Video Screencast Help
The Symantec Enterprise Security business is now part of Broadcom. Click here for more details.
Security Response

サイバースパイグループ Patchwork、政府関係から各種の産業へ標的を拡大

シマンテックは、Patchwork が米国、中国、日本、東南アジア、英国でさまざまな業種を狙い始めたことを確認しました。
Created: 27 Jul 2016 06:23:56 GMT • Translations available: English, 简体中文, 繁體中文, 한국어
Joji Hamada's picture
0 0 Votes
Login to vote

サイバースパイグループ Patchwork が、政府関連に限定しない組織を標的にするようになっています。シマンテックが調査したところ、このグループは航空、放送、金融など広い範囲の業種を狙ってバックドア型のトロイの木馬を投下していることがわかりました。

Patchwork は、Dropping Elephant という名前でも知られ、シマンテックセキュリティレスポンスは、このグループについて積極的に監視を続けています。Patchwork は、中国に関連する文面でユーザーを引き付けたうえで、標的のネットワークに侵入します。セキュリティ企業 Cymmetria と Kaspersky の 2 社からも最近、このグループに関するレポートが発表されましたが、その内容もシマンテックの調べとおおよそ一致しています。

[click_to_tweet:1]

標的
他社の調査でも指摘されたように、Patchwork はもともと、政府と政府関連組織を標的にしていましたが、最近になってその範囲を広げ、幅広い業種を狙うようになってきました。

最大の標的は今でも政府関連ですが、最近の攻撃では以下の業種も狙われていることが確認されています。

  • 航空
  • 放送
  • エネルギー
  • 金融
  • 非政府組織(NGO)
  • 製薬
  • 公共部門
  • 出版
  • ソフトウェア

シマンテックの遠隔測定によると、標的となった組織は世界各地に分散しています。攻撃のほぼ半数は米国に集中していますが、中国、日本、東南アジア、英国などの地域も攻撃の対象です。

[click_to_tweet:2]

攻撃の経路
この活動に関連する攻撃の試みをシマンテックが初めて確認したのは 2015 年 11 月ですが、遠隔測定のデータによると、この活動は 2015 年のはじめか、おそらくそれより前からすでに始まっていた可能性があります。

Patchwork は、主に正規のメーリングリストプロバイダーを利用して、一定数の標的にニュースレターを発信します。このニュースレターには、攻撃者の Web サイトへのリンクが載っており、Web サイトのコンテンツは中国に関連する話題が中心になっています。もちろん、標的の関心を引くのが目的です。Web サイトは、メーリングリストプロバイダーと同じドメインにホストされています。内容は、狙った標的に合わせてカスタマイズされており、その業種に関連する分野の話題が含まれています。

Figure1_19.png
図 1. 中国の公立病院に関連する内容でカスタマイズされた Web サイト

Figure2_12.png
図 2. 中国の軍隊に関連する内容でカスタマイズされた Web サイト

悪質なサイトからは、別のドメインにホストされているファイルにリンクしており、このドメインは悪用のためにのみ使われているようです。このドメインは、中国情報機関の正規の情報源であると称する名前で登録されています。この攻撃で主に使われているドメインは、2 つのサーバーにホストされており、その IP アドレスは 212.83.146.3 と 37.58.60.195 です。

Web サイトには、悪質なファイルが 2 種類ホストされています。PowerPoint ファイル(.pps)と、Word の .doc 拡張子が付いたリッチテキストファイルです。

このうち、PowerPoint ファイルは「Windows OLE パッケージマネージャに存在するリモートコード実行の脆弱性」(CVE-2014-4114)を悪用しているようです。この脆弱性は、2014 年 10 月に Sandworm というグループが米国とヨーロッパの標的を攻撃したときにも利用されています。リッチテキストファイルのほうは、「Microsoft Office に存在するメモリ破損の脆弱性」(CVE-2015-1641)を悪用しようとするのが一般的で、この脆弱性に対しては 2015 年 4 月にパッチが公開されました。もっと古い脆弱性の悪用も確認されています。「Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性」(CVE-2012-0158)です。

シマンテックが確認したところ、この文書には正規の Web サイトで公開されていて誰でも利用できる内容のコピーが含まれています。話題は、軍事と防衛から、病院、海事紛争、さらにはマルウェアの除去までさまざまです。

悪質な PowerPoint ファイル
.pps(スライドショー)ファイルは、「Windows OLE パッケージマネージャに存在するリモートコード実行の脆弱性」(CVE-2014-4114)を悪用するのが一般的です。ただし、今回の活動で見られる悪用コードは、過去に確認された類似の悪用コードとは少し違います。ユーザー操作を要求せずにマルウェアへの感染を完全に防ぐのではなく、ユーザーに警告するだけというパッチの作りを悪用しているという点です。

このファイルを PowerPoint 2016 で開いても何も起こりませんが、それより古いバージョンの PowerPoint で開くと、セキュリティ警告が表示されます。オペレーティングシステムのバージョンや適用済みパッチなど、環境に応じてドライバ .inf を開くかどうか確認を求めるダイアログです。

Figure3_9.png
図 3. 2016 より前の PowerPoint で .pps ファイルを開こうとすると、この警告画面が表示される

ユーザーがファイルを開くと、コンピュータは感染します。ユーザーがファイルを開こうしなければ、コンピュータは感染しませんが、.pps ファイルを開くときの一時ディレクトリに Backdoor.Enfourks が投下されます。これも実行はされませんが、狙われた標的にとっては、侵害のリスクになります。

この問題は、研究所でテストした PowerPoint 版すべてで確認されました。投下されたと思しきファイルがあった場合は、手動で削除してください。ファイルには通例、sysvolinfo.exe という名前が付けられています。

悪質な Word .doc ファイル
.pps ファイルと並んで、Patchwork はマルウェアの拡散にリッチテキストファイルも利用します。他社の調査では、この脆弱性は CVE-2012-0158 であると報じられていますが、シマンテックでは CVE-2015-1641 の悪用によって Backdoor.Steladok が投下されることも確認されました。

主なペイロード
.doc ファイルと .pps ファイルは、主に 2 つのマルウェアファミリーを投下します。PowerPoint の .pps(スライドショー)ファイルによって投下されるのが Backdoor.Enfourks です。これは AutoIT という実行可能ファイルで、意味のないデータが詰まっており、主として 32 ビットシステムを狙います。.doc ファイルによって投下されるのが、Backdoor.Steladok です。

どちらもバックドア型のトロイの木馬で、Patchwork グループからのコマンドを待ちますが、ひとたび実行されると、ファイルを検索して特定のサーバーにアップロードする機能もあります。理由は不明ですが、どちらの脅威でも中国のソフトウェアベンダー Baidu(百度)がルーチンに使われています。トロイの木馬は、Baidu のサーバーに ping を発信してインターネット接続を確かめ、Windows を起動するたびに実行されるレジストリエントリを Baidu の名前で作成します。2 種類のペイロードを投下するために 2 つのペイロードを使っていることから、マルウェア開発の段階に複数の個人またはグループが関与している可能性もありそうです。

対処方法
Patchwork グループの攻撃を成功させないために、以下の推奨事項に従ってください。

  • 疑わしいメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールを受信した場合には削除する。被害者を誘導して悪質なファイルを開かせる手段として、サイバースパイ攻撃にはスピア型フィッシングメールがしばしば利用されています。
  • オペレーティングシステムをはじめ、あらゆるソフトウェアを常に最新の状態に保つ。多くの場合、ソフトウェア更新には、攻撃者に悪用されることの多い新しいセキュリティ脆弱性に対するパッチが含まれています。
  • セキュリティソフトウェアは常に最新状態に保ち、このマルウェアの新しい亜種に対しても備える。

保護対策
シマンテック製品とノートン製品は、Patchwork のマルウェアを以下の定義で検出します。

ウイルス対策:

侵入防止システム:

侵害の兆候
疑わしいドメイン、IP アドレス、ファイルは以下のとおりです。Patchwork がコンピュータに侵入している可能性を示しています。

疑わしいドメインと IP アドレス

  • chinastrats.com
  • epg-cn.com
  • extremebolt.com
  • info81.com
  • lujunxinxi.com
  • militaryworkerscn.com
  • milresearchcn.com
  • modgovcn.com
  • newsnstat.com
  • nudtcn.com
  • socialfreakzz.com
  • 81-cn.net
  • cnmilit.com
  • nduformation.com
  • expatchina.info
  • info81.com
  • climaxcn.com
  • expatchina.info
  • miltechcn.com
  • miltechweb.com
  • securematrixx.com
  • 46.166.163.242
  • 212.129.13.110
検出名 MD5 ファイル名
Trojan.PPDropper 0bbff4654d0c4551c58376e6a99dfda0  
Trojan.PPDropper 1de10c5bc704d3eaf4f0cfa5ddd63f2d MilitaryReforms2.pps
Trojan.PPDropper 2ba26a9cc1af4479e99dcc6a0e7d5d67 2016_China_Military_PowerReport.pps
Trojan.PPDropper 375f240df2718fc3e0137e109eef57ee PLA_UAV_DEPLOYMENT.pps
Trojan.PPDropper 38e71afcdd6236ac3ad24bda393a81c6 militarizationofsouthchinasea_1.pps
Trojan.PPDropper 3e9d1526addf2ca6b09e2fdb5fd4978f How_to_easily_clean_an_infected_computer.pps
Trojan.PPDropper 475c29ed9373e2c04b7c3df6766761eb PLA_Forthcoming_Revolution_in_Doctrinal_Affairs.pps
Trojan.PPDropper 4dbb8ad1776af25a5832e92b12d4bfff maritime_dispute.pps
Trojan.PPDropper 4dbb8ad1776af25a5832e92b12d4bfff Clingendael_Report_South_China_Sea.pps
Trojan.PPDropper 543d402a56406c93b68622a7e392728d 2016_China_Military_PowerReport.pps
Trojan.PPDropper 551e244aa85b92fe470ed2eac9d8808a Assessing_PLA_Organisational_Reforms.pps
Trojan.PPDropper 6877e60f141793287169125a08e36941 Clingendael_Report_South_China_Sea.pps
Trojan.PPDropper 6d8534597ae05d2151d848d2e6427f9e cn-lshc-hospital-operations-excellence.pps
Trojan.PPDropper 74fea3e542add0f301756581d1f16126 Clingendael_Report_South_China_Sea_20160517Downloaded.pps
Trojan.PPDropper 812a856288a03787d85d2cb9c1e1b3ba  
Trojan.PPDropper 8f7b1f320823893e159f6ebfb8ce3e78  
Trojan.PPDropper b163e3906b3521a407910aeefd055f03 china_security_report_2016.pps
Trojan.PPDropper d456bbf44d73b1f0f2d1119f16993e93  
Trojan.PPDropper e7b4511cba3bba6983c43c9f9014a49d Chinastrats.com netflix2.pps
Trojan.PPDropper ebfa776a91de20674a4ae55294d85087 Chinese_Influence_Faces_2.pps
Trojan.PPDropper eefcef704b1a7bea6e92dc8711cfd35e Top_Five_AF.pps

表 1. Patchwork の攻撃活動に関連する悪質な PowerPoint スライドファイル

検出名 MD5 ファイル名
Trojan.Mdropper 2099fcd4a81817171649cb38dac0fb2a  
Trojan.Mdropper 3d852dea971ced1481169d8f66542dc5 China_Vietnam_Military_Clash.doc
Trojan.Mdropper 4ff89d5341ac36eb9bed79e7afe04cb3 Cyber_Crime_bill.doc
Trojan.Mdropper 7012f07e82092ab2daede774b9000d64 china_report_EN_web_2016_A01.doc
Trojan.Mdropper 735f0fbe44b70e184665aed8d1b2c117 Cyber_Crime_bill.doc
Trojan.Mdropper 7796ae46da0049057abd5cfb9798e494  
Trojan.Mdropper e5685462d8a2825e124193de9fa269d9 PLA_Forthcoming_Revolution_in_Doctrinal_Affairs2.doc
Trojan.Mdropper f5c81526acbd830da2f533ae93deb1e1 Job_offers.doc

表 2. Patchwork の攻撃活動に関連する悪質なリッチテキストファイル

検出名 MD5
Backdoor.Steladok 0f09e24a8d57fb8b1a8cc51c07ebbe3f
Backodor.Enfourks 233a71ea802af564dd1ab38e62236633
Backdoor.Steladok 2c0efa57eeffed228eb09ee97df1445a
Backodor.Enfourks 3ac28869c83d20f9b18ebbd9ea3a9155
Trojan.Gen.2 465de3db14158005ede000f7c0f16efe
Trojan.Gen.2 4fca01f852410ea1413a876df339a36d
Backodor.Enfourks 61e0f4ecb3d7c56ea06b8f609fd2bf13
Backodor.Enfourks 6b335a77203b566d92c726b939b8d8c9
Backodor.Enfourks a4fb5a6765cb8a30a8393d608c39d9f7
Backodor.Enfourks b594a4d3f7183c3af155375f81ad6c3d
Backodor.Enfourks b7433c57a7111457506f85bdf6592d18
Backodor.Enfourks b7433c57a7111457506f85bdf6592d18
Backodor.Enfourks c575f9b40cf6e6141f0ee40c8a544fb8
Backodor.Enfourks d8102a24ca00ef3db7d942912765441e
Backdoor.Steladok f47484e6705e52a115a3684832296b39
Backodor.Enfourks f7ce9894c1c99ce64455155377446d9c
Infostealer ffab6174860af9a7c3b37a7f1fb8f381

表 3. Patchwork に関連するペイロード

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Click to Tweet: 
Patchwork というグループが攻撃の範囲を広げ、複数の地域で多岐にわたる業種を標的にしています。
航空、NGO、エネルギー、金融などの業種が、サイバースパイグループ Patchwork に狙われています。
Click to Tweet Acct: 
@threatintel
@threatintel