ワンタイムパスワード（OTP）とは、あるユーザに一定時間で変更される一回のみ利用可能なパスワードを通知することによって、オンラインサービスのセキュリティを高めるための仕組みです。多くの法人ネットワークでは、サードパーティのプロバイダによって提供されるOTPのシステムを利用し、アカウントの侵害によりシステムへ不正侵入されることを防ぐ追加の認証として使用しています。

トレンドマイクロは、2020年4月、macOS向けの正規OTP認証アプリを偽装した「TinkaOTP」というアプリを確認しました。調査の結果、この不正アプリは「DACLS（ダクルス）」と呼ばれる遠隔操作ツール（RAT）に酷似していることがわかりました。DACLSは、2019年12月にセキュリティ企業「360 Netlab」によって報告された、WindowsおよびLinuxをターゲットとするバックドア型マルウェアです。この報告によれば、不正アプリが接続するコマンドアンドコントロール（C＆C）サーバが通信に使用する文字列から、サイバー犯罪集団「Lazarus」との繋がりが示唆されています。

■サイバー犯罪集団「Lazarus」との関連

「TinkaOTP」を実行すると、インストールして実行するためのアプリケーションバンドルであるDMGファイル「Disk iMaGe」が表示されます。DMGファイルとはmacOSのDisk Copy Imageで作成されたファイルです。アプリを起動しても、最初は不審な動作は確認されません。しかし、隠しファイル~/Library/.mina をLibraryフォルダ内に作成し、 また/Library/LaunchDaemons/com.aex-loop.agent.plist を作成して、隠しファイルが起動時に実行されるように設定します。

また、バンドルされたメインのmach-o実行ファイル/Contents/MacOS/TinkaOTP は、GitHubで入手可能なオープンソースの認証ツール「MinaOTP」という別のOTPアプリをリパックしたものであることが判明しました。

隠しファイルである.minaファイルの起点を辿ると、アプリケーションバンドルに含まれるリソースのコピーの名前を「SubMenu.nib」に変更したもので、メインのバックドア機能が含まれていることが確認されました。また、これより以前に確認されているLazarusによるWindows・Linux向けのバックドアとの関連を示す、ハードコードされた文字列c_2910.clsおよびk_3872.clsが確認されました。これらの文字列は、360 Netlabのリサーチャも報告しているように、Lazarusが保管場所として利用していたドメインthevagabondsatchel[.]comへのC＆C通信で使用されていた文字列です。

また、メインのバックドアをペイロードとしてドロップする実行ファイルを持つ別の亜種も確認しました。ファイル「SubMenu.nib」は見つかりませんでしたが、ハードコードされたアドレスからペイロードをダウンロードし、隠しファイルとしてのペイロードの中に展開して実行します。アドレス「loneeaglerecords[.]com」を調査すると、ドメインは11年間前に登録され存続しているものですが、発行されたHTTPS証明書はかなり最近発行されたものです。ドメインは50[.]87[.]144[.]227に割り当てられており、このIPは、「ADWIND」や「URSNIF」など、さまざまな種類のWindows向けマルウェアをホストしていることが確認されています。差異はあるものの、ダウンロードされる隠しファイルのペイロードは両方同じです。

Lazarusは、このｍacOS向けバックドアをWindows・Linux向けDacls RATの後続種として作成したようです。これは、新亜種のダウンロード先アドレスから、最新のIP割り当てとHTTP証明書を照合することによって確認できます。

■バックドア活動とその持続化

バックドアのインストールシーケンスを見ると、/LaunchAgents/com.aex-loop.agent.plistおよび/Library/LaunchDaemons/com.aex-loop.agent.plistによって活動の持続化を意図していることがわかります。設定ファイル/Library/Caches/com.applestore.dbを開始してC＆CサーバIPを設定し、リモートセッション情報を取得します。ボットのプラグインをロードするとC&Cサーバへ接続しコマンドを待機することが可能になり、受信したコマンドに基づいて設定ファイルを更新し、AES-CBCアルゴリズムによってファイルを暗号化します。設定ファイルがすでに存在する場合、新しいセッションが開始されると復号されます。

インストールされると、既存の設定ファイルが存在するかどうかを確認します。ない場合は設定ファイルを作成し、C＆Cサーバのアドレスその他、C＆Cセッション情報などセットアップに関連するデータを書き込みます。ボットの接続先である、最初のC＆CサーバIP 「67[.]43[.]239[.]146 」および「185[.]62[.]58[.]207」はバックドアのファイルにハードコードされており、設定ファイルに書き込まれます 。次に設定ファイルは/Library/Caches/com.applestore.dbとして作成され、暗号化されます。 完了すると、バックドアは特定の機能を実行するプラグインをロードします。

C&CサーバのIPからは、正規のトラフィックもこのドメインによってホストされていることが確認されました。つまり、これらのドメインをブロックすると他の正規サイトに影響が生じる可能性があります。

■感染後の攻撃活動

最初に逆アセンブルされたコードを解析すると、IPとプラグインをロードするために使用される文字列からは、文字が抜け落ちているように見えました。しかし、文字を詳しく調べると、間隔が意図的に空けられていることが確認できました。これは、検出を回避する目的と考えられます。

C&Cサーバから応答を受け取った後、ヘッダをチェックして、実行するプラグインを決定します。各プラグインは、初期化時にそれぞれ該当する機能をロードするようにテンプレート化されています。ｍacOS向けと、Windows・Linux向けで使用されるプラグインを比較すると、いくつかの違いと追加された機能が明らかになりました。

表1：プラグインのテンプレートおよび機能

CMDプラグインは、bashスクリプトとして追加してからターミナルで実行する形でシェルコマンドを実行するために使用されます。受信したパケットに設定された引数に基づいて、リバースシェルを実行する機能も備えています。

FILEプラグインは、Windows・Linux向けと同じ機能を実行します。ファイルの読み取り、書き込み、削除、ダウンロード、特定のファイルのディレクトリのスキャンを実行できます。

引数を調べると、受信したパケットからPROCESSプラグインが取得され、プロセス情報の収集、新しいプロセスの実行、実行中のプロセスの終了などの機能を実行していることがわかります。収集されるプロセス情報には、ターゲットプロセスのユーザ名、ユーザID、グループID、プロセスの親IDが含まれます。

他のプラグインはサーバから渡された引数の関数を直接呼び出して実行しますが、PROCESSプラグインは、サーバがプラグイン自体から関数を間接的に呼び出す点で異なります。PROCESSプラグイン関数のアドレスの場所は、実行前に最初に呼び出されます。

TESTプラグインは、指定されたアドレスに接続してネットワークへのアクセスを確認します。一方、RP2Pvプラグインは、C＆Cとクライアントをつなぐプロキシサーバを作成します。これにより、コマンドで指定された別のC＆Cへの別の接続が作成され、プロキシとして機能し、感染したコンピュータから実際のC＆Cサーバへとトラフィックをリダイレクトします。

LOGSENDプラグインは、関数「start_scan_worm」を使用してシステムをスキャンすることによりシステム情報を収集し、指定されたログサーバにデータを送信します。また、SOCKSプラグインは、SSL（Secure Sockets Layer）関連のトランザクション用にsocks4を介して接続を作成します。このプラグインは、Windows・Linux向けバックドアには確認されませんでした。　

■結論

Lazarus によるWindows・Linux向けバックドアの解析結果から、彼らが幅広い知識を持つことがうかがえます。2019年末に報告した、Lazarusとの関連が推測されているmacOS向けバックドアの解析結果からも、複数のOSを攻撃できるマルチプラットフォームへの変化は、彼らがターゲットを拡大していることを示しています。また、これまでの活動に見られなかったプラグインの追加は、彼らが将来の攻撃を想定し試していることも示唆しています。

注目すべきことに、2019年の不正なマクロによる攻撃で初めてLazarusのmacOSへの攻撃があらわになった直後に、彼らはファイルレスのAppleJeus作戦を続投し急速な発展を示しました。また、最初の亜種で実装されていた唯一の検出回避方法は、ペイロードを隠しファイル内にコピーすることでしたが、2番目の亜種では、ペイロードをダウンロードする手法に変更しています。それほど洗練された攻撃ではないものの、AppleJeusがファイルレスへ素早く移行した点を考えると、Lazarusは今回解説した活動でも同様の変更をまもなく展開するであろうと考えられます。

また、Lazarusは、多層なセキュリティ機能の需要の高まりを利用することによって、ボット拡散のために特定のユーザを狙っていることがうかがえます。OTP認証アプリは暗号通貨のウォレットや取引の管理にも使用されており、これはサイバー犯罪集団のもう一つの標的となっています。彼らはさらに、モバイルプラットフォームにも攻撃の手を拡大する可能性があります。彼らが利用したMinaOTPのソースには「MinaOTP-iOS」と呼ばれる別のiOS向けプロジェクトが含まれているため、これをモバイル用に利用したバージョンへ再構築される可能性があります。トレンドマイクロでは、引き続きLazarusの活動を監視していきます。

■トレンドマイクロの対策

macOS 向けバックドア「DACLS」による脅威からシステムを保護するために、ユーザは公式および正規のマーケットプレイスからのみアプリをダウンロードしてください。

 「ウイルスバスター コーポレートエディション XG」はクロスジェネレーション（XGen）セキュリティアプローチにより、グローバルスレットインテリジェンスに基づくさまざまな高度なセキュリティ技術に加えて、次世代の AI技術のひとつである高度な機械学習型検索を活用し、実行前・実行後両方に対応する独自のアプローチで、未知のファイルが脅威かどうか判別します。

「ウイルスバスター  for Mac」は、先進技術と高い実績を融合した防御アプローチ、XGenセキュリティを導入し、機械学習型スキャンなど先進のAI技術と実績ある既存の対策技術を組み合わせた多層防御により、日々巧妙化し多様化する脅威からシステムを守ります。

■侵入の痕跡（Indicators of Compromise 、IoCs)

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください

※調査協力：Kazuki Fujisawa

参考記事：

• 「New MacOS Dacls RAT Backdoor Shows Lazarus’ Multi-Platform Attack Capability」
  By Gabrielle Joyce Mabutas

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロは、「新型コロナウイルスに対する減税措置」というファイル名（「Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar」）を持つJavaダウンローダについて着目しました。このマルウェアは「MalwareHunterTeam」によるTwitterの投稿で報告されたものであり、ファイルを実行すると、JavaScript実行環境であるNode.jsで書かれた、未検出の新しいトロイの木馬型マルウェアをダウンロードします。トレンドマイクロではこのマルウェアを「QNodeService」と名付け、検出対応しました。QNodeServiceには、ファイルのダウンロード、アップロードおよび実行、ChromeあるいはFirefoxブラウザからの認証情報の窃取、ファイルの管理などを実行する機能を備えています。Windowsを攻撃対象としていますが、マルウェアの設計および特定のコードからは、将来的にはOSを問わず攻撃できる、クロスプラットフォームを意図して作成された可能性がうかがえます。

このマルウェアが利用するNode.jsは、主にWebサーバ開発向けに設計されており、一般的な利用者が使用するクライアントPCにプレインストールされているようなものではありません。このため、マルウェア作成にNode.jsを利用するのは珍しいことと言えます。とはいえ、一般的でないプラットフォームを利用することで、ウイルス対策ソフトウェアによる検出を回避しやすい場合もあります。Node.js自体は正規のJava実行環境であり、セキュリティ対策製品に警告されることはありません。感染環境に持ち込むことはさほど難しいことではないでしょう。最初にJavaダウンローダが実行されると、Node.js自体のダウンロードに加え、「wizard.js」、「qnodejs-win32-ia32.js」または「qnodejs-win32-x64.js」というファイルをダウンロードします。トレンドマイクロではこれらのコンポーネントを解析し、それぞれの動作についてさらに調査しました。

■Javaダウンローダの解析

Javaダウンローダとして機能する上述のファイル「Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar」は、Allatoriという難読化ツールで難読化されていました。Allatoriはジャンクコードを追加することによって文字列を難読化して解析を困難にします。トレンドマイクロでは、まずコードの難読化を解除して、解析を開始しました。

ファイルは、Node.jsをユーザのホームディレクトリにダウンロードします。そしてシステムアーキテクチャをチェックし、結果に応じて32ビットまたは64ビットバージョンをダウンロードします。

また、URL「hxxps://central.qhub <省略＞wizard.js」から「wizard.js」というファイルをダウンロードします。次にこのファイルを、C＆CサーバのURLを含む複数のコマンドライン引数を指定したNode.jsを使用して実行します。

「–group user:476@qhub-subscription[…]」は、C＆Cサーバとの通信中に使用されるパラメータであることに注目してください。ユーザ識別子が存在すること、また、「subscription」の文字から、マルウェアがサービスとして販売されている可能性を示唆しています。

■wizard.jsの解析

wizard.jsは、ファイルの起動に使用される引数が含まれる「qnodejs- <8桁の16進数> .cmd」という名前のファイルを作成します。これはWindows起動時に、「HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に作成されるレジストリキーエントリによって呼び出されます。 また、自身がWindowsプラットフォームで実行されているかどうかをチェックする動作があることから、マルウェア作成者がクロスプラットフォームを意図していることがうかがえます。

そしてhxxps://central.qhub <省略＞/qnodejs-<platform>-<arch>.jsからファイルをダウンロードします。Node.jsのprocess.platformおよびprocess.archの可能な値によって、サーバでホストされているファイルqnodejs-win32-ia32.jsか、あるいはqnodejs-win32-x64.jsがダウンロードされます。サーバには各マルウェアのSHA1ハッシュも含まれていますが、それらには.sha256という名前が付けられていました。これらのハッシュがダウンロードされ、実行時にダウンロードされたマルウェアによってチェックされます。

