サイバーリーズン社内には、サイバー攻撃とその防御の手法に関して高度な知見と幅広い経験を有するエキスパートばかりを集めた「Nocturnus」というチームが存在します。このグループでは主に最先端の攻撃ツールや攻撃テクニック、その防御技術などについて日々調査・研究を行っており、その成果は弊社のお客様のセキュリティ対策に反映されるほか、定期的にレポートを発表するなどして世間一般に対する情報セキュリティの啓発活動にも生かされています。

本稿ではこれらの活動の一端を紹介すべく、2020年上半期にNocturnusチームが行った調査・研究の成果の一部をまとめてみました。

単なるローダーから巧妙な情報窃取マルウェアへと進化を遂げた「Valak」

2019年後半に初めて発見された「Valak」というマルウェアは、当初はほかのマルウェアをダウンロードする単なる「ローダー」と見なされていました。しかし2020年4月にNocturnusチームが行った調査では、特定の個人や企業をターゲットにした標的型攻撃における情報窃取マルウェアとしても機能することが分かりました。C＆Cサーバから機能拡張用のプラグインをダウンロードする仕掛けを通じて、わずか6カ月の間に30以上の異なるバージョンに進化しています。

現状、このマルウェアのターゲットとされているのは主に米国とドイツの企業で、最新バージョンではMicrosoft Exchange Serverから企業の証明書やメール情報、パスワードなどを盗み出すほか、近年対策が進むPowerShell悪用の手法をやめるなど、現在も最新トレンドを意識した進化を続けています。
https://www.cybereason.co.jp/blog/cyberattack/4747/

別のハッカーをハッキングして巧妙にRATを送り込む手口

2020年3月、NocturnusチームはRATツール「njRat」の活動を検知しました。njRat自体は以前から存在するよく知られたRATですが、今回発見された攻撃はこれまでにないユニークな特徴を持っていました。詳細な調査を進めていった結果、攻撃者はほかのハッキングツールにnjRatを注入してトロイの木馬化した上で、そのハッキングツールが使われた際に裏でいつの間にか攻撃対象を乗っ取っていることが分かりました。つまり別のハッカーの攻撃に便乗する形で、RATをひそかに送り込んでいたのです。

この手法を用いる攻撃者は、ほかのハッカーをおびき寄せるために、ダークウェブのフォーラムに悪意を持って改変したファイルを投稿しています。また脆弱性のあるWordPressサイトを乗っ取り、njRatペイロードをホストしていることも確認されています。
https://www.cybereason.co.jp/blog/cyberattack/4611/

モバイル金融アプリケーションを狙った新たなトロイの木馬の出現

2020年3月には、Android端末をターゲットにした新たなタイプのモバイルマルウェア「EventBot」の存在が初めて確認されました。このマルウェアは、正規のAndroidアプリを装って非公式アプリストアにアップロードされ、これをダウンロード・インストールしたユーザーのAndroid端末上でトロイの木馬として機能します。具体的にはAndroidのユーザー補助機能を悪用し、ユーザーが金融アプリケーションを利用した際にユーザーデータやメッセージを盗み取り、マルウェアが金融アプリケーションの二要素認証をバイパスできるようにします。

200種類以上の金融アプリケーションがこのマルウェアのターゲットになっており、米国と欧米を中心に被害が報告されています。このマルウェアはまだ開発の初期段階にあると考えられ、現在も急速な進化を遂げているため、モバイル金融アプリケーションの利用者は十分に注意を払う必要があります。
https://www.cybereason.co.jp/blog/cyberattack/4652/

パレスチナの個人・組織からの情報窃取を狙うスパイ攻撃

2019年12月より、中東パレスチナ地区の個人や組織を標的とした新たなタイプのスパイ攻撃が観測されています。この攻撃は、ハマスとその他の政治組織間の緊張関係をテーマにしたWord文書を囮にして感染し、被害者の端末上でバックドアを作成します。このバックドアはこれまで見られなかった新たなタイプのもので、Nocturnusチームではこれを「Pierogi」と呼んでいます。このバックドアを通じて、攻撃者は被害者に関するさまざまな情報を取得できるようになります。

こうした一連のスパイ攻撃の手口は、アラビア語を操るAPTグループ「MoleRATs（別名Gaza Cybergang）が過去に行ったものと類似しており、その関連性が疑われています。

異なる手口を用いたスパイ攻撃も

同じく中東を標的とするスパイ攻撃を追跡する中で、異なる手口を用いた攻撃手法も確認されています。大まかな攻撃の流れは前項で紹介したものと似ているのですが、マルウェア感染の囮として使われるWord文書の内容は、中東地域における最近の地政学的な出来事、特にイスラエル・パレスチナ紛争やガーサム・ソレイマーニーの暗殺、パレスチナにおけるハマスとファタハ間の紛争などがテーマとして取り上げられています。

メールの添付ファイルやサイトからのダウンロードなどの経路でこれらのファイルを入手し、中身を開いた被害者の端末上では、「Spark」と呼ばれるバックドアが作成され、攻撃者のスパイ活動に悪用されます。この攻撃もその手口の内容から、先ほどのものと同じくMoleRATsの関与が疑われます。
https://www.cybereason.co.jp/blog/cyberattack/4424/
https://www.cybereason.co.jp/blog/cyberattack/4461/

開発者向けの正規プラットフォームを通じて複数種類のマルウェアを展開

ソフトウェア開発者向けのリポジトリサービスとしてはGitHubが有名ですが、アトラシアン社が提供する「Bitbucket」も同様に多くの開発者によって利用されています。このBitbucketを悪用して、特定ユーザーの端末を狙って複数種類のマルウェアに一気に感染させる攻撃手法が確認されています。この攻撃では、情報窃取やランサムウェア、コインマイナーなど全部で7種類ものマルウェアに感染させ、被害者をありとあらゆる手口で徹底的に餌食にします。

現在世界中でこの攻撃の被害が報告されており、2020年2月に調査を行った時点では、世界中で50万台を超える端末が感染していると推測されています。一度感染すると立て続けにさまざまな種類の攻撃を受ける可能性があり、その被害規模は甚大に及ぶことがあるため、Bitbucketを利用している組織は十分な警戒が必要です。
https://www.cybereason.co.jp/blog/cyberattack/4381/

2020年上半期 サイバー脅威アラート

Nocturnusチームが2020年上半期に調査・研究したサイバー脅威アラートをこちらからダウンロードいただけます。ご自身のセキュリティナレッジのアップデートや振り返り、セキュリティ対策の検討にお役立てください。
https://www.cybereason.co.jp/product-documents/survey-report/5193/