルすると、埋め込まれているSparkバックドアをアンパックする暗号解除ルーチンが現れます。


逆コンパイルされたAutoitスクリプトからの抜粋:Sparkバックドアをアンパックする部分

ファイルがアンパックされると、バックドアが、下記に示す感染したオペレーティングシステム上の2つの異なる場所に投下されます。

  • C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runawy.exe
  • C:\Users\user\runawy.exe
    また、Autoitコードは、パーシステンスを実現するために、次に示すスケジュールされたタスクを作成します。
  • SCHTASKS /Create /f /SC minute /TN runawy /mo 5 /tr C:\Users\<USER>\runawy.exe


逆コンパイルされたAutoitスクリプトからの抜粋:バックドアをインストールしパーシステンスを作成

例2:囮文書を含むドロッパー

調査中に、我々は次のような実行可能ファイルを見つけました。


この実行可能ファイルは、被害者に自分がWord文書を開いていると思わせるために、Microsoft Wordのアイコンを含んでいます。


偽アイコンを使ってWord文書になりすますSparkバックドアドロッパーファイル

ユーザーがこの実行可能ファイルをダブルクリックすると、同ドロッパーはWord文書を%AppData%内にドロップし、次の囮文書を被害者に表示します。その一方で、同ドロッパーは、バックグラウンドで動作することにより、バックドアをインストールします。


囮文書は「緊急情報レポート」というタイトルのアラビア語で書かれた内容をユーザーに提示

同ドロッパーは、Sparkバックドアのバイナリと、パーシステンスの初期化に使用されるショートカットファイルを次の場所に投下します。


CybereasonのUI:Sparkバックドアの感染チェーンを表示する攻撃ツリー

Sparkバックドアの分析

Sparkペイロードは、MoleRATsグループにより開発された可能性の高いカスタムバックドアです。既知の汎用マルウェア( njRATPoison IvyXtremeRATなど)に加えて、MoleRATsグループは、独自のカスタムツール(DustySkyMoleRAT LoaderScoteなど)を開発することでも知られています。我々は、このバックドアは、比較的新しいものであり、2019年初めに現れたものではないかと考えています。

Sparkという名前は、同バックドアバイナリの一部に残されていたPDBパスに由来します。

  • W:\Visual Studio 2017\Spark4.2\Release\Spark4.2.pdb
    Sparkバックドアを使うことで、攻撃者は次のことが行えます。
  • 感染したマシンに関する情報を収集すること
  • 収集したデータを暗号化し、それをHTTPプロトコル経由で攻撃者へと送信すること
  • 追加のペイロードをダウンロードすること
  • キーストロークのログを記録すること。
  • コンピュータのマイクを使用して音声を記録すること。
  • 感染したマシン上でコマンドを実行すること。
    Sparkバックドアの作成者は、同バックドアを気付かれない状態に保つために、次のようなテクニックを利用しています。
  • Enigma Packerを使用したペイロードのパッキング
  • WMIを使用したアンチウイルスおよびその他のセキュリティ製品のチェック
  • 感染したマシン上でのアラビア語キーボードおよび言語設定の検証

Enigma Packer

本攻撃においてCybereasonが観測したすべてのペイロードは、Enigma Packerという名の強力な商用パッカーによりパッキングされていました。MoleRATs は、過去の攻撃において、このパッカーを利用していたことが知られています。


ファイルメタデータにおけるEnigma Packerのアーティファクト(SHA-256: b08b8fddb9dd940a8ab91c9cb29db9bb611a5c533c9489fb99e36c43b4df1eca)

セキュリティ製品のチェック

Sparkバックドアが利用する一般的な検出回避メカニズムの1つとして、WMIクエリ(WQL)を使用してインストールされているセキュリティ製品をチェックする機能が挙げられます。特定のセキュリティ製品がインストールされている場合、同バックドアはその悪意あるアクティビティを実行しません。