■qnodejs-win32- <architecture> .jsの解析

これにより、システムアーキテクチャ（OSが64ビットか32ビットか）に基づいて、qnodejs-win32-ia32.jsまたはqnodejs-win32-x64.jsというファイルがダウンロードされることになります。

ダウンロードされたファイルには、実行時に展開されるNode.jsのライブラリが埋め込まれた「node_modules」フォルダが含まれています。Javascriptコード自体とは違いこれらのライブラリはアーキテクチャ固有であるため、システムアーキテクチャに対応するファイルが配布されます。以下の解説に使用する図は、win32-ia32 (2020-04-30)亜種のものです。

このマルウェアを「QNodeService」と命名した理由は、コマンドライン引数を検証するコードに示されるように、内部で使用されている名前と推測されたためです。

マルウェアはモジュールに分かれています。これらのモジュールへのアクセスは、「v」と名付けられたLOOKUP関数を使用して難読化されています。一部のモジュールは、ライブラリをインポートするための呼び出しrequire()のみで構成されていますが、他のモジュールは、作成者が作成したカスタムモジュールです。

このファイルの特定のモジュールは、wizard.jsと同じです。具体的には、これらはマルウェアのURLとそのハッシュを決定するコードを再利用しています。このファイルでは、モジュールを使用してSHA1ハッシュをダウンロードして検証するために使われます。ハッシュが存在しない場合、マルウェアは終了します。

マルウェアは、C＆Cサーバとの通信にsocket.ioライブラリを使用します。そのため、特定の言語やフレームワークにかかわらず適用できるリアクティブプログラミングで設計され、WebSocketを使用してサーバと通信します。

マルウェアは、ChromeおよびFirefoxからパスワードを窃取することが可能です。

以下は、マルウェアが受け入れるコマンドのリストです。

また、2020年5月5日にマルウェアは以下の3つのコマンドを追加し、更新されています。

以下の図13から16に示すように、攻撃者が標的のコンピュータに直接接続することなくファイルをダウンロードできるようにするhttp-forwardコマンドが特に目を引きます。ただし、標的コンピュータ上のファイルにアクセスするには、有効なリクエストパスとアクセストークンが必要です。C＆Cサーバは、最初に「file-manager/forward-access」を送信し、後でhttp-forwardコマンドに使用するURLとアクセストークンを生成する必要があります。

マルウェアは、転送URLとアクセストークンで応答します。次に、URLとアクセストークンを付与された第三者は、C＆CサーバにHTTPリクエストを送信して、標的コンピュータに直接接続しなくともファイルを取得することが可能になります。

C＆Cサーバは、http-forwardコマンドを使用して、HTTPリクエストを標的コンピュータ内のマルウェアに転送します。アクセストークンが正しい場合、マルウェアはファイルのコンテンツをC＆Cサーバに送り返し、C＆CサーバはHTTP応答でコンテンツを攻撃者に送り返し、リモートからのダウンロードを可能にします。

wizard.jsと同様に、作成者はクロスプラットフォームのマルウェアを意図しているようです。このマルウェアはwin32-ia32の亜種ですが、Darwin（macOS）およびLinuxプラットフォームにおける互換性を向上するためのコードが含まれています。

■トレンドマイクロの対策

攻撃者は、マルウェア作成には一般的でない環境を使用する、活動を持続化させる、クロスプラットフォーム互換性を提供するなどの様々な手法を用い、可能な限り多くのシステムに影響を与えるための独創的な方法を常に考え出しています。このようなマルウェアによる攻撃に遭わないようにするため、以下のようなセキュリティソリューションを採用することによって、侵入口となる可能性のある電子メール、エンドポイント、ネットワークを通過されることのないようにブロックできます。

• メールセキュリティ：Trend Micro Email Securityは、マルウェアとURLを検出してブロックする人工知能に基づくマルウェアおよび不正なURLの検出およびサンドボックスによる詳細な動作分析を提供
• エンドポイントセキュリティ：Trend Micro Apex Oneは、実行前および実行時のハイブリッド型機械学習型検索に加え、オフライン機械学習型検索を提供
• ネットワークセキュリティ：TippingPoint Threat Protection Systemは、ネットワークの入口・出口、また内部の攻撃トラフィックをリアルタイムで検査、ブロックし、脅威の侵入を阻止

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事：

• 「New MacOS Dacls RAT Backdoor Shows Lazarus’ Multi-Platform Attack Capability」
  By Matthew Stewart

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

サイバー犯罪者は、新型コロナウイルスの流行がもたらした「新しい常識」を攻撃に利用しています。具体的な手法の１つとして、テレワークや在宅勤務に欠かせないものとなった人気のアプリケーションやソフトウェアを偽装したり、悪用したりすることによってユーザの端末をマルウェアに感染させる手口があります。トレンドマイクロは、マルウェアのコードを含む、Zoomインストーラを偽装する2つのファイルを発見しました。これらの偽インストーラは、当然、Zoomの公式サイトで配布されたものではありません。偽インストーラのうち1つは、サイバー犯罪者がリモートで不正活動を実行するためのバックドア型マルウェアを感染コンピュータへインストールし、もう１つは、「Devil Shadow（デビルシャドウ）」と呼ばれるボットをインストールします。

■リモートアクセス機能を備えたバックドアをバンドルした偽インストーラ

一つ目は、バックドアがバンドルされたZoomの偽インストーラのファイルです。この偽インストーラがドロップするZoomインストーラのコピーと、Zoomの公式サイトで配布される正規のインストーラのプロパティを比較すると、ドロップされたZoomインストーラは正規のものとあまり差がないことがわかります。偽インストーラは、多数の暗号化されたファイルを含む実行ファイルであり、自身が実行されるとファイル「%User Temp%\Zoom Meetings\5.0.1\setup.exe」を作成し、実行します。

この偽インストーラはインストールの際に実行中のすべてのリモートユーティリティを強制終了し、外部からのリモートアクセスを受けるためにポート5650と伝送制御プロトコル（TCP）を開きます。同時に、不正活動のための設定と考えられる4つのレジストリも追加します。

追加されたnotification（通知）レジストリを逆アセンブルして機能を調べたところ、文字列には、電子メールがセットアップされたこと、ユーザ認証情報が窃取されたこと、感染端末にアクセス可能であることを遠隔操作サーバ（C＆Cサーバ）に通知するための設定と値が含まれていることがわかりました。

その後、正規のバージョンのZoomインストーラを実行することによって、不正な活動に気づかれないようにします。インストールが完了すると、サイバー犯罪者は設置されたバックドアを利用して、いつでもリモートから任意のコマンドを実行できます。

■Devil Shadowボットネット

もう一つの偽インストーラは、不正なコマンドが含まれたpyclient.cmdという名前のファイルで構成されていました。cmd_shell.exeファイルは、new_script.txtを含む自己解凍アーカイブ（SFX）で、これには、C＆Cサーバ、活動持続化のためのmadleets.ddns.netおよびshell.bat、またバージョン5.0.1のZoom installer.exeが含まれています。botnet_start.vbsファイルはpyclient.cmdを実行し、ドロップされたコンポーネントboot-startup.vbsが実行されると活動持続化のために設定を変更します。

偽インストーラは、改変されたZoomインストーラ、不正なアーカイブとコード、および活動の持続化と通信のためのコマンドをドロップします。

解析の結果、サイバー犯罪者は正規のアプリケーションnode.exeを利用して、C＆Cサーバを含むファイルnew_script.txtを実行していることが判明しました。

pyclient.cmdのコマンドを見ると、URL 「https[:]//hosting30＜省略＞app[.]com」に接続し、不正な機能に関連するバイナリをダウンロードする活動を行うものとわかります。

screenshot.exeという実行ファイルは、ユーザのデスクトップとアクティブなウィンドウのスクリーンショットを取得するものです。webcam.exeはシステムをスキャンして、接続されているWebカメラを探す機能を持っています。

偽インストーラの活動の最後には、正規のZoomインストーラであるZoom installer.exeが実行されZoomの本体がインストールされます。このためユーザは、偽インストーラの不審な点に気づけない可能性が高くなります。マルウェアはインストールが完了した後もシステム上で実行され続けます。タスクスケジューラを見ると、マルウェアは、コンピュータの電源がオンになるたびに、収集したすべての情報を、30秒ごとにC＆Cサーバに送信することが確認できます。

■結論

２つの偽インストーラは、不審なWebサイトで配布されていました。Zoomの公式ダウンロードセンターなどの正規サイトで配布されていないことは、マルウェアを含む偽インストーラの可能性を示す指標でもあります。もう一つ注意できる兆候は、偽インストーラが「正規のZoomインストーラ」をドロップして実行するまでに、公式のZoomインストールの場合より時間がかかることです。偽インストーラでは、正規Zoomインストーラを実行する前に不正なコンポーネントを抽出するため時間がかかることが原因です。

マルウェア作成者であるサイバー犯罪者も、まだ研究開発の段階にある可能性があります。正規のアプリケーションに複数のコンポーネントをバンドルすることによってセキュリティ対策プログラムによる検出回避を試行し、また、ビデオ会議アプリにバンドルするマルウェアを試行錯誤しながら、他の収益化の可能性を探っている様子がうかがえます。

新型コロナウイルスの流行にともない、その使いやすさから人気が高まるZoomは、開示される問題に対処するためプラットフォームを更新し続けています。他の多くの不正活動と同様、サイバー犯罪者は可能な限り多くのシステムを感染させるため、テレワークで利用される人気のツールに便乗します。ツールの必要性が高まり続ける中で、今後もこのような攻撃が継続することが予測できます。上述のマルウェアは、企業あるいは非ビジネス業界においても価値の高いシステムに侵入し、専有情報や機密情報を窃取するために利用することが可能です。サイバー犯罪者はこれらのマルウェアを利用することによって、ユーザの気づかぬうちにビデオ会議への潜入、キー入力操作の記録、Webカメラの使用、その他のマルウェアのインストール、また録音と録画を実行することが可能です。また、これらのアプリはさまざまなプラットフォームやオペレーティングシステム（OS）でも利用可能であるため、攻撃対象デバイスの拡大も可能になるでしょう。

■被害に遭わないためには

テレワークや在宅勤務をしているユーザは、このようなマルウェアを防ぐため、以下のベストプラクティスを適用してください。

• アプリケーションやソフトウェアは、正規のマーケットプレイスと公式プラットフォームからのみダウンロードする
• ビデオ会議アプリとOSを保護するために、端末にインストールされているソフトウェアを最新バージョンに更新し、会議にはパスワードを使用し、ホストコントロールを設定する

今回報告するZoomだけでなく、他のビデオ会議アプリにもマルウェアがバンドルされる可能性があることから、トレンドマイクロでは、不正に改造したものやマルウェアがバンドルされているものがないか、様々な他のプラットフォーム、挙動、ファイルについて注意深く監視をしています。これらの偽インストーラによる感染を防ぐには、必要とするビデオ会議アプリの公式サイト（Zoomの場合はhttps://zoom.us/download）などの信頼できるソースからのみ、ダウンロードしてください。また既にビデオ会議アプリを使用している場合にも、アップデートや最新版という口実で不審なプログラムを実行させようとする手口が考えられます。アップデートの場合には、使用している製品のアップデート機能から更新を行ってください。

■トレンドマイクロの対策

トレンドマイクロは、上記のベストプラクティスに加えて、以下のセキュリティソリューションを推奨します。

• Trend Micro Apex One―巧妙化し続ける脅威に対して高度な検出と自動対処を提供します。
• Trend Micro XDR―AIの活用とお客さま環境からのデータとトレンドマイクロのグローバル脅威インテリジェンスを組み合わせることで、より的確かつ早期の脅威検出につなげることができます。

企業や組織は、多層的なアプローチをセキュリティに導入することによって、このような脅威からユーザを保護することができます。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

※調査協力：Bren Matthew Ebriega

参考記事：

• 「Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers」
  By Raphael Centeno and Llallum Victoria

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

多くの脅威は外部からの電子メールとして侵入する傾向が、MDR（Managed Detection and Response）を通じて明らかになっています。脅威の侵入のための攻撃メールには通常、フィッシングサイトへのリンク、有害な添付ファイル、そして本文には受信者を騙して操ろうとする指示の内容が含まれていることがあります。しかしトレンドマイクロがメールのメタデータを毎日調査する中で、受信のメールボックスからではなく、ユーザ自身の送信済みアイテムフォルダから脅威が検出されることもよくあります。これは、自身のメールアカウントが乗っ取られたことにユーザが気づいておらず、攻撃者によるメール送信の踏み台にされた可能性を示唆します。そのような事例の一つとして、ある侵害されたメールが、「QAKBOT」を拡散するメールに関係していることを確認しました。

「QAKBOT（別名QBOT）」は、2007年に初めて確認されたマルチコンポーネントの情報窃取型マルウェアです。長期にわたり活動を継続している他のマルウェアと同様に、QAKBOTは定期的に更新されており、活動の活発化と収束を繰り返しています。2011年には拡散技術に変革を加え、2016年に活動の活発化が見られました。また2019年には様々なマルウェア活動での利用が見られるパスワード窃取ツールMimikatzの利用も確認されています。2020年に入り、トレンドマイクロではQAKBOTの活動活発化を示唆する数々のイベントを確認しました。1月には、メール送信（SMTP）の活動の追加、また5月には、QAKBOTとProLockランサムウェアを組み合わせた事例が他のセキュリティ団体により確認されています。また、トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network（SPN）」の統計では、QAKBOTの検出が全体的に増加していることを示しています。特定のQAKBOT亜種「Backdoor.Win32.QBOT.SMTH」の検出数の著しい増加も、4月上旬に観測されています。なお、この検出の集計対象はQAKBOTの活動の一部であることに留意してください。全体像はより大きなものになると言えます。

