ジャストシステム社は、一太郎製品群(日本語オフィススイートソフトウェア)のゼロデイ脆弱性を修正するための更新を公開しました。この脆弱性は、日本の組織を標的とする攻撃で活発に悪用されています。
今回の攻撃では、悪質な一太郎文書ファイルが添付された電子メールが標的の組織に送信されます。シマンテック製品は、このファイルを Bloodhound.Exploit.557 として検出します。ペイロードには、Backdoor.Emdivi、Backdoor.Korplug、または Backdoor.ZXshell が含まれている可能性がありますが、これらはすべて、侵入先のコンピュータから機密情報を盗み取るためのものです。
電子メールの内容は標的となる組織の業務に応じて異なりますが、いずれも最近の日本における政治的な出来事に関するものです。悪質な添付ファイルを一太郎で開くと、ペイロードが投下されるとともに文書が表示されます。この手の攻撃では、多くの場合、文書ビューアをクラッシュさせてから再起動してクリーンな文書を開くことによって、正規の文書に見せかけようとします。今回の攻撃では、一太郎をクラッシュさせることなく文書を開いてペイロードを投下するため、被害者は、バックグラウンドで実際に起こっていることに気が付きません。
CloudyOmega
以前にブログで取り上げたとおり、パッチ未適用の一太郎の脆弱性に対する攻撃は、今に始まったことではありません。しかし、調査の結果、今回のゼロデイ攻撃は、日本のさまざまな組織を標的とする継続的なサイバースパイ攻撃の一環であることがわかっています。シマンテックは、この一連の攻撃を CloudyOmega と名付けました。ペイロードとしては Backdoor.Emdivi の亜種が常に利用されており、すべての攻撃において電子メールに添付されて標的のコンピュータに送り込まれます。多くの場合、添付ファイルは、偽のアイコンが表示された単純な実行可能ファイルですが、一部のファイルは各種ソフトウェアの脆弱性を悪用しています。今回の一太郎の脆弱性は、その 1 つにすぎません。攻撃グループの主な目的は、標的の組織から機密情報を盗み取ることです。ここでは、一連の攻撃活動の時系列、感染経路、マルウェアのペイロード、そして攻撃を実行しているグループについて考察します。
活動の時系列
最初の攻撃は少なくとも 2011 年まで遡ります。図 1 は、標的となった業種と攻撃件数を年別に示しています。攻撃は初期には非常に慎重に実行されていましたが、2014 年になってから本格化しました。これまでのところ、CloudyOmega 攻撃で最も多く狙われているのは公共部門です。このことが、攻撃グループの正体を探るための手掛かりになるでしょう。
図 1. 標的の業種と攻撃件数の内訳
攻撃経路
攻撃に利用されている主な感染経路は電子メールです。
図 2. 攻撃に使用された電子メールの例
図 2 は最近の攻撃で使用された電子メールの一例で、一太郎のゼロデイ脆弱性を悪用する攻撃が行われる前のものです。添付されている zip ファイルはパスワードで保護されており、中にはマルウェアが含まれています。皮肉なことに、セキュリティの基本対策(ベストプラクティス)に従って、パスワードは別の電子メールで送信すると記載されていますが、これは、正規の信頼できる送信元から届いたと信じこませようとしているにすぎません。本文には、添付ファイルに医療費の通知が含まれていることが簡潔に記載され、添付ファイルを Windows コンピュータで開くよう求めています。zip 内のファイルには Microsoft Word のアイコンが表示されていますが、Windows エクスプローラで確認できるように、実際には実行可能ファイルです。
図 3. 添付されている「文書」は実際には悪質な実行可能ファイル
ペイロード
ペイロードは Backdoor.Emdivi であり、侵入先のコンピュータでバックドアを開きます。このマルウェアは CloudyOmega による一連の攻撃でのみ利用されており、2011 年に日本の化学会社に対する攻撃で初めて確認されました。Emdivi を使うと、リモートの攻撃者は、HTTP を介してコマンドの実行結果をコマンド & コントロール(C&C)サーバーに送信することができます。
Emdivi の亜種にはそれぞれ一意のバージョン番号があり、タイプ S またはタイプ T のいずれかに属します。一意のバージョン番号があるのは、Emdivi が体系的に管理されている証拠です。さらに、バージョン番号に単語を追加したものをベースにハッシュ値が生成され、暗号化キーとして使用されています。
タイプ S とタイプ T では次の機能が共通しています。
- リモートの攻撃者が HTTP を介してコードを実行できる
- Internet Explorer に保存されている認証情報を盗み取る
CloudyOmega 攻撃で主に使用されているのは、タイプ T です。C++ プログラム言語で記述されており、2011 年に攻撃が開始されてから継続的に進化を重ねています。セキュリティ企業やネットワーク管理者から自身を保護するための技術を備え、接続先の C&C サーバーのアドレスや保護メカニズムなど、タイプ T の重要な部分は暗号化されています。また、次のような自動分析システムやデバッガの存在を検出します。
一方、タイプ S が一連の攻撃で使用されたのは 2 回だけです。タイプ S は同じソースコードに基づく .Net アプリケーションで、C&C インフラをタイプ T と共用しています。しかし、活動を継続するために不可欠な保護メカニズムや暗号化機能は備えていません。タイプ S について興味深いのは、インターネットからランダムに取得したとみられる日本語の文を使ってファイルのハッシュ値を変更する機能です。たとえば、図 4 のように、特殊相対性理論を説明する文が使用されています。
図 4. Emdivi のタイプ S の亜種で使用されている日本語の文
Emdivi の通信先
Emdivi は、感染すると、ハードコード化された C&C サーバーに HTTP プロトコルを介して接続します。
これまでに、58 種類の Emdivi の亜種から、重複を含まず合計 50 件のドメインが特定されています。C&C サーバーとして利用された Web サイトは、ほぼすべてが小規模企業が所有するサイトや個人ブログなど、侵害された日本の Web サイトです。50 件の Web サイトのうち、13 個の IP アドレスに分布する 40 件は、日本に拠点を置く単一のクラウドホスティングサービスでホストされています。
図 5. 侵害された複数の Web サイトが、単一の IP アドレスでホストされている
侵害されたサイトは、さまざまな Web サイトプラットフォーム上で Apache や Microsoft Internet Information Services(IIS)など各種の Web サーバーソフトウェアによってホストされています。このことから、単一のソフトウェア製品や Web サイトプラットフォームの脆弱性を突かれて侵害されたのではないことが分かります。攻撃者は何らかの手段でクラウドサービス自体を侵害して、複数の Web サイトを Backdoor.Emdivi の C&C サーバーとして改ざんしたのです。
侵害されたクラウドホスティング会社には通知済みですが、このブログの執筆時点ではまだ返答がありません。
シマンテックでは、感染したコンピュータと Emdivi の C&C サーバーとの間のネットワーク通信を検知して遮断するために、次の 2 つの IPS シグネチャを提供しています。
ゼロデイ脆弱性と他のサイバー犯罪グループとのつながり
調査を進めるなかで一連の攻撃に関連する複数のサンプルが特定されたことから、他の攻撃グループとのつながりが見えてきました。
2012 年 8 月、CloudyOmega の攻撃者は Adobe Flash Player と AIR に存在する copyRawDataTo() の整数オーバーフローの脆弱性(CVE-2012-5054)を悪用して、日本の有名な組織を標的とする攻撃を実行しています。攻撃者は、脆弱性を悪用するように細工された SWF ファイルを含む Microsoft Word ファイルを送信しました。脆弱性の悪用に成功すると Backdoor.Emdivi がインストールされます。CVE-2012-5054 は同月に公表されたものであり、この攻撃で利用された当時はゼロデイ脆弱性でした。
さらに興味深いことに、2012 年の Emdivi 攻撃で使用された Flash ファイルと 2013 年の LadyBoyle 攻撃で使用された Flash ファイルは、非常によく似ています。
図 6 は、Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)の悪用を試みる LadyBoyle() コードを実行する、不正な形式の SWF ファイルを示しています。この Flash ファイルは、CloudyOmega グループと同じフレームワークを使って作成されたと思われますが、別の悪用コードが組み込まれています。
図 6. 2013 年 2 月の LadyBoyle 攻撃で使用された不正な形式の SWF ファイル
両方の攻撃において、バックドアをインストールするための Adobe Flash のゼロデイ悪用コードを含む .doc ファイルが使用されています。2 つの攻撃を関連付ける証拠は他にはありませんが、Elderwood プラットフォームのブログで説明したとおり、単一の上位グループから複数のサブグループが派生して、それぞれが特定の業種を狙っている可能性が高いと考えられます。
一太郎の脆弱性を悪用する今回の攻撃では、収集された JTD ファイルのサンプル十数件はすべて、ペイロード以外はまったく同一のものでした。上位グループが複数のサブグループに、攻撃ツールキットの一部としてゼロデイ悪用コードを提供し、各グループがそれぞれマルウェアを選択して別々に攻撃を実行したものと思われます。今回のゼロデイ攻撃で Backdoor.Emdivi、Backdoor.Korplug、Backdoor.ZXshell という 3 つの異なるペイロードが確認されているのは、このためでしょう。
図 7. ゼロデイ悪用コードを共有する上位グループ
結論
CloudyOmega 攻撃を実行しているグループは、LadyBoyle の実行グループや HiddenLynx など、他の悪名高い攻撃グループと密接なつながりがあります。CloudyOmega 攻撃は 2011 年から確認されており、日本の組織を狙って執拗に活動を継続しています。今回、ゼロデイ脆弱性を悪用した攻撃が実行されたということは、攻撃グループは当面の間、活動を停止する気配がないということです。シマンテックセキュリティレスポンスは CloudyOmega グループに対して注意深く監視を続けていきます。
保護対策
一太郎製品をお使いのお客様は、できるだけ早くパッチを適用することを強くお勧めします。
シマンテック製品をお使いのお客様は、次の検出定義によって、CloudyOmega に関連する攻撃から保護されています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。