  • SELECT * FROM AntiVirusProduct
  • SELECT * FROM FirewallProduct

アラビア語のチェック

同バックドアが利用するもう1つの検出回避メカニズムとして、感染したマシン上でアラビア語キーボードおよびアラビア語の言語設定が使われているかどうかをチェックすることが挙げられます。当該マシン上にアラビア語のキーボードおよび言語設定が見つからない場合、同バックドアはその悪意あるアクティビティを実行しません。このチェックは、次の2つのことを目的に行われます。

  1. アラビア語の話者を特別に標的とすることにより、過剰な露出のリスクを最小化すること
  2. 自動化された分析エンジンやサンドボックスソリューションにより検知を妨害すること


感染したマシン上にインストールされているキーボードを列挙


感染したマシンからローカル情報を取得


言語チェックの結果を「Arabic」という語と比較

隠しウィンドウの利用

Sparkバックドアは、自分自身をアンパックした後、ほとんどの悪意あるアクティビティが処理される隠しウィンドウを作成します。


隠しウィンドウの作成:ShowWindow関数で値0を使用することで同ウィンドウを非表示にできる

この振る舞いは、WinListerという名の隠しウィンドウ列挙ツールを使うことで検知できます。この隠しウィンドウの名前は「Spark4.2」であることが分かります。

C2通信

SparkバックドアはHTTPプロトコル経由でC2サーバーと通信します。通信に使われるデータは、まず暗号化された後、Base64でエンコードされます。この例では、同バックドアは、データをドメインNysura[.]comへとポストします(その他のドメインについては、本文書の末尾にあるIOCのセクションを参照してください)。

興味深いことに、このHTTP POSTホストヘッダは、正規ドメインであるcnet.comを参照していますが、実際にはデータはnysura[.]comへと送信されていることが分かります(下記のトラフィック画面ショットを参照)。


SparkバックドアがC2サーバーにデータを送信

C2サーバーに送信されるデータは、事前定義済みのキーワード配列を使用する構造化されたパターンに従います。ここで、各キーワードは、特定のサブルーチンに対応しています。これらのキーワードは、個人名から構成されています。ほとんどの場合、これらは西洋人の名前ですが、いくつかの例ではアラビア人の名前も含まれていることがあります。


バックドアにより使用される名前から構成されるキーワード

データをサーバーに送信する前に、同データは暗号化され、次のように配列内に格納されます。

[27089,28618,9833,4170,25722,19977,2369,21426,3435,7442,30146,21719,16140,16280,16688,22550,19867,194,3298]

その後、このデータは次のようにBase64でエンコードされます。

“WzI3MDg5LDI4NjE4LDk4MzMsNDE3MCwyNTcyMiwxOTk3NywyMzY5LDIxNDI2LDM0MzUsNzQ0MiwzMDE0NiwyMTcxOSwxNjE0MCwxNjI4MCwxNjY4OCwyMjU1MCwxOTg2NywxOTQsMzI5OF0=”

Base64でエンコードされたデータは、次のようなjsonオブジェクトへと挿入されます。このオブジェクトには、個人名が含まれています。


Base64でエンコードされたデータを含むjsonオブジェクト

最後に、このjsonオブジェクト全体がBase64でエンコードされ、暗号化の次なる段階を経た後、サーバーへと送信されます。

ZjRTc1dTTU9nVW5FaXM3bGgvbU90MTlVMHFkb1c5SFFuRXhhSVR5YytIQkZremk3bk5wY21BUEZRYitJenA1cnlJY1lxREJJZ1RrL0N4UzZWcVVQM0pTUWFISlhKWG8wN1BxWE1hYThHSUdEVnBFakYrNlp1bXBvdUZMRFNYQVhxYk9tSElWYTFOTlpJK0hFVVBmTG9CQUV3VCtqQ2FCVUE1aHQ2SzllSHREMUpOdkdBUXZ3TWgyLzhtVHpha2I0TE81ZlpURTQyUmVjdFY1M0ZpemlRR1FLL1gzNE9mcU0zR0JqQ1ZnN1hCSmFGaC94RHBDMkNBRmZaSTVoVlhsaTBtQW5SR3N5QzVRY2lMNkpZVFJuRTQrUzBjdjU4SjY4ejRCL2FNbW9IakRheHdQd1RPUElkOHNDbDRVbmp2ZDM0ZVZlZTB1QVA0UHo0YllyVHRMZVRnPT0=”