■QAKBOT検出数推移

2020年1月から5月の第3週までの間に、合計3,893のQAKBOTが検出されました。1月には1,400を超える急増が見られ、2月と3月には落ち着いたものの4月には再び1,000余りを検出しました。5月のデータも、まだ月が終わっていない5月25日時点で679と、非常に多くなっています。

上記のQAKBOTの検出を産業別に見てみると、ヘルスケア業界、製造業、政府機関の3つの業界が上位に入っていました。

検出国については、タイでの検出数が最も多く、中国、米国と続いています。中国と米国は、すべての月で一貫して上位3位に入っています。また、5月にはドイツでの急増が確認されました。

■ QAKBOT亜種「Backdoor.Win32.QBOT.SMTH」の急増

2020年初頭にはあまり活発でなかった「Backdoor.Win32.QBOT.SMTH」は、4月9日から徐々に検出され始めました。検出台数434件のうち、最も多くを占めたのは4月19日から23日の間で、 単日では4月22日が最も高く、91件でした。

中でも最も多く検出された産業はヘルスケア業界でした。

記録された検出のほぼ半数が、米国での検出です。 オーストラリア、中国がそれに続きます。

QAKBOTは、ネットワーク共有、リムーバブルドライブ、またはソフトウェアの脆弱性を介して拡散することが知られています。トレンドマイクロが最近確認した事例は、不正なリンクを埋め込んだ電子メールによって感染するものでした。リンクをクリックすると、VBSファイル（「Trojan.VBS.QAKBOT.SM」として検出）が含まれるzipファイルがダウンロードされ、次に不正な実行ファイル（「Backdoor.Win32.QBOT.SMTH」として検出）がダウンロードされます。

最近のQAKBOT亜種も、その挙動と暗号化の点が以前のQAKBOTに似ています。以前のバージョンと同様に、自動実行レジストリとスケジュールされたタスクを作成することで、活動を持続させます。

■QAKBOT亜種の拡散と不正活動

このQAKBOTは、QAKBOTをホストしている侵害されたWebサイトへと誘導するリンクが埋め込まれたメールを介して拡散します。利用されているメールは、ビジネス上のメールへの返信を偽装した、古いメールを転送したもののように見えます。 大抵、送信者の名前とメールアドレスは一致していません。

メールには、以下のように、一定のパターンが確認できるURLが含まれています。

• {侵害されたWebサイト}/differ/ …
• {侵害されたWebサイト}/docs_{3文字}/{数字} …
• {侵害されたWebサイト}/wp-content/plugins/advanced-ads-genesis/docs_{3 文字}/ …
• {侵害されたWebサイト}/wp-content/themes/calliope/docs_{3文字}/ …
• {侵害されたWebサイト}/wp-content/themes/mapro/pump/ …
• {侵害されたWebサイト}/wp-content/uploads/2020/04/evolving/ …

リンクをクリックすると、zipファイルがダウンロードされます。URLと同様、ファイル名も特定のパターンに従って名付けられています。

• {数字}.zip
• Buy-Sell Agreement_{数字}_{日付}.zip
• Judgement_{日付}_{数字}.zip

もっと最近確認されたメールでは、上記とは異なる以下のようなパターンによって名付けられています。

• EmploymentVerification_{数字}_{日付}.zip
• LoanAgreement_{数字}_{日付}.zip

ある亜種では、「NUM_56960.vbs」という名前のVBSファイルがzipファイルに含まれていました。ファイルのサイズは約30MBです。ファイルスキャナは通常、パフォーマンス上の理由から巨大なファイルのスキャンをスキップするので、ファイルサイズを大きくすることによって検出回避を狙ったものと考えられます。このVBSファイルは、不正な実行ファイル「PaintHelper.exe」をダウンロードします。

QAKBOTには、自身が解析されているか、仮想マシンで実行されているかどうかをチェックするプロセスがあります。システムに次のいずれかが存在する場合、マルウェアは活動を続行しません。

解析ツール

• AvastSvc.exe
• avgcsrva.exe
• avgsvcx.exe
• avp.exe
• bdagent.exe
• ByteFence.exe
• ccSvcHst.exe
• cmdagent.exe
• coreServiceShell.exe
• egui.exe
• ekrn.exe
• fmon.exe
• fshoster32.exe
• isesrv.exe
• mbamgui.exe
• MBAMService.exe
• mcshield.exe
• MsMpEng.exe
• NTRTScan.exe
• PccNTMon.exe
• SAVAdminService.exe
• SavService.exe
• vgcsrvx.exe
• vkise.exe
• vsserv.exe
• vsservppl.exe
• windump.exe
• WRSA.exe

サンドボックス

• CWSandbox
• QEMU
• SbieDll.dll
• VBox
• Vmtoolsd.exe
• VMWare

活動を続行する場合、%AppData%\Microsoft\{ランダムな名前}\に自身のコンポーネントのためのフォルダを作成します。次に、自身を%AppData%\Microsoft\{ランダムな名前}\{ランダム}.exeにコピーして、自動実行を作成します。

         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

        {ランダム} = %APPDATA%\Microsoft\{ランダムな名前}\{ランダム}.exe

また、以下を介してスケジュールされたタスクを作成します。

• “C:\Windows\system32\schtasks.exe” /create /tn {8BAD047B-4889-4161-9D32-63F25CBFC779}  /tr “”{マルウェアのパス}\{マルウェアの名前}”” /sc HOURLY /mo 5 /F

マルウェアのコピーは、他の場所にも配置されます。

• %ProgramData%\{ランダム}.exe
• %TEMP%\{ランダム}.exe
• %User%\{ランダム.exe}

インストール後、QAKBOTは次のプロセスのいずれかに自身をインジェクトし、メモリに常駐します。

• explorer.exe
• Iexplore.exe
• Mobsync.exe

マルウェアは、ドメイン生成アルゴリズム（DGA）といくつかのハードコードされたコマンド＆コントロール（C＆C）サーバの両方を備えています。DGAのルーチンは、ランダムなIPとポートの組み合わせでアクセスを試行し、接続に成功すると、POSTコマンドに進みます。

マルウェアのコードは、古いQAKBOTがそうであったように、他のコンポーネントをダウンロードできるようにするPowerShellルーチンの存在を示しています。これは、マルウェアのインストール以外の活動は、通常、C＆Cサーバからダウンロードされた別のコンポーネントを介してロードされ実行されることを意味します。

■被害に遭わないためには

旧知のマルウェアが、新しい、より洗練されたものとなって絶えず復活する脅威に対抗するためには、未知の脅威への対処と同様に、高度な検出、および迅速な対処を可能とするソリューションが必要です。

今回解説したQAKBOT亜種や他の電子メールを介して拡散するマルウェアの感染を防ぐためには、次のベストプラクティスに従ってください。

• 送信者およびメールの内容を確認せずに、添付ファイルをダウンロードしたり、電子メールの埋め込みリンクをクリックしたりしないこと
• クリックする前に埋め込みリンク上にポインタを置くことで表示されるリンク先のURLを確認すること
• 送信者を確認すること。見慣れないメールアドレス、メールアドレスと送信者名の不一致、正規の企業や組織になりすましたメールなどは、不正なメールであることを示す兆候であると認識すること
• メールが正当な企業組織からのものに見える場合でも、添付ファイルを開いたりリンクをクリックしたりする前に、該当する企業組織にメールを送信したかどうか確認すること

ユーザは、高度な人工知能を利用して脅威の関連付けおよび優先順位付けを行うことによって、その脅威がより大きな攻撃の一部であるかどうかを判断することを可能にするMDRにより、システムを保護することができます。MDRによって、実行される前に脅威を検出できるため、それ以上の侵害を防ぐことができます。

■侵入の痕跡（Indicators of Compromise 、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

調査協力：Miguel Ang、Monte De Jesus、Jesus Titular、Catherine Loveria

参考記事：

• 「QAKBOT Resurges, Spreads through VBS Files」
  By Erika Mendoza, Ian Lagrazon, and Gilbert Sison

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロでは、オープンソースソフトである「Salt」の脆弱性を利用する不正コインマイナーを確認しました。Saltはソフトウェア開発企業「SaltStack」による、イベント駆動型のIT自動化やリモートでのタスク実行、および構成管理を可能にするオープンソースのソフトウェアです。Saltの管理フレームワークは、多くのデータセンターやクラウドサーバで使用されています。また、Saltはインフラをコード化して管理する「IaC （Infrastructure as Code）」を実現する構成管理ツールでもあり、DevOpsでも利用されます。今回利用されたSaltの2つの脆弱性は、2020年３月中旬、サイバーセキュリティ企業「F-Secure」のリサーチャによって公開されたものです。一つは、認証バイパスの脆弱性である「CVE-2020-11651」、もう一つはディレクトリトラバーサルの脆弱性である「CVE-2020-11652」です。これらの脆弱性は認証されていないリモートの攻撃者によって悪用される可能性があり、Salt Master 2019.2.3 と3000.1およびそれ以前のバージョンが影響を受けます。なお、これらの脆弱性に対処するために、SaltStackによるセキュリティ更新情報が既にリリースされています。

トレンドマイクロでは、このSaltに影響を与える２つの脆弱性とその修正パッチ、そして脆弱性を悪用するコインマイナーについて調査しました。

■CVE-2020-11651 およびCVE-2020-11652について

「CVE-2020-11651」はリモートユーザによるアクセスを許可し、「CVE-2020-11652」は任意のディレクトリへのアクセスを許可する脆弱性です。Saltのアーキテクチャを観察することによって脆弱性を理解することができます。マスター/スレーブ（master-slave）モデルを採用するSaltでは、マスターは「saltマスター」と呼ばれ、スレーブは「saltミニオン」と呼ばれます。saltマスターは、コマンドと設定をsaltミニオンに送信するために使用されます。一つのマスターで複数のミニオンを管理することができます。

CVE-2020-11651の脆弱性は、saltマスターのプロセスである「ClearFuncs」が、メソッドの呼び出しを正しく検証しない所にあります。このクラスでは以下の2つのメソッドが公開されています。

•_prep_auth_info()メソッド。ユーザトークン（ルート鍵）を返すメソッド。攻撃者はトークンを使用して認証を回避できるため、マスターとミニオンの両方で、Saltプロセスのコンテキスト内でリモートコマンド実行が可能になる

•_send_pub()メソッド。マスターのパブリッシュサーバ上でメッセージを直接キューに入れるために使用できるメソッド。このようなメッセージを使用することによってミニオンをトリガーし、任意のコマンドをrootで実行することができる

要約すると、CVE-2020-11651は、認証不要でいくつかのメソッドへのアクセスを許可する脆弱性です。この脆弱性を悪用してsaltマスターからユーザトークンを取得し、saltマスターとsaltミニオン上でコマンドを実行することができます。

もう一つのCVE-2020-11652脆弱性も、saltマスターのプロセス「ClearFuncs」に関係しています。この脆弱性では、パスのサニタイズ処理を不適切にさせる、いくつかのメソッドへのアクセスを許可します。SaltのWheel Modulesには、特定のディレクトリパスにあるファイルの読み取りと書き込みに使用するコマンドが含まれています。salt.tokens.localfsのget_token（）メソッドがトークン入力パラメータのサニタイズに失敗すると、ファイル名として使用され、「..」パス要素を挿入できるため、意図したディレクトリ外のファイルを読み取ることができます。これは、ファイル名として利用されるトークン入力パラメータを正しくサニタイズできないために発生しますが、唯一の制限として、この時ファイルがsalt.payload.Serial.loads（）によって元のデータ形式に復元できなければなりません。これにより、攻撃者はパス要素を書き換えるチャンスを得ることになります。

■修正パッチについて

脆弱性「CVE-2020-11651を修正するために、SaltStackは、ユーザが平文のメッセージで指定することのできる公開されたメソッドを定義しました。これは、get_method（）という新しい関数によって行われます。

脆弱性「CVE-2020-11652」を修正するために、SaltStackはsaltマスターによって提供されるClearFuncsメソッドのパスをサニタイズしました。これにより、意図しないファイルやディレクトリへのアクセスが許可されることを防ぎます。ファイルシステムリンクを解決する_realpath（）とパスを確認するclean_path（）の、2つの新しい関数が追加されました。

■「CVE-2020-11651」および「CVE-2020-11652」を利用するコインマイナー

トレンドマイクロは、CVE-2020-11651およびCVE-2020-11652を実際に悪用するコインマイナーを確認しました。（以下は検出名）

• Coinminer.Linux.KINSING.A
• Coinminer.Linux.KINSING.B
• Coinminer.Linux.KINSING.C
• Coinminer.Linux.MALXMR.SMDSL64
• Coinminer.Linux.MALXMR.UWEKP

トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」によれば、脆弱性が公開されてからわずか数日後の5月3日以降に、以下の表のような検出データを確認しています。 「ファイルのフルパス」の列は、マルウェアがドロップされたパスに関連するもの、「プロセスのフルパス」は、プロセス実行のバイナリファイルのパスを意味します。また、「インスタンス数」は、検出が報告されたコンピュータの数です。

「ファイルのフルパス」は以下のいずれかです。

• /tmp/salt-minions
• /var/tmp/salt-store

「プロセスのフルパス」は以下のいずれかです。

• [salt-store]
• /usr/bin/bash
• /usr/bin/md5sum
• /usr/bin/python2.7
• /usr/bin/wget
• /var/tmp/salt-store

Red Hat Enterprise Linux Serverリリース7.2（Maipo）は、記録されたうちで最も多い315,265を検出しました。

表1：/tmp/salt-minionsをファイルのフルパスとした検出

表2：/var/tmp/salt-storeをファイルのフルパスとした検出

■被害に遭わないために

サイバー犯罪者は利用可能な脆弱性を常に探しています。1つのシステムに脆弱性が見つかれば、そのシステムに接続された他のシステムを侵害するために利用することができます。例えば、Saltの脆弱性によってデータセンターやクラウドサーバに保存されているデータが危険にさらされる可能性があります。ユーザは、システムのセキュリティを強化するため、できるだけ早くプラットフォームと端末の脆弱性に修正パッチを適用する必要があります。また、脆弱性を利用する脅威から防御するためにセキュリティソリューションを導入することも役立ちます。

■トレンドマイクロの対策

「Trend Micro Deep Security」は、今回解説した脆弱性を利用する脅威からシステムを保護します。

• 1010265 – SaltStack Salt Authorization Weakness Vulnerability (CVE-2020-11651)
• 1010266 – SaltStack Vulnerabilities Exploitation Detected
• 1010267 – SaltStack Salt Directory Traversal Vulnerability (CVE-2020-11652)

ネットワーク脅威防御ソリューション「TippingPoint」は、以下のMainlineDV filterによりこれらの脆弱性を利用する脅威をブロックします。

• 37032 – HTTP: Backdoor.Linux.Kinsackor.A Runtime Detection
• 37750 – TCP: SaltStack Salt Authentication Bypass Vulnerability (CVE-2020-11651)
• 37782 – TCP: SaltStack Salt Directory Traversal Vulnerability (CVE-2020-11652)

Trend Micro Cloud One Workload Securityは、物理、仮想、クラウドおよびコンテナの各環境で一貫したセキュリティを実現します。Trend Micro Cloud One Network Securityは、シンプルで柔軟な導入オプションにより、ビジネスアプリケーションやプロセスの中断を招くことなく、必要な場所でネットワークを迅速に保護できます。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事：

• 「Coinminers Exploit SaltStack Vulnerabilities CVE-2020-11651 and CVE-2020-11652」
  By Govind Sarda and Suraj Sahu, Threat Researchers

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

攻撃者は、より巧妙に検出を回避するための技術を常に考案しています。トレンドマイクロは、「Netwalker（ネットウォーカー）」と名付けられたランサムウェアによる攻撃を確認しました。このランサムウェアのコードはコンパイルされておらずPowerShellで作成されており、ランサムウェア本体のバイナリをディスク上に保存することなく、直接メモリ内で実行されます。このように「ファイルレス活動」を実行するNetwalkerは、感染コンピュータ内の既存ツールを悪用することによって攻撃を展開し、検出を回避して活動を持続化させます。

「反射型DLLインジェクション（Reflective DLL Injection）」または「反射型のDLL読み込み（Reflective DLL Loading）」とも呼ばれる手法を利用する脅威として、「ColdLock」と呼ばれるランサムウェアによる攻撃を2020年5月に確認していますが、今回のNetwalkerランサムウェアは、同様の攻撃をファイルレスで実行しています。反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能です。ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的と言えます。これにより、DLLをプロセスへロードされたモジュールとして登録する必要がなくなり、DLLのロードを監視するツールからの回避が可能になります。

Netwalkerのペイロードは、「Ransom.PS1.NETWALKER.B」として検出されるPowerShellスクリプトから始まります。

■PowerShellスクリプトの解析

PowerShellスクリプトは、何層もの暗号化、難読化、およびエンコード技術のレイヤーの下に隠されています。解析したサンプルでは、3つのコードの層を明らかにすることができました。最上位層は、base64でエンコードされたコマンドを実行します。

これをデコードすると、16進数でエンコードされた上にXORで暗号化された、以下のコードの層が現れます。

デコードおよび復号すると、メインスクリプトが現れますが、これも重度に難読化が施されており、解析者によるコンテンツの解読をさらに困難にするものとなっています。

このファイルは、実行中の正規プロセスである「explorer.exe」のメモリに対し、ランサムウェアのDLLを反射型でインジェクションさせます。ランサムウェアの不正コードは16進形式でスクリプトに埋め込まれています。

スクリプトからバイナリを取り出してデコードすると、2つのDLLが生成されます。1つはランサムウェアのx86バージョン（32ビットOS用）、もう1つはx64バージョン（64ビットOS用）です。使用するDLLバージョンを決定するため、スクリプトが実行されている環境を、スクリプトの次の部分を使用して判別します。

次に、反射型DLLインジェクションを正常に実行するため、最初にkernell32.dllから必要な関数のAPIアドレスを探し出します。

そして、次の関数を使用して、正確なメモリアドレスの計算を設定します。

このようにして、スクリプト自体がDLLのカスタムローダとして機能します。これにより、通常はLoadLibrary関数を利用する従来のWindowsローダが不要になります。スクリプト自体が、DLLを正しくロードするために必要なメモリアドレスと再配置する場所を計算し、解決することができます。次に、インジェクト先のプロセスを指定します。解析したサンプルの場合では、実行中のエクスプローラー （Windows Explorer）のプロセスを検索します。

その後、次のコードを使用して、ランサムウェアのDLLを「explorer.exe」のメモリ空間に書き込み、実行します。

最後にWindowsの自動バックアップ機能であるシャドウコピーを削除することによって、ユーザがシャドウボリュームを使用して暗号化されたファイルを回復することができないようにします。

解析したサンプルは、ペネトレーションテストツール「PowerSploit」のモジュールの一つ「Invoke-Mimikatz」から派生したもののようです。このオープンソースのプログラムはもともと、Mimikatzをメモリに反射型インジェクションし、気づかれないように「Credential Dumping （認証情報ダンピング）」を行うため利用されていました。

■ファイルレスランサムウェアの解析

解析したNetwalkerの亜種の動作は、従来のランサムウェアと類似しています。暗号化したファイルの名称を、ランダムな6文字を拡張子として加え変更します。

身代金要求文書（ランサムノート）をコンピュータ内のさまざまなフォルダに作成し、データとドキュメントのファイルを暗号化した後で、そのうちの一つを開きます。通常のランサムウェアと同様に、ファイルの復号と引き換えに金銭をユーザに要求します。

そして、次のレジストリエントリを追加します。このエントリの追加は、Netwalkerの特徴的と言える動作です。

HKEY_CURRENT_USER\SOFTWARE\{ランダムな8文字}

{ランダムな8文字} = {16進数}

Netwalkerは、いくつかのプロセスとサービスを終了させます。そのうちのいくつかは、バックアップソフトウェアとデータ関連のアプリケーションに関係するものです。つまり、ランサムウェア攻撃を受けたユーザが、バックアップやリカバリのための操作を試みる努力を無駄にするためと考えられます。

以下は、ランサムウェアが終了させるサービスの例です（サービスの完全なリストについては、ウイルス情報（英語）を参照してください）。

• *backup*
• *sql*
• AcronisAgent
• ARSM
• server Administrator
• ShadowProtectSvc
• wbengine

また、ランサムウェアはセキュリティ対策ソフトウェア関連のプロセスを停止させ、ランサムウェア活動の検出と終了を回避します。

さらに、ユーザのデータとドキュメントに関連するプロセス、およびバックアップを作成するためのソフトウェアを終了させます。次に、それらのアプリケーションを利用して作成されたファイルの暗号化を実行します。

以下は、ランサムウェアによって終了されたプロセスの例です（プロセスの完全なリストについては、ウイルス情報（英語）を参照してください）。

• *sql*
• excel.exe
• ntrtscan.exe
• powerpnt.exe
• wbengine*
• winword.exe
• wrsa.exe

Netwalkerは主に、Officeドキュメント、PDF、画像、ビデオ、オーディオ、テキストファイルなどの一般的なファイルを暗号化の対象とします。それ以外のクリティカルなファイル、実行ファイル、ダイナミックリンクライブラリ、レジストリ、またはその他システム関連ファイルは暗号化しません。これは、感染コンピュータを完全に使い物にならないようにするつもりはなく、被害者に身代金を払う処理を可能にさせようとする活動と言えます。

■被害に遭わないためには

攻撃者は、ランサムウェアに反射型インジェクションの機能を追加し、攻撃の検出を回避しセキュリティ解析者による調査を困難にしようとしているようです。ランサムウェアだけでも組織や企業にとって恐ろしい脅威ですが、ファイルレス活動を組み込むことによって、検出をさらに効果的に回避し活動を持続化させるため、リスクはさらに大きなものとなります。複数の手法を組み合わせたこのような脅威の被害に遭わないためには、多層防御のセキュリティソリューションによってエンドポイントを効果的に保護する必要があります。

また、このような脅威はユーザに多大な影響を与える可能性があり、回復が困難なものとなる場合があります。ベストプラクティスを適用するなど、適切な予防策を講じることにより感染リスクを最小限に抑えることができます。

以下は、ランサムウェア攻撃を回避するための推奨事項です。

• ランサムウェア攻撃に備えて重要なデータは定期的にバックアップしておく
• OSおよびサードパーティベンダのソフトウェアは、最新のものに更新する
• 電子メールとWebサイトの安全対策を実践する
• 従業員は、不審な電子メールとファイルについてITセキュリティチームに警告する
• エンドポイントにアプリケーションのホワイトリストを実装して、未知で不要なアプリケーションをすべてブロックする
• ソーシャルエンジニアリングの危険性について、従業員への教育を定期的に実施する

以下は、ファイルレスの脅威からシステムを保護するための推奨事項です。

• PowerShellのロギング機能を利用して不審な動作を監視し、PowerShellを保護する
• 「ConstrainedLanguageMode」などのPowerShellコマンドを利用して、不正なコードからシステムを保護する
• システムコンポーネントを設定し使用されていない古いコンポーネントを無効にすることによって、侵入口として利用されないようにする
• 信頼のおけないソースからファイルをダウンロードして実行しない

■トレンドマイクロの対策

法人利用者向け「Trend Micro Apex One」、個人利用者向け「ウイルスバスタークラウド」などトレンドマイクロのエンドポイント対策製品では、先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチにより、さまざまな脅威に対して広範な保護を提供します。ファイルレス攻撃対応の強化、仮想通貨マイニング、ランサムウェアなど、高度なマルウェアをより正確に検出します。また、挙動分析により、スクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現します。

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

参考記事：

• 「Netwalker Fileless Ransomware Injected via Reflective Loading」
  By Karen Victor

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロでは、香港のiOSユーザを狙う水飲み場型攻撃を確認しました。この活動では、さまざまなニュース記事につながると見られるリンクが、複数のネット掲示板に投稿されました。今回利用されたリンクは、ユーザを実際のニュースサイトに誘導しますが、不正コードの読み込みと実行を行うために非表示のiframeも使用します。不正コードには、iOS 12.1および12.2で確認された脆弱性を狙う脆弱性攻撃コードが含まれています。ユーザが潜在的な脅威を持つ状態にあるデバイスで対象のリンクをクリックしてしまうと、iOSを狙うマルウェアの新亜種「lightSpy（「IOS_LightSpy.A」として検出）」のダウンロードが実行されます。

lightSpyは、影響を受けるデバイス上で、遠隔からシェルコマンドを実行してファイルの操作を可能にするモジュラー型のバックドアです。このため、攻撃者はユーザのデバイス上でスパイ行為を行うだけでなく、対象のデバイスを完全に制御することができます。また、lightSpyには、感染したデバイスから以下の情報を窃取するために利用されるモジュールが含まれています。

• 接続されたWi-Fi履歴
• 連絡先
• 位置情報
• ハードウェア情報
• iOS キーチェーン
• 通話履歴
• SafariおよびChromeブラウザの履歴
• SMS メッセージ

ユーザのネットワーク環境に関する情報も、対象のデバイスから窃取されます。

• 利用可能なWi-Fiネットワーク
• ローカルネットワークのIPアドレス

具体的に、メッセンジャーアプリも情報窃取の標的とされています。特に対象となったアプリは、以下の通りです。

• Telegram
• QQ
• WeChat

トレンドマイクロはまた、Android端末を狙うlightSpyに類似した活動も2019年に確認していました。この活動では、香港と関連のある複数のTelegramの公開チャンネルで、不正な.APKファイルへのリンクが見つかりました。該当するチャンネルで送信されたメッセージには、さまざまな正規アプリへの公式リンクであると記載されていましたが、実際は、デバイス情報、連絡先、SMSメッセージを窃取する可能性のある不正アプリにつながっていました。トレンドマイクロでは、Android端末を対象とするこのマルウェアファミリを、「dmsSpy（このマルウェアの亜種は「AndroidOS_dmsSpy.A」として検出）」と呼んでいます。

作戦から垣間見えるその設計と機能から、このキャンペーンでは特定のユーザを意図して狙ったわけではないと見られます。しかし、デバイスに対するバックドア攻撃と監視のために、可能な限り多くの端末を侵害しようとしていることが伺えます。トレンドマイクロでは、その拡散手法に基づいて、このキャンペーンに「Operation Poisoned News」と名付けました。

本記事では、lightSpyおよびdmsSpyの両方が持つ機能の概要と、それらの拡散手法について解説します。侵入の痕跡（Indicators of Compromise 、IoC）を含む技術的詳細は、こちらから確認できます。

■拡散：「Poisoned News」と水飲み場型攻撃

2020年2月19日、トレンドマイクロは、iOSユーザを狙った水飲み場攻撃を確認しました。この攻撃で使用されたURLは、攻撃者が作成した不正Webサイトにつながるだけでなく、異なるサイトを示す3つのiframeを含んでいました。唯一可視化されているiframeは、正規のニュースサイトにつながり、人々がその正規サイトにアクセスしていると信じ込むように仕向けます。非表示となっている２つのうち一つは、Webサイトの解析に使用されていました。もう一つは、iOS対象の脆弱性攻撃コードが持つメインスクリプトをホストするサイトにつながりました。以下の図1は、これら3つのiframeのコードを示しています。

これらの不正サイトにつながるリンクは、4つの異なるネット掲示板に投稿されました。 これらのネット掲示板は、香港の在住者に人気があることで知られています。４つの掲示板では公式アプリも提供しているため、ユーザは自身のモバイル機器から簡単にアクセスできます。Poisoned News（偽のニュースページ）へのリンクは、上述のネット掲示板に設置されているカテゴリ「雑談」内に投稿されました。この投稿には、特定のニュース記事の見出し、記事に付随する画像、およびニュースサイトへの偽リンクが含まれます。

問題の記事は、新規登録されたアカウントによって掲示板内に投稿されました。したがって、これらの投稿は、とあるユーザが正規のリンクだと勘違いして再共有しようと作成したものではないことがわかります。 囮として利用されたトピックは、成人向け、釣り見出し、または新型コロナウイルスに関連するニュースのいずれかでした。トレンドマイクロでは、これらの話題が特定のユーザではなく、サイト全体のユーザを狙っていると考えています。

また、トレンドマイクロでは、上述の手法以外にも、2つ目の水飲み場型攻撃を利用したWebサイトも確認しました。この事例では、正規サイトが模倣され、不正なiframeが挿入されました。弊社が設置したハニーポットから、香港で起きたこの事例での水飲み場型攻撃によるリンクの拡散は、2020年1月2日に開始したことがわかります。しかし、これらのリンクが拡散された先は不明なままです。

これらの攻撃は2020年3月20日まで続いたため、ネット掲示板の投稿は香港で行われた抗議行動の予定に関連していると考えられています。ここで使用された不正リンクは以前の事例と同様に、マルウェアの感染につながります。

■感染の流れ

この攻撃で使用される脆弱性攻撃コードは、iOSバージョン 12.1および12.2に影響を与えます。以下の図6から分かるように、iPhone 6SからiPhone Xまで、複数のiPhoneモデルを対象としています。

完全な脆弱性攻撃の流れには、非公式パッチが適用されたSafariの脆弱性（最近の複数のiOSバージョンで動作）やカスタマイズされたカーネルの脆弱性が含まれます。Safariブラウザが脆弱性攻撃コードをレンダリングすると、そのコードは脆弱性（Appleが新しいバージョンのiOSで非公式パッチを適用済み）を狙い、既知のカーネルの脆弱性を悪用してルート権限を取得します。カーネルの脆弱性は「CVE-2019-8605」に関連しています。非公式パッチが適用されたSafariの脆弱性に関連するCVE（共通脆弱性識別子）番号はありませんが、他のリサーチャーは、この特定の問題に関連して、過去に確認されたパッチ適用の失敗について言及しました。

対象のデバイスが侵害されると、攻撃者は文書化されていない高度なスパイウェアをインストールして、デバイスの制御を維持し、情報を窃取します。 スパイウェアは、以下を含む複数の機能を備えたモジュラー設計を使用しました。

• モジュールの更新
• モジュール毎に遠隔からコマンドをディスパッチする
• シェルコマンドのモジュールを完了する

このスパイウェアが持つモジュールの多くが、情報窃取のために設計されたのは明白です。たとえば、TelegramやWechatから情報を窃取するモジュールもこれに当てはまります。以下の図では、感染の流れとそこで使用される複数のモジュールを示しています。

トレンドマイクロは、モジュールマネージャ「light」に因んで、この新たな脅威にlightSpyという名前を付けました。また、モジュール「launchctl」が使用するデコードされた構成ファイルには、/ androidmm / lightの場所を示すURLが含まれていることにも注視しましょう。このことは、Androidを対象とするバージョンも存在することを示唆しています。

もう一点注視すべき部分として、ファイル「payload.dylib」には、正規のApple開発者が発行する署名証明書が使用されていますが、これは2019年11月29日に署名されたものでした。このことから、このキャンペーンの活動の開始時を示す明確なタイムスタンプが付けられます。

■lightSpyが行う不正な動作の概要

ここでは、lightSpyとその動作に関連するペイロードの概要を一部解説します。 詳しい技術的概要は、こちらから確認できます。

カーネルの脆弱性がトリガーされると、図8のコードから分かるように、payload.dylibは複数のモジュールをダウンロードします。

ここでダウンロードされたモジュールの一部は、起動と読み込みの動作に関連付けられています。たとえば、launchctlはデーモン/エージェントを読み込みまたは破棄するために使用されるツールであり、ircbin.plistを引数として使用して、対象の動作を実行します。このデーモンは次に、irc_loaderを実行しますが、名前から分かるように、これは主要なマルウェアのモジュール「light」を単に読み込むものです。この際、ハードコーディングされたC＆Cサーバの位置情報も含まれます。

モジュール「light」はマルウェアのメインコントロールとして機能し、他のモジュールの読み込みおよび更新を可能にします。残りのモジュールは、以下に列挙されているように、さまざまなタイプのデータを抽出および取得するように設計されています。

• dylib – iPhoneのハードウェア情報、連絡先、テキストメッセージ、通話履歴などの基本情報を取得してアップロードする
• ShellCommandaaa – 影響を受けるデバイス上でシェルコマンドを実行する。結果はシリアル化され、指定されたサーバにアップロードされる
• KeyChain – Appleキーチェーンに含まれる情報を窃取し、アップロードする
• Screenaaa – 影響を受けるデバイスと同一のネットワークのサブネット上のデバイスをスキャンしてpingする。 pingの結果が攻撃者にアップロードされる
• SoftInfoaaa – デバイス上のアプリとプロセス一覧を取得する
• FileManage – デバイス上でファイルシステム操作を実行する
• WifiList – 保存されたネットワークや履歴など、保存されたWi-Fi情報を取得する
• browser – ChromeとSafariの両方からブラウザ履歴を取得する
• Locationaaa – ユーザの位置情報を取得する
• ios_wechat – アカウント情報、連絡先、グループ、メッセージ、ファイルなど、WeChat関連の情報を取得する
• ios_qq – モジュール「ios_wechat」に類似しているが、QQを対象とする.
• ios_telegram – 上述のモジュール2つに類似しているが、Telegramを対象とする

まとめると、攻撃者はこの脅威を利用することで、影響を受けるデバイスを徹底的に侵害し、ユーザが機密情報と見なす多くの情報を窃取することが可能になります。本記事で紹介した事例では、香港市場で人気のある複数のチャットアプリが特に狙われており、情報窃取が攻撃者の目的であったことを示唆しています。

■dmsSpyの概要

前述の通り、lightSpyのAndroid版と言える「dmsSpy」も存在します。2019年、さまざまなアプリに偽装したdmsSpyは、Telegramの公開チャンネル上で拡散されました。調査中、リンクはすでに無効となっていましたが、トレンドマイクロは亜種の一つを検体として入手することに成功しました。

トレンドマイクロで確認した検体は、香港での抗議活動の予定を含むカレンダーアプリとして宣伝されていました。このアプリには、機密性の高い権限の要求や、機密情報のC＆Cサーバへの送信など、不正アプリによく見られる多くの機能が含まれています。ここで収集される情報には、使用されているデバイスモデルなど一見安全な情報が含まれますが、連絡先、テキストメッセージ、ユーザの位置情報、保存されているファイルの名前などのより機密性の高い情報も含まれます。dmsSpyは、新規受信したSMSメッセージを読み取るためのレシーバを登録し、USSDコードをダイヤルします。

また、トレンドマイクロでは、dmsSpyに関する詳細情報の取得に成功しました。この活動の背後にいる攻撃者が誤って、Webフレームワークのデバッグモードをアクティブにしたためです。こうして、サーバが使用するAPIを確認可能となりました。このことから、スクリーンショットや、APKファイルをデバイスにインストールする機能など、弊社が入手した検体では確認できなかったさらなる機能が存在することが明らかになりました。

トレンドマイクロの見解では、これらの攻撃は関連していると考えています。dmsSpyのダウンロードサーバとC＆Cサーバは、Poisoned NewsのiOSのコンポーネントで利用された水飲み場型攻撃による事例のうち、一つが同様のドメイン名「hkrevolution[.]club」を使用していました。ただし、サブドメインは異なるものを使用していました。結果として、この特定的にAndroid端末を狙う攻撃は同一集団の攻撃者によって実行されており、Poisoned Newsとのつながりがあると見ています。

■ベンダの声明

トレンドマイクロは、本記事で言及した複数のベンダに対し、この事例についての調査報告を行いました。 これに対して、Tencentは以下の声明を発表しています。

「トレンドマイクロが行なった調査を受け、コンピュータとモバイル機器のオペレーティングシステムを最新の状態に保つ重要性を強く実感しました。調査内で記載されている脆弱性は、iOS のバージョン12.1および12.2のSafariに影響を及ぼしますが、その後iOSのアップデートが行われ、修正済みとなっています。

ごくわずかな割合のWeChatおよびQQユーザが、脆弱性を含む古いバージョンのiOSを未だ利用していました。対象のユーザには、自身のデバイスをできるだけ早く最新バージョンのiOSにアップデートするように、既にリマインダーを発行しています。

Tencentはデータセキュリティの重要性について非常に真摯に受け止めており、ユーザ情報を安全に保つために設計された強固で安全なプラットフォーム上に、当社の製品とサービスが構築されるように努めます。」

また、Apple社に対しても、トレンドマイクロのセキュリティチーム「Zero Day Initiative（ZDI）」を通じて、この調査について報告しました。 Telegramにも調査結果について知らせましたが、本記事執筆時点で回答はありません。

■被害に遭わないためには

この脅威を防ぐために、ユーザは複数の対策を講じることが可能です。 iOSユーザにとって最も重要なのは、iOSバージョンを最新の状態に保つことです。この問題を解決するアップデートは、1年以上前から利用可能となっていました。つまり、自身のデバイスに最新のアップデートを適用していたユーザは、本記事で紹介した脅威が悪用しようとする脆弱性から安全な状態が保たれていました。

Android端末を利用する場合、トレンドマイクロが取得した検体は、Google Playストア外のTelegramチャンネルのリンクを介して配布されていました。 この手法で拡散されるアプリには不正コードが頻繁に含まれるため、ユーザは信頼できるアプリストア以外からアプリをインストールしないようにすることを強く推奨します。

■トレンドマイクロの対策

トレンドマイクロクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の機能である「Mobile App Reputation Service（MAR）」では、主要なサンドボックスおよび機械学習技術を使用してAndroidおよびiOSの脅威に対応し、マルウェア、ゼロデイおよび既知の脆弱性攻撃、プライバシーの流出、およびアプリケーションに潜む脆弱性からユーザを保護します。個人向けiOSおよびAndroid端末向け製品「ウイルスバスターモバイル」および法人向け「Trend MicroMobile Security」ではMARSを利用した対策機能を実装しています。同時にデバイス所有者のデータおよびプライバシーを保護する多層セキュリティ機能と、ランサムウェア、不正なWebサイト、IDの窃取からデバイスを保護する機能も利用可能です。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡および技術的詳細は、こちら（英語）を参照してください。

参考記事：

• 「Operation Poisoned News: Hong Kong Users Targeted With Mobile Malware via Local News Links」
  By Elliot Cao, Joseph C. Chen, William Gamazo Sanchez, Lilang Wu, and Ecular Xu

翻訳： 下舘　紗耶加（Core Technology Marketing, Trend Micro Research）

設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産（仮想通貨）を発掘する不正コインマイナーと、分散型サービス拒否（DDoS）攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。

このマルウェアによる攻撃は、開いている2375、2376、2377、4243、4244のポートをスキャンする「mxutzh.sh」という名称のシェルスクリプトから開始されます。コインマイナーとDDoS攻撃用のボットをホストするAlpine Linuxのコンテナを作成します。シェルスクリプトが作成したコンテナは、別のシェルスクリプト「init.sh」をダウンロードします。init.shは次に、以下のようなコンポーネント各種をドロップして実行します。

• clean.sh―他のコインマイナーとマルウェアを検索して削除する。また、マルウェア「Kinsing」（これも脆弱なDockerサーバを標的とするマルウェアとされる）を削除する
• dns―DDoS攻撃を実行するボット「Kaiten」あるいは「Tsunami」の本体ファイル
• lan.ssh.kinsing.ssh―SSH経由で情報探索活動を実行する
• NarrenKappe.sh―他のコンポーネントが使用するためのポートを許可するようファイアウォールを設定し、/etc/hostsファイルを編集して他のドメイン名をシンクホール化する。また、ホストコンピュータから機密情報を収集する
• setup.basics.sh―他のコンポーネントが必要とするユーティリティがシステムにインストールされていることを確認する
• setup.mytoys.sh―ログクリーナーのソースコードをダウンロードしてコンパイルする。このスクリプトはまた、攻撃者がネットワーク内の他のデバイスへ転向するために使用できる、侵入後に利用されるツール「punk.py」もダウンロードする
• setup.xmrig.curl.sh―ペイロードであるコインマイナーをダウンロードしてインストールする
• sysinfo―さまざまなシステム情報を収集しコマンド＆コントロール（C＆C）サーバに報告する

誤って設定されたDockerコンテナは、常にこのような脅威による危険にさらされています。過去にはボットネットやコインマイナーを使用した攻撃が報告されています。

■Dockerを標的とする攻撃に対処するには

クラウド環境を採用する企業や組織が増えるにつれ、クラウドへのデプロイが比較的容易であるDockerコンテナの人気が高まっています。コンテナ環境を保護するために、以下のベストプラクティスを推奨します。

• コンテナ運用に最適化したOSでコンテナをホストし、攻撃の侵入口を最小化する
• IPS（侵入防御システム）やURLフィルタなどの保護機能を使用して、ネットワークトラフィックをチェックする
• リスクを軽減させるために、アクセス権限を必要とする人だけに制限する
• Dockerが推奨するセキュリティのベストプラクティスを実行する

■トレンドマイクロの対策

トレンドマイクロの「Hybrid Cloud Security」では、物理・仮想・クラウドの混在環境にシンプルな自動化されたセキュリティを提供し、環境を問わずにワークロードを保護します。特にコンテナ環境でのセキュリティとして以下を提供しています。

• クラウド環境に対する脅威をスキャン・可視化し保護するTrend Micro Cloud OneContainer Security（現製品名：Trend Micro Deep Security Smart Check）は、コンテナイメージおよびレジストリを自動的にスキャンします。
• Trend Micro Cloud One Workload Security（現製品名：Trend Micro Deep Security as a Service）は、機械学習型検索や仮想パッチなどのセキュリティ機能により、ワークロードを保護します。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

調査協力：Augusto Remillano II およびJemimah Molina

参考記事：

• 「Coinminer, DDoS Bot Attack Docker Daemon Ports」
  By TrendMicro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

「Tropic Trooper」は、2011年から活動しているとされるサイバー攻撃グループです。これまでに、台湾、フィリピン、香港における政府および軍事機関、ヘルスケア、輸送、ハイテク産業を攻撃対象にしてきたものと推測されています。トレンドマイクロではこのグループの活動として、2015年に脆弱性を利用するファイルを添付した標的型メール（スピアフィッシングメール）の攻撃を、また2018年にはツールに新機能を追加するなどの攻撃手法の変化を報告してまいりました。そして最近確認されたTropic Trooperの攻撃活動では、USBストレージ経由で台湾およびフィリピンの軍事機関のエアギャップ環境、つまり他のネットワークから物理的に隔離されている閉域ネットワークへの侵入を狙う活動を把握しました。また同時に、政府機関、軍事病院、さらに国立銀行を標的とした攻撃も確認できました。この攻撃でTropic Trooperは、特定の標的環境において自身の活動を隠蔽しつつさまざまなコマンドを実行し、USBストレージから重要な情報を窃取するマルウェア「USBferry」を活用します。ちなみにUSBferryの名称は、調査の際に入手されたサンプルの名前からとられています。トレンドマイクロの調査では、おとりとなる偽の実行ファイルとUSBferryを利用して情報を収集する活動を確認しています。　

図1：USBferry攻撃のシナリオ例

トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network」のデータは、USBferryによる攻撃が2014年から活発になっていることを示しています。Tropic Trooperは標的のネットワークから、「defense-（防衛）」、「ocean-（海洋）」、 および「ship-（船舶）」に関連した文書の窃取に焦点を当てており、グループの主な目的は機密情報の窃取であると考えられています。Tropic Trooperは、政府および軍事機関が物理的に隔離されている環境においてより堅固なセキュリティを確保しているであろうこと、具体的には、閉域ネットワークで隔離されたコンピュータでのバイオメトリクス（生体認証）やUSBの使用などがあることを十分に認識しています。そしてグループは、攻撃の起点として利用するため、セキュリティに隙があると考えられる別の関連組織を標的にします。そのような例としてトレンドマイクロでは、軍の病院のネットワークから、物理的に隔離された軍本体のネットワークへ侵入した事例を確認しています。

本記事では、USBマルウェア「USBferry」の概要とその機能、およびネットワークから物理的に隔離されている環境への侵入に使用されるその他のツールについて説明します。 侵入の痕跡（Indicators of Compromise、IoCs）他詳細についてはこちらを参照してください。

■「USBferry」の活動

このマルウェアは、プライスウォーターハウスクーパース（PwC）によるレポートの中で、Tropic Trooperに関連するマルウェアとして言及されていましたが、詳細については触れられていませんでした。トレンドマイクロの調査では、いくつかのプログラムデータベース（PDB）文字列などが異なる、複数の亜種が確認されました。 2020年5月時点では、USBferryには異なるコンポーネントから構成される亜種が、少なくとも3バージョン存在します。これらのサンプルの解析により確認された注目すべき点は次のとおりです。

• 一番目のバージョンには、「TROJ_YAHOYAH」の小さなコンポーネントが含まれています。マルウェアは、標的のコンピュータにUSBのプラグインがあるかどうかを確認し、USBferryのインストーラをUSBストレージにコピーします。マルウェアの活動はターゲットの環境によって異なります。いくつかは、コマンドを実行し、狙ったファイルまたはフォルダの一覧を表示させ、物理的に隔離されたコンピュータから他の感染コンピュータにファイルをコピーするなどの活動を実行します。

図2：マルウェア「USBferry」の一番目のバージョン
EXEファイルがUSBferry、DLLファイルが「TROJ_YAHOYAH」

• 二番目のバージョンは一番目のバージョンと同じ機能を備えていますが、各コンポーネントがまとめて1つの実行ファイルに結合されている点が異なります。このバージョンは、マルウェアの場所と名前をUSBferryの略語である「UF」に変更します。

図3：マルウェア「USBferry」の二番目のバージョンは、1つのファイルにまとめられている

• 三番目のバージョンは、前バージョンの機能を保持したまま、「rundll32.exe」のメモリに常駐することにより、ターゲットの環境でのステルス性を向上させています。

図4：メモリに常駐するUSBferryの三番目のバージョン

■USBferryが閉域網に侵入する方法

リサーチペーパー「Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments」では、Tropic Trooperがどのように上記のUSBferryの各バージョンを攻撃に使用する方法を変更したかを解説しています。この攻撃では、USBワーム同様の感染手法、つまりUSBストレージに自身のインストーラをコピーする手法を用い、USB経由で閉域ネットワーク内のコンピュータへの侵入を狙います。

図5： USBferryが使用するUSBワームの感染手法の例

ここでは、バージョンUF1.0 20160226（「TROJ_USBLODR.ZAHB-A」として検出）を使用したTropic Trooperの最新の攻撃チェーンに見られる注目すべき変更について説明します。

図6：USBferryバージョンUF1.0 20160226の攻撃のシナリオ

1. おとりのファイルは、最初にUSBferryのローダであるflash_en.inf DLLファイルをドロップし、暗号化されたUSBferryマルウェアをロードする
2. 暗号化されたUSBferryマルウェアはローダのリソースセクションに埋め込まれている。ローダはそれをC:\Users\Public\Documents\Flashフォルダにドロップし、flash.datという名前を付ける
3. 暗号化されたペイロードが読み込まれた後、ローダはDLLをrundll32.exeに挿入する。USBferryマルウェアは、コマンド＆コントロール（C＆C）の設定ファイルとflash_en.datもロードする。これも、C:\Users\Public\Documents\Flashフォルダ内にある
4. 次に USBferryは、ダウンロードサイトへの接続を試み、Windowsコマンドを使用してターゲットのコンピュータ内の情報を収集およびコピーする

三番目のバージョンは、ネットワーク接続をチェックします。ネットワークが利用できないことが確認されると、ターゲットのコンピュータから情報を収集し、収集したデータをUSBストレージにコピーします。このようにして、USBで情報を引き出し、C＆Cサーバに送り返します。

■Tropic Trooperが使用するバックドアと、その他のツール

Tropic Trooperが使用するバックドア型マルウェア（以下バックドア）には、インジェクションを使用してルーチンを実行するものと、直接実行して継続されるものがあります。グループはまた、ステガノグラフィを使用してバックドアのルーチンを隠蔽し、ダウンロード時にマルウェア検出されることを回避します。解析したバックドアの一覧についてもこちらを参照してください。

ここでは、Tropic Trooperの攻撃で確認された注目すべきバックドアのいくつかを解説します。

• 「WelCome To Svchost 3.2 20110818」（「BKDR_SVCSHELL.ZAHC-A」として検出）：
  このバックドアには、以前の調査で解説したペイロードとの類似点があります。マルウェアのバージョン番号から、このバックドアの最初のバージョンは2011年以前に開発されていることがわかります。これは、Tropic Trooperの活動が少なくとも10年間続いていることを意味しています。

図7：バックドアのバージョン名、登録されているサービス名、マルウェアコンポーネントのファイル名

• 「Welcome To IDShell 1.0 20150310」（「BKDR_IDSHELL.ZTFC-A」として検出）：
  ステガノグラフィのjpgバージョンを含む2通りのタイプがあるこのバックドアの目的は、ターゲットのコンピュータの偵察です。 他のバージョンと同様に、DNSプロトコルを使用してバックドアのコントローラ側と通信します。 トラフィックは、検出を回避するために暗号化されます。

図8：バックドアの通信トラフィック

• 「Hey! Welcome Server 2.0」（「BKDR_TEBSHELL.ZTGK」として検出）：
  このバックドアは32ビットのバージョンと64ビッのトバージョンがある最新版であり、リモートコントロールとネットワークの検出回避のため、非表示のWebシェルを使用します。プロセスをサービスとして実行し、通常のトラフィックではバックドア通信を隠蔽し、カスタマイズされたTCPプロトコルを使用します。また、誤って入力されたコマンドや不正アクセスの処理方法についても改善されています。

図9：自身をWindowsサービスとしてインストールすると同時にエラー表示を無効にする設定の例

攻撃には他にも次のようなツールが使用されていました。

• コマンドラインによるリモートコントロールリスナー／ポートリレーツール。バックドアと通信できるさまざまなバージョン有り
• ペイロードであるバックドア／ステガノグラフィを実行するローダ。2つのバージョンを使用して、暗号化されたペイロードを正常にロードし、その後、自身とペイロードを削除する
• インターネットで入手できる、ポートスキャンツール

以上の調査から、攻撃者は狙った情報を入手するために執拗な攻撃をかけてくることがわかります。ステガノグラフィは、暗号化されたペイロードを配信するためだけに使用されるのではなく、C＆Cサーバに情報を転送するためにも使用されます。複数のハッキングツールやコンポーネントも、さまざまなネットワーク、環境への攻撃を成功させるために利用されています。また、Tropic Trooperは、非表示のWebシェルを使用してC＆Cサーバの場所を隠蔽し、インシデントレスポンスや事後調査を難航させます。

Tropic Trooperの最近の動向は、彼らが機密情報を窃取するために政府および軍事機関を狙う用意ができていることを示しています。彼らはまた、十分な時間をかけて偵察活動を実行したのちに、物理的に隔離されたネットワークへの潜入を試みるため、閉域ネットワークだから万全、とは言い切れません。調査結果からは、攻撃者が侵入口となり得る脆弱なターゲットを、重要なターゲットへと拡張するための足掛かりとして利用していることがうかがえます。

■被害に遭わないためには

攻撃の戦術と技術を理解することによって、どのような影響が及ぶ可能性があるかを評価し、防御戦略を練るために必要な情報を提供することができます。実用的なスレットインテリジェンス、ネットワーク全体の可視性、時宜にかなった保護を採用したセキュリティソリューションによって、高度な持続的脅威を阻止するために組織が実践できる、いくつかの対策を次に示します。

• 最小特権の原則を適用する。ネットワークのセグメント化とデータのカテゴリー化を実施して、組織内部での感染拡大と露出を抑制する
• システムとアプリケーションを最新のバージョンにしておく。ネットワークの弱点は攻撃の侵入口になり得る。強力なパッチ管理ポリシーを適用し、古くなったレガシーシステムには、仮想パッチを検討する
• 定期的に周囲の監視を実行する。ゲートウェイ、エンドポイント、ネットワーク、サーバ全体のクロスレイヤーでの検出、対応を実行し、広範囲に及ぶ脅威から保護する。ファイアウォールと侵入防御システムは、ネットワークからの攻撃の防御に役立つ

■トレンドマイクロの対策

法人向けのエンドポイントセキュリティである「Trend Micro Apex One」では、ひとつのエージェントにエンドポイントに必要なセキュリティを集約。ファイルレスなど、巧妙化し続ける脅威に対して高度な検出と自動対処を提供します。また、EDRを用いたインシデントの調査・分析から対処までをシームレスに実現することも可能です。

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery Inspector」は、すべてのポートと105種類を超えるネットワークプロトコルを監視し、ネットワークで内方向、外方向、横方向に移動する高度な脅威と標的型攻撃を検出および分析することができます。

このキャンペーンの調査によって確認されたすべてのマルウェア、手法、ツール、MITRE ATT&CK、Indicators of Compromise（侵入の痕跡、IoC）の詳細については、リサーチペーパー「Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments（英語情報）」をダウンロードしてください。

参考記事：

• 「Tropic Trooper’s Back: USBferry Attack Targets Air-gapped Environments」
  By Joey Chen (Threats Analyst)

翻訳：室賀　美和（Core Technology Marketing, Trend Micro Research）

ランサムウェアを使用するサイバー犯罪者が、その手口を変化させています。データを暗号化して復号キーと引き換えに身代金を要求するだけではなく、情報の窃取と暴露も伴うようになりました。重要なファイルにアクセスできなくなっても身代金を払わない企業に対し、社内情報を一般に公開するという脅し文句が加わりました。ランサムウェア「Nefilim」、「Sodinokibi/REvil」、「DoppelPaymer」、「Maze」などの背後にいるサイバー犯罪者が、この「暗号化」と「暴露」の二重の脅迫手法を採用しました。一部のサイバー犯罪者は、ランサムウェア攻撃の情報窃取と脅迫のプロセスを容易にする目的で、ツールとインフラストラクチャを共有する協力関係を結んでいると考えられています。

Nefilimは2020年3月に存在が発見されたランサムウェアであり、2019年8月前後に登場したランサムウェア「Nemty」との関係が指摘されています。トレンドマイクロでは、2020年4月にNefilimの挙動に関する調査を公開しています。以来、トレンドマイクロの「Trend Micro XDR」およびインシデントレスポンス（IR）チームが行なった、いくつかの企業で最近確認された事例の調査を通して、弊社ではこのランサムウェアの活動に関する詳細情報を収集してきました。これらの調査の結果、Nefilimが「Mimikatz」、「AdFind」、「Cobalt Strike」、「MegaSync」などのツールを利用したという情報が追加され、ランサムウェアが展開される数週間から数か月前に行われる活動の概要についても判明してきました。

■ランサムウェア「Nefilim」の最新の解析

以下は、Nefilim による典型的な攻撃の流れを表しています。

注目すべきは、サイバー犯罪者が最初にコンピュータ内へ侵入してから、実際にランサムウェアを展開するまで数週間にわたって潜伏していたことです。つまり、対象のコンピュータは、データ暗号化などの明らかな兆候を見せる前に、長期間にわたって侵害されていたことになります。

サイバー犯罪者は侵入時に、以前の記事で指摘したようなCitrixの脆弱性、または他のランサムウェアで見られているリモートデスクトップゲートウェイ（RDP）の脆弱性を使用しているものと考えられます。その後、攻撃者はローカルエクスプロイトを使用して特権を昇格させました。

そして、攻撃的セキュリティツール「Mimikatz」を利用して認証情報を収集すると、Active Directory内を探索するためにフリーツール「AdFind」を使用しました。トレンドマイクロが以前推測したように、攻撃者はまた、多機能ペネトレーション・テスト・ツール「Cobalt Strike」を展開し、ポートスキャナを使用して、オープンポートとネットワーク上の利用可能なサービスをスキャンしました。

その後、サイバー犯罪者はバッチ（.bat）ファイルと収集された認証情報を利用して、ネットワーク全体に感染を拡大させました。そして、ネットワーク共有に関するデータを確認すると、対象のデータを収集します。

そして、攻撃者はサーバや共有ディレクトリからローカルディレクトリにデータをコピーし、外部に持ち出すために一般の圧縮ツールである7zipを利用して圧縮します。

その後、攻撃者はクラウドドライブ間と対象のコンピュータを同期するアプリケーションである「MEGAsync」を使って収集したデータを外部に送出、窃取します。

データ窃取後、WMI（Windows Management Instrumentation）またはPsexec.exeを使用してランサムウェアを実行するための.batファイルをc$\windows\temp\内にコピーし遠隔から実行します。

その後、ランサムウェアが展開され、ファイルが暗号化されます。当初、暗号化されたファイルの拡張子は”.nefilim”に変更されていましたが、新しい事例では”.nephilim”または”.Off-White”に変化している場合も確認されています。

上述のNefilimの攻撃手法は、ランサムウェア「Ryuk」の攻撃でも類似の手法が確認されています。 特に、CopyコマンドとWMIを使用したバッチファイルは、Ryukに関連する以前の事例でも同様の活動が確認されています。

■Nefilim攻撃で使用されるバッチファイルの詳細

トレンドマイクロが以前実施したNefilimの調査で見られた複数の挙動は、弊社が確認した新しい事例でも依然として該当します。たとえば、企業が所有するCitrixサーバから不正ファイル（「Trojan.Win64.NEFILIM.A」として検出）をダウンロードしようとする動きが見られました。このファイルは、VPSがホストするサーバからのRARアーカイブのダウンローダとして機能します。

数時間後、複数の脅威を含むRARアーカイブがダウンロードされました。ここでダウンロードされたファイルの詳細は以下の通りです。

• 最初の事例で確認されたランサムウェアファイル
• その他の攻撃では、すでに攻撃者がネットワークに侵入して数週間が経過した後でランサムウェアファイルが送信されていた
• 遠隔からコマンドを実行するPsexec.exe
• 関連する複数のバッチファイル

トレンドマイクロでは、バッチファイルが行う動作をわかりやすく示すため、最近の事例から収集したコードスニペットも調査しました。

• サービスの停止またはプロセスを終了してランサムウェアを実行するバッチファイル

• 「copy」コマンドを使用してランサムウェアファイルをc:\Windows\Temp上の複数のホストに拡散するバッチファイル

• WMIを利用してサービスを停止またはプロセスを終了し、ランサムウェアを実行するバッチファイルをc:\Windows\Temp上の複数のホストに実行するバッチファイル。 このファイルには、ハードコードされた管理者認証情報が含まれる

• WMIを使用してランサムウェアファイルをc:\Windows\Temp上の複数のホストに拡散するバッチファイル。このファイルには、ハードコードされた管理者認証情報が含まれる

• psexec.exeを実行して遠隔からバッチファイルを実行し、サービスを停止またはプロセスを終了するバッチファイル。このファイルには、ハードコードされた管理者認証情報が含まれる

• psexec.exeを実行してランサムウェアファイルを遠隔から実行するバッチファイル。 このファイルには、ハードコードされた管理者認証情報が含まれる

• WMIを使用して遠隔からバッチファイルを実行し、サービスを停止またはプロセスを終了するバッチファイル。このファイルには、ハードコードされた管理者認証情報が含まれる

• WMIを利用してランサムウェアを遠隔から実行するバッチファイル。このファイルには、ハードコードされた管理者認証情報が含まれる

■被害に遭わないためには

攻撃者は単純にランサムウェアのみをばらまいて感染させる攻撃を行っているわけではないと言えます。トレンドマイクロが以前解析したいくつかの事例から分かるように、攻撃者はネットワーク内への侵入後、内部活動を行い、最終的にランサムウェアを展開し感染させます。このことは、ランサムウェア感染だけでなくデータ窃取も攻撃の目的である可能性を示唆しています。これは、ランサムウェアの感染前に、情報漏えい被害がすでに発生していることからも言えます。

このことから、脅威自体を検出してブロックするだけでなく、環境内における横方向移動やデータ窃取など、脅威に関連すると見られる不正な動作を監視することが非常に重要視されます。これには、環境内の潜在的な不正な動作（ホストからホスト）または異常な外部への通信パターン（ホストから外部）の捕捉を含みます。

現在、ほとんどの企業は、オフィスのセキュリティから離れ、テレワークに順応しようとしています。多くの企業で従業員が個人のデバイスおよび接続を使用しているため、十分なセキュリティで保護されていない可能性があり、相互接続されたリモートシステムのセキュリティ強化が必要不可欠とされます。

■トレンドマイクロの対策

「Trend Micro XDR」のセキュリティサービスは、Managed XDRチームによる24時間年中無休の監視と専門家による分析を提供することで、セキュリティを強化します。これには、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークが含まれます。チームは高度な分析と人工知能（AI）技術を使用して、アラートを相関させ、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを理解し、これらの脅威に対処するための手段を定めることが可能です。

トレンドマイクロは、この攻撃に関連する以下の検出名を持つ痕跡をブロックします。

• Backdoor.Win32.COBEACON.OSH
• HackTool.Win32.SMBTool.AB
• HackTool.Win64.CVE20170213.A
• Trojan.BAT.KILLAV.BH
• Trojan.BAT.STARTER.TIAOOAAZ
• Troj.Win32.TRX.XXPE50FFF035

※調査協力：Joelson  Soares

参考記事：

• 「Updated Analysis on Nefilim Ransomware’s Behavior」
  By Trend Micro

翻訳：下舘　紗耶加（Core Technology Marketing, Trend Micro Research）

トレンドマイクロは、サイバー攻撃グループ「Earth Empusa（別名POISON CARPあるいはEvil Eye）」の追跡調査中、新しいAndroid端末向け不正アプリ（スパイウェア）「ActionSpy」（「AndroidOS_ActionSpy.HRX」として検出）を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。

Earth Empusaは、2016年から継続している、iOSの脆弱性を狙う一連のモバイル端末を狙う攻撃に関連していると見られています。そして2020年4月、トレンドマイクロは、チベットで人気のあるAndroidビデオアプリのダウンロードページを偽装したフィッシングページを発見しました。サードパーティのWebストアからコピーされたものと思われるフィッシングページは、ページに挿入された不正なスクリプトの1つがグループに属するドメインでホストされていたことから、Earth Empusaによって作成された可能性があります。ページからダウンロードしたAndroidアプリを確認したところ、スパイウェアであるActionSpyが見つかりました。

2017年頃から存在する可能性のあるActionSpyは、感染したAndroid端末から攻撃者が情報を収集できるようにする情報窃取型不正アプリです。また、Android 端末の「ユーザ補助機能」を悪用して4種類のインスタントメッセージングアプリからチャットログを収集することにより、インスタントメッセージを傍受するように設計されたモジュールも備えています。

■ActionSpyを配信するフィッシング攻撃

Earth Empusaのフィッシング攻撃は、モバイル端末ユーザをおびきよせるためにニュースサイトを利用していた「Operation Poisoned News」の手法と類似しています。Earth Empusaもまた、標的となるユーザをフィッシングページにアクセスさせるため、ソーシャルエンジニアリングの手法を利用します。2020年3月には、ウイグル関連のニュースサイトからコピーされたものと見られる複数のニュースサイトが、Earth Empusaのサーバでホストされているのを確認しました。そのようなニュースサイトのページには全て、クロスサイトスクリプティング（XSS）の攻撃を実行するフレームワーク「BeEF」（Browser Exploitation Framework。ブラウザに焦点を当てたペネトレーションテストツール）をロードするためのスクリプトが挿入されていました。標的ユーザがニュースサイトを閲覧しているのを発見すると、攻撃者はBeEFを利用して不正なスクリプトを配信すると考えられます。ただし、トレンドマイクロがこのフィッシングページにアクセスした時には、スクリプトは確認されませんでした。ニュースサイトのページが実際にどのようにユーザへ配布されたかも確認されていません。

継続された調査から、2020年4月下旬に別のフィッシングページが見つかりました。このページはサードパーティのWebストアからコピーされたもので、フレームワーク「BeEF」と、情報収集ツール「ScanBox」をロードする、2つのスクリプトが挿入されていました。このフィッシングページは、チベットのAndroidユーザに人気のビデオアプリをダウンロードするようユーザを促します。トレンドマイクロは、Earth Empusaに属するドメインでBeEFフレームワークが実行されていたことから、フィッシングページはグループによって作成されたものと考えています。ダウンロードリンクは、Androidアプリが含まれているアーカイブファイルに変更されていました。解析の結果、このアプリはまだ報告されていないAndroidマルウェアであることが判明し、ActionSpyと命名しました。

■「ActionSpy」の詳細

この不正アプリは、Ekranと呼ばれる正規のウイグル語ビデオアプリを偽装します。不正アプリの外観と機能は元のアプリと変わりありません。これは、VirtualAppによって実現することができます。さらに、静的解析と検出を回避するために、アプリケーションセキュリティ「Bangcle」によって保護されています。

正規のアプリEkran のAPKファイルがActionSpyのアセットディレクトリに埋め込まれており、ActionSpyが最初に起動されたとき、VirtualAppの準備ができると仮想環境にインストールされます。

C＆CサーバアドレスなどのActionSpyの設定は、DESによって暗号化されます。復号鍵はネイティブコードで生成されます。これにより、ActionSpyの静的解析が困難になります。

ActionSpyは30秒ごとにIMEI、電話番号、製造元、バッテリー残量などの基本的な端末情報を収集し、ハートビートリクエストとしてC＆Cサーバに送信します。サーバは、感染端末で実行するためのいくつかのコマンドを返す場合があります。 C＆CとActionSpyの間のすべての通信トラフィックはRSAによって暗号化され、HTTP経由で転送されます。

ActionSpyは次のモジュールを利用します。

■Androidユーザ補助機能の悪用

通常、サードパーティのアプリは、Android上の他のアプリに属する​​ファイルにアクセスできません。このため、ActionSpyがWeChatなどのメッセージングアプリからチャットログファイルをroot権限なしで直接窃取することが難しくなっています。そのためActionSpyは、間接的なアプローチを採用しています。メモリをクリーニングするサービスであると主張してユーザを欺き、「ユーザ補助」設定をオンにするように促します。

「ユーザ補助」が有効になると、ActionSpyは端末のユーザ補助イベント（AccessibilityEvent）を監視します。これは、ユーザーインターフェイスでボタンのクリック、テキストの入力、ビューの変更などのイベントが発生した場合に実行されます。AccessibilityEventを受信すると、ActionSpyはイベントタイプがVIEW_SCROLLEDまたはWINDOW_CONTENT_CHANGEDかどうかを確認し、イベントがWeChat、QQ、WhatsApp、Viberなどの対象アプリからのものかどうかを確認します。条件がすべて合致した場合、ActionSpyは現在のアクティビティの内容を解析し、ニックネーム、チャットの内容、チャットの時間などの情報を抽出します。すべてのチャット情報はフォーマットされ、ローカルのSQLiteデータベースに保存されます。 「wxrecord」コマンドがプッシュされると、ActionSpyはデータベース内のチャットログを収集しJSON形式に変換してC＆Cサーバに送信します。

証明書の署名時刻が「2017-07-10」であることから、ActionSpyは少なくとも過去3年間にわたり存在していることがわかります。また、2017年に作成された、古いActionSpyバージョンをいくつか入手することができました。

■ iOS端末を感染させるEarth Empusaの水飲み場攻撃

Earth Empusaは、iOS端末ユーザを標的とする水飲み場攻撃も実行しています。グループは、標的とするユーザがアクセスする可能性のあるWebサイトに、不正なスクリプトを挿入していました。以下の2種類の不正なスクリプトが挿入された、侵害されたWebサイトが確認されています。

• 上述の情報収集ツールのフレームワーク、「ScanBox」が挿入されたWebサイト。ScanBoxは、JavaScriptを使用してキー入力を記録し、ユーザの端末からOS、ブラウザ、およびブラウザプラグインのプロファイルを収集することによってWebサイトの訪問者の情報を収集できる。ScanBoxは通常、標的ユーザについて調査する偵察段階で使用され、攻撃の次の段階に備える
• iOSの脆弱性を攻撃するエクスプロイトチェーンのフレームワークが挿入されたWebサイト。ユーザがフレームワークにアクセスすると、HTTPリクエストのUser-Agentヘッダをチェックして、ユーザの端末のiOSバージョンを判別し、対応するエクスプロイトコードで応答する。ユーザエージェントがユーザ端末のiOSバージョンのいずれにも属していない場合、エクスプロイトコードは配信されない

2020年の第1四半期には、iOSの新しいバージョンに対応できるようにエクスプロイトチェーンのフレームワークが更新され、iOSバージョン12.3、12.3.1、12.3.2が攻撃対象に加わりました。脆弱性攻撃の更新についての詳細は、他のリサーチャからも報告されています。

2020年の初めから、ウイグル関連の複数のサイトにおいて上述のようなインジェクションを確認しています。さらに、同様の攻撃で侵害されスクリプトを挿入されたトルコのニュースサイトと政党のWebサイトも特定され、最近では、2020年3月に大学のWebサイトと台湾を拠点とする旅行代理店のWebサイトで同様のインジェクションが確認されています。これらのことから、トレンドマイクロでは、Earth Empusaが標的範囲を拡大していると考えています。

Earth Empusaは依然として非常に活発です。トレンドマイクロは、Earth Empusaが攻撃対象を拡大し、新しい攻撃方法を開発し続ける限り、追跡および監視してまいります。

■トレンドマイクロの対策

iOSユーザは、端末を最新の状態にアップデートしてください。また、Androidユーザは不正アプリの被害に遭わないようにするため、Google Playなどの信頼できるソースからのみアプリをインストールしてください。

トレンドマイクロクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の機能である「Mobile App Reputation Service（MAR）」では、主要なサンドボックスおよび機械学習技術を使用してAndroidおよびiOSの脅威に対応し、マルウェア、ゼロデイおよび既知の脆弱性攻撃、プライバシーの流出、およびアプリケーションに潜む脆弱性からユーザを保護します。個人向けiOSおよびAndroid端末向け製品「ウイルスバスターモバイル」および法人向け「Trend MicroMobile Security」ではMARSを利用した対策機能を実装しています。同時にデバイス所有者のデータおよびプライバシーを保護する多層セキュリティ機能と、ランサムウェア、不正なWebサイト、IDの窃取からデバイスを保護する機能も利用可能です。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡および技術的詳細は、こちら（英語）を参照してください。

参考記事：

• 「New Android Spyware ActionSpy Revealed via Phishing Attacks from Earth Empusa」
  By By Ecular Xu and Joseph C. Chen

翻訳：室賀　美和（Core Technology Marketing, Trend Micro Research）

米国の3つの州に存在する8都市が、サイバー犯罪者グループ「Magecart」によるEスキミング攻撃の標的となりました。これらの攻撃において、同グループは侵害したWebサイトで彼らの使用する不正スクリプト「スキマー」をホストし、標的とする地方自治体居住者のクレジットカード情報を窃取していました。

侵害されたWebサイトはいずれも、地方自治体向けWeb決済プラットフォームである「Click2Gov」で構築されたものでした。Click2Govはコミュニティへの参画や問題の報告、各種公共料金の支払いなどのサービスを提供するプラットフォームです。このような公共向け決済サイトからの情報漏えい事例は、これが初めてではありません。2018年と2019年にもClick2Govを使用するいくつかの町や都市のWebサイトが侵害されています。

トレンドマイクロは、Magecartの攻撃でよく見られるJavaScriptで作成されたスキマーを検出することで、8都市のWebサイトが侵害されたことを特定しました。漏えいした情報には次のものが含まれます。

• クレジットカード情報（カード番号、有効期限、CVV番号）
• 個人情報（名前と連絡先）

スキマーと、使用されているインフラストラクチャについて解析したところ、今回の漏えいと2018年および2019年の事例との間の関連性は確認されませんでした。とはいえ、8都市中5都市は以前の漏えい事例でも影響を受けていた都市です。トレンドマイクロは、今回の攻撃は今年2020年4月10日に始まり、現在も継続していると考えています。

■Eスキミング攻撃を解析

攻撃は、侵害されたClick2Gov のWebサイトでオンライン決済をする際に発生します。JavaScriptコードが決済ページにインジェクトされ、利用者が支払いページを閲覧するタイミングでクレジットカードスキマーが読み込まれます。

さまざまな種類の決済フォーム上のデータを取得する他のスキマーとは異なり、ここで使用されるスキマーは比較的単純で、Click2Govの支払いフォームでのみ機能します。難読化やアンチデバッグの手法は使用されていませんでした。スキマーは、支払いフォームのsubmitイベントをフックします。利用者がボタンをクリックして支払い情報を送信すると、スキマーは支払いフォーム内の選択された記入欄から情報を取得し、収集した情報をHTTP POSTリクエストを介して遠隔のサーバに直ちに送信します。

表1：抽出される情報の詳細

トレンドマイクロは、攻撃に使用された抽出サーバ2つを特定することに成功しました。どちらも、実際のJavaScriptスキマーと、収集データを受信するために使用される.JSPのファイルをホストしていました。サーバの1つは3つのサイトで使用され、もう1つのサーバは残りの5つのサイトで使用されていました。抽出サーバのホスト名が異なる以外は、使用される2つのスキマーは同一のものです。

■攻撃の背景と帰属

Click2Govは、これまでにも度重なる侵害や攻撃に見舞われてきました。プラットフォーム開発者の「CentralSquare Technologies」は、さまざまなローカルでホストされているWebサイトのセキュリティ問題に関する声明を2018年に発表しました。その年の終わりには他のリサーチャが、Click2Govサイトから約30万件の記録が流出したことを報告しました。

2018年の別のレポートでも、Click2Govで構築されたWebサイトが攻撃者の標的となり、クレジットカード情報が窃取された類似ケースについて報告されています。2019年には別の漏えいが発見され、8都市のデータが地下市場で販売されていることが明らかになりました。

今回報告する攻撃と、以前の漏えい事例との関係については、調査結果が関連性を示していないため、現時点で明らかになっていません。唯一の関連は、今回の漏えいで影響を受けた都市のうち５つが2018年にも攻撃を受けており、 ２つが2019年にも攻撃を受けている点です。

■被害に遭わないためには

Web上でのクレジットカードのスキミング、つまりEスキミング攻撃は、依然として電子商取引業者にとって大きな脅威です。被害を受けるのは、典型的な電子商取引（EC）サイトの利用者に限定されません。2019年には、学術機関やホテルチェーンが同様の攻撃の標的にされたことも確認しました。今回、攻撃者はさまざまな地方自治体のWebサイトを標的にしました。このことは、オンライン決済サイトの運営組織とその顧客の両方を保護するため、ポータルサイトのセキュリティ保護がいかに重要であるかを強調しています。

■トレンドマイクロの対策

次のトレンドマイクロのソリューションは、悪意のあるスクリプトをブロックし、不正なドメインへのアクセスを抑止することにより、ユーザおよびビジネスを保護します。

• 個人のお客様向けの製品ラインナップ
• 法人向けエンドポイント製品「ウイルスバスター コーポレートエディション XG」
• 中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティ」
• 高度な脅威と標的型サイバー攻撃を検出、分析して防御する「Network Defence」
• 物理・仮想・クラウドの混在環境にシンプルなセキュリティを提供する「Hybrid Cloud Security」

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡はこちらを参照してください。

参考記事：

• 「US Local Government Services Targeted by New Magecart Credit Card Skimming Attack」
  by Joseph C Chen (Fraud Researcher)

翻訳：室賀　美和（Core Technology Marketing, Trend Micro Research）

本記事では、最近確認されたサイバーセキュリティのニュースやイベントについて、お客様が知っておくべきことを紹介します。このまとめでは、露出したDockerサーバを狙う既存のLinuxボットネットマルウェアの2つの亜種に関するニュースを始めとして、さまざまな業界の何百万ものモノのインターネット（internet of things、IoT）機器に深刻な影響を与える可能性のある「Ripple20」という脆弱性群についても言及します。

XORDDoS, Kaiji Botnet Malware Variants Target Exposed Docker Servers（露出したDockerサーバを狙うボットネット「XORDDoS」および「Kaiji」の亜種）

トレンドマイクロは最近、露出したDockerサーバを狙う2つの既存のLinuxボットネットマルウェアタイプの亜種「XORDDoS」と「Kaiji DDoS」を検出しました。攻撃の標的としてDockerサーバを利用したのは、XORDDoSとKaijiの両方において新しく見られた動きです。XORDDoSは、クラウドシステム上のLinuxホストを攻撃の対象とすることで知られていました。一方、最近確認されたKaijiは、IoT機器に影響を与えることが最初の調査で判明しました。

FBI Warns K-12 Schools of Ransomware Attacks via RDP（RDPを介した義務教育学校に対するランサムウェア攻撃について、FBIが警告）

２０２０年６月２５日公開の記事によれば、米連邦捜査局（FBI）は、新型コロナウイルスの感染拡大に伴うランサムウェア攻撃の増加、特に学校内のコンピュータに侵入するためにRDP接続を悪用する攻撃者について、義務教育学校にセキュリティに関する警告を送信しました。

Frost & Sullivan Employee, Customer Data for Sale on Dark Web（Frost＆Sullivan社の従業員および顧客のデータをダークウェブ上で販売）

あるサイバー犯罪集団が、１万2000人を超えるFrost＆Sullivan社の従業員と顧客に関する記録をハッカーフォーラムに売り込んでいることが判明しました。Cyble社の最高経営責任者Beenu Arora氏によれば、この情報漏えいは、Frost＆Sullivanの公開サーバのひとつにおけるバックアップディレクトリの誤設定が原因で起こったと見られています。KelvinSecurityチームによれば、Frost＆Sullivan社は露出したデータベースに対するサイバー犯罪集団の警告に応じませんでした。その後、この集団は「警鐘」を鳴らすため、名前、電子メールアドレス、会社の連絡先、ログイン名、ハッシュ化されたパスワードを含む情報をハッキングフォーラムに売り込んだと見られています。

何百万個ものIoT機器に影響を及ぼす脆弱性群「Ripple20」を確認

イスラエルのサイバーセキュリティ企業JSOFは、脆弱性群「Ripple20」に関する情報を公開しました。これらの脆弱性は、さまざまな業界における何百万ものIoT機器に深刻な影響を与えると見られています。医療、石油およびガス、輸送、電力、そして製造業界における重要な機器は、これらの脆弱性の影響を受ける可能性があります。

Nvidia Warns Windows Gamers of Serious Graphics Driver Bugs（Nvidia社がWindowsゲーマーに深刻なグラフィックスドライバの脆弱性を警告）

グラフィックスチップメーカーNvidia社は、グラフィックスドライバの深刻度の高い2つの欠陥を修正しました。攻撃者は、この脆弱性を悪用して、機密データの閲覧、昇格した特権の取得、そして影響を受けるWindowsゲーム機上でサービス拒否（Denial of Service 、DoS）攻撃を実行することが可能です。

The Fear of Vendor Lock-in Leads to Cloud Failures（クラウドの障害につながるベンダーロックイン）

ベンダーロックインは、1990年代半ば以降よく引き合いに出されてきた運用上の懸念です。企業が将来的に選択肢を絞っていくとともに、ひとつのベンダに多額の投資を行うことで起こります。このため、企業はテクノロジーベンダと微妙な関係を続けています。 理想的には、現在のニーズを満たすだけでなく、将来を見据えたビジョンに沿ったテクノロジーを選択することが大切です。

How Do I Select a Mobile Security Solution for My Business?（企業向けのモバイルセキュリティ対策の選択方法）

ビジネスにおける目標を達成するため、モバイル機器のセキュリティに妥協しないよう決めている企業の割合は高いことがわかっています。それにもかかわらず、モバイル関連の侵害による影響を被っているとされる企業の割合は増加しています。懸念点として、企業の最高幹部は、サイバー攻撃の標的になっているにも関わらず、企業内で安全性に不安のあるモバイルセキュリティプロトコルを要求する可能性が最も高い集団であるとみなされています。

Knowing Your Shared Security Responsibility in Microsoft Azure and Avoiding Misconfigurations（「Microsoft Azure」 におけるセキュリティ上の共有責任を認識し、誤設定を回避する）

トレンドマイクロは、新製品「Trend Micro Cloud One」を発表いたしました。本製品に搭載される機能「Conformity」は、Azureのリソースの保護を強化します。この紹介記事の中でConformityの創設者の1人であるMike Rahmati氏は、これらの新機能がAzureにおける誤設定の防止または簡単に修正を行うのにどう役立つのかを解説しています。

Cyberattacks from the Frontlines: Incident Response Playbook for Beginners（最前線からのサイバー攻撃：初心者向けインシデント対応の定石集）

企業にとって、絶え間なく変化する市場で競争力を維持するには、最新の技術動向に敏感である必要があります。ただし、セキュリティインフラストラクチャと強固なレスポンスを並行して開発しなければ、新しい技術は損失をもたらすサイバー脅威の攻撃経路として利用されてしまう可能性があります。企業はこのような侵害の発生の防止を目指す必要がありますが、侵害のライフサイクルを削減するためのプロトコルを用意することは、現在の脅威に対処するために不可欠で現実的なアプローチとなっています。

OneClass Unsecured S3 Bucket Exposes PII on More than One Million Students, Instructors（「OneClass」の安全性が低いS3バケット、100万人以上の学生および講師の個人情報を公開）

不用意な設定により、リモート学習プラットフォーム「OneClass」に属するデータベースに登録された北米の100万人以上の学生に関する情報が公開状態となっていました。公開されているデータには、学習ガイドや教育支援にアクセスするためