寄稿: Gavin O’Gorman
長期にわたって活動を続けているサイバースパイグループが、カスタム開発した独自のマルウェア(Backdoor.Daserf)を利用して、主に日本の企業を狙い始めました。このサイバースパイグループ(シマンテックは「Tick」と呼んでいます)は、目立たずに存在し続け、発見される前に少なくとも 10 年間は活動を続けていたようです。
ごく最近では、Tick はスピア型フィッシングメールを利用して、複数の日本企業の Web サイトに侵入し、新たな被害者を生み出しました。Tick の攻撃はきわめて限定的であり、侵入先の企業が意図した標的だったと確定して初めて、あらゆるツールを動員するようです。Tick グループはさまざまなハッキングツールを使って、被害者のネットワークマップも特定し、さらに権限の昇格を狙います。
トロイの木馬 Daserf の主な目的は、情報を盗み出すことです。そのため Daserf には、感染したコンピュータから情報を取得し、攻撃者の管理下にあるサーバーへ転送する機能があります。Tick グループのごく最近の攻撃は、日本のテクノロジ系や水産工学系の企業、放送業界に集中しています。
最近の攻撃
シマンテックが、Tick グループによる最も新しい攻撃の波を発見したのは、2015 年 7 月のことです。日本の 3 つの Web サイトに対して、Flash(.SWF)の脆弱性を利用した水飲み場型攻撃が仕掛けられました。この Web サイトにアクセスしたユーザーは、Gofarer(Downloader.Gofarer)として知られるダウンローダに感染しました。Gofarer は、感染したコンピュータに関する情報を収集したうえで、Daserf をダウンロードし、インストールします。
Tick グループは、最近の攻撃でスピア型フィッシングメールも使っています。そのメール自体の発見には至っていませんが、シマンテックは、Microsoft Office 文書に存在する脆弱性(CVE-2014-4114)を悪用するコードが使われていることを特定しました。これは、水飲み場攻撃に加えてマルウェアを拡散する目的で使われたものです。
Tick グループを詳しく見ると
Daserf は、Tick のサイバースパイ活動で利用するためにカスタム開発されたようです。インストールされると、Daserf は Tick のコマンド & コントロールサーバーへのリモート接続を確立し、被害者のシステムにアクセスできる状態を作り出します。
図 1. 最近の日本に対する攻撃で見つかった感染チェーン
標的のコンピュータにマルウェアがインストールされると、攻撃者はネットワークを列挙して権限レベルの昇格を図ります。そのために、Tick グループは一般的に入手できるさまざまなハッキングツールを利用しています。Mimikatz、GSecdump、Windows Credential Editor といったツールです。こうしたツールは、マルウェアによって先に作成されている元のインストールディレクトリにダウンロードされ、展開されます。
Tick グループの最大の目標は、狙った日本企業から重要な情報を盗み出すことにあるようです。現在までにシマンテックは、このグループがメールや、PowerPoint プレゼンテーションなどの文書を盗み出そうとすることを確認しています。
目立たない脅威
トロイの木馬 Daserf は、検出をすり抜けるために、いくつもの手口を採用しています。盗み出したデータは、パスワード保護された RAR アーカイブとして隠蔽されます。
また Daserf は、Windows 環境でよく見られる正規のプログラムに関連したファイル名とフォルダ名を利用して存在を隠そうとします。HP、Intel、Adobe、perflogs といったフォルダ名が確認されており、フォルダはルートドライブか、Application Data フォルダまたは Program Files フォルダに作成されるのが一般的です。ファイル名としては、adobe.exe、adobe_sl.exe、intel.exe、intellog.exe などが使われています。
コマンド & コントロールサーバー
Tick グループが Web サーバーに侵入するのは、マルウェアを拡散するためです。ときには、侵入したサーバーをコマンド & コントロール(C&C)サーバーとして利用することもありますが、ほとんどの場合、C&C サーバーには独自のインフラストラクチャを利用しています。
つい最近の攻撃活動でも Tick は、マルウェアのコンパイルから数日後に C&C サーバー用のドメインを登録していました。たとえば、Daserf の亜種のひとつは 2015 年 7 月 8 日にコンパイルされています。このサンプルは C&C のドメイン www[.]dreamsig[.]com にアクセスしていたことが確認されていますが、このドメインの最初の登録日は 5 日後の 2015 年 7 月 13 日でした。このパターンは、Daserf の複数のサンプルで繰り返されています。
Daserf と C&C インフラストラクチャの間の通信で、もうひとつ注目に値するのは、あらかじめ定義されたリストからランダムに選択した変数を使って、URL が頻繁に変更されることです。
| Daserf の MD5(765017E16842C9EB6860A7E9F711B0DB)であらかじめ定義されているリスト |
| rjdyw.asp |
| xszgj.asp |
| dheyf.asp |
| ejdhf.asp |
| gxbne.asp |
| swetf.asp |
| qgfhr.asp |
| whjdh.asp |
| zgfer.asp |
| cshyr.asp |
| fxkle.asp |
| tmwry.asp |
| viksr.asp |
| ycghw.asp |
表 1. あらかじめ定義されて Daserf のサンプルに組み込まれている URL リストの例
シマンテックは、複数の C&C ドメインが Tick に使われていることを突き止めました。あいにく、Tick はプライバシー保護されたサービスやドメインブローカを利用して登録情報を隠している場合がほとんどです。こうした戦術が使われていることから、検出と究明はますます困難になっています。
| C&C ドメイン |
親ハッシュ |
| charlie-harada[.]com |
122652ca6ef719f8ba2d8d412ea184fe |
| isozaki.sakura.ne[.]jp |
4601e75267d0dcfe4256c43f45ec470a |
| www.aucsellers[.]com |
7ec173d469c2aa7a3a15acb03214256c |
| www.lunwe[.]com |
8d5bf506e55ab736f4c018d15739e352 |
| c-saika[.]jp |
3fa5965a1de2c095de38f22f0645af3e b33f4b8e776b94dc48c234ce9897cf74 |
| kcm-store[.]com |
63fe9f06068823b02b925e4a74a57db0 |
| htpc[.]jp |
a629926313ee12163e1bdd2bb633e0e2 d3031438d80913f21ec6d3078dc77068 |
| rlsolar[.]jp |
d3031438d80913f21ec6d3078dc77068 |
表 2. Tick が利用している C&C ドメインと、対応する MD5 ハッシュの例
一部のケースでは、盗み出されたデジタル証明書の悪用も確認
解析したマルウェアの大部分は、デジタル署名がありませんでしたが、ごく一部は、盗み出されたデジタル証明書を使って署名されていました。マルウェアに署名があれば、信頼性が格段に高くなり、検出される危険性が減るのですから、デジタル証明書をなぜこれほど使い惜しみしているのかは不明です。
オペレーティングシステムと通信する際に署名の入ったバイナリを必要とするような、セキュアな環境を備えた標的に対してだけ、限定的に証明書を使ったのかもしれません。
該当する証明書の発行者は、不正利用の通知をすでに受け取っており、証明書を失効させたということです。
図 2. 盗難にあい、Tick グループのマルウェアの署名に使われたデジタル証明書
標的
被害者に感染するために悪用された Web サイトから、意図しない感染が広がったため、攻撃者の動機を見極めるのは難しくなっています。感染後の活動の証拠を探したところ、Tick グループが侵入後にも執拗な攻撃を続けていた 7 つの企業をシマンテックは特定しました。その大半は、日本のテクノロジ系、エンジニアリング系、あるいは報道系の大手企業でした。
図 3. 地域別の Daserf 感染数
そうすると、この 7 つの企業が Tick グループの意図した標的だったと考えられます。これらの攻撃で侵入後の攻撃ツールが確認されたほか、攻撃者がネットワーク上で活動した時間の長さも、重点的な標的だったことを示す証拠になっています。Tick グループが被害者の環境で活動を続けていた時間は、最長で 18 カ月にも及んでいたからです。平均時間でも 5 カ月で、被害者のネットワークで感染したホストの数は 3 システムから 15 システムと幅があります。
まとめ
Tick グループが残した痕跡から考えると、このグループの活動は早くも 2006 年には始まっていたことになります。初期の攻撃では、悪質な Microsoft Word 文書を使って被害者に感染しており、Web サイトへの侵入は、もっと後になって追加された攻撃経路です。
Tick は非常に組織化が進んだグループであり、マルウェアの開発と更新に用いる資金も潤沢、その能力も高いようです。正規のインフラストラクチャに侵入してマルウェアの拡散に悪用できるうえ、デジタル証明書を盗み出し、必要とあればマルウェアに署名する技術も持ち合わせています。主に、購入したインフラストラクチャを C&C サーバーとして利用しながら、Tick は 2006 年からずっとレーダー網をかいくぐってこられたのです。
Tick は、高度なサイバースパイグループの特性をすべて備え持ったグループです。グループの寿命が長いことと、特定の業種に対する標的型攻撃を一貫して続けていることも、それを裏付けていると言えます。個人にせよ組織にせよ、Tick の背後に潜む者は日本のテクノロジ産業と、メディア・報道業界に関心を示しています。Tick の手口は時とともに変化しますが、グループのこれまでの歴史から考えると、日本を中心として、ごく狭い範囲を狙った攻撃を続けることは明らかでしょう。
保護対策
シマンテックとノートンの製品をお使いであれば、以下の検出定義でこれらの脅威から保護されています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】