名前をキーワードとして使用することは、 360のブログ記事で過去に文書化されたデータ構造ロジックと同じテクニックです。この記事では、MoleRATsグループに帰属するバックドアの初期のバリアントについて説明しています。その他の個人名を C2通信に利用することは、次に示す2つの別のGaza Cybergangグループによっても行われています。

  • Gaza Cybergangグループ2とMicropsiaバックドア:この例では、Micropsiaバックドアが実装したC2通信において、各種のC2コマンドに関しても特定の名前が使用されていました。
  • Gaza Cybergangグループ3とOperation Parliament:この例では、マルウェアが、ユーザー名をC2通信で利用することにより、C2サーバーとのコマンドの送受信を行っていました。命名規則とデータ形式の類似に基づいて、我々は、Sparkバックドアは、Operation Parliamentで言及されたバックドアが進化したものであるか、または少なくとも同マルウェアによりインスパイアされたものであると考えています。

結論

本ブログで紹介したSpark攻撃は、脅威アクターがサイバースパイ攻撃を目的として、被害者を誘導し彼らをSparkバックドアに感染させるために、中東における緊迫した地政学的情勢をいかに利用しているかを実証するものです。

ファイル名や囮コンテンツは慎重に作成されており、しばしば物議をかもしている話題の政治的問題を参照しているように見受けられます。サイバーリーズンでは、これらのファイルは、中東における被害者の気を引くことを目的としており、特に、パレスチナ政府またはファタハ組織に関係している可能性の高いパレスチナ地区の個人や組織を標的としていると推測しています。

この攻撃で使われる手法、ツール、手順は、MoleRATsグループ(別名Gaza Cybergang Group)が行ったとされる過去の攻撃と非常に類似しています。同グループは、アラビア語を操る政治的動機に基づいたグループであり、2012年より中東で活動を続けています。

我々の調査により、攻撃者は、各種のセキュリティツールによりSparkバックドアが検知されるリスクを低下させるために利用している活動が明らかになりました。同バックドアは、その悪意あるアクティビティを開始する前に、アンチウイルスやファイアウォール製品の存在をチェックしています。重要なことに、同バックドアは、アラビア語のキーボードおよび言語設定が感染したマシンに見つからない場合、その悪意ある本質を表すことはありません。これは、攻撃者が、特定のターゲットの身を対象としてこのバックドアを仕掛けていることを示しています。

さらに、これらのバックドアの配信方法の分析により、多くの脅威アクターが正規のストレージプラットフォームを使用して攻撃の初期段階を提供しているという傾向が明らかになりました。悪意あるコンテンツをDropBoxのような信頼できるプラットフォーム上に格納することで、攻撃者は、電子メールフィルタのような人気のある特定のセキュリティソリューションにより検出されるリスクを軽減できます。

Cybereasonによる攻撃の検知、可視性、および回避

Cybereasonは、本調査において言及された攻撃を検知して回避します。


CybereasonのUI:Sparkバックドアのインストールを示す攻撃ツリー

Cybereasonの次世代アンチウイルス(NGAV)ソフトウェアは、Sparkバックドアを検知して回避します。


(SHA-256: 5139a334d5629c598325787fc43a2924d38d3c005bffd93afb7258a4a9a8d8b3)

ファイル(pdf.exe)は、Cybereason NGAVにより自動的にブロックされます。


CybereasonエージェントがSparkバックドアの実行をブロック

IoC(Indicators of Compromise:痕跡情報)

https://www.cybereason.com/hubfs/MoleRATs IOCs (updated).pdf

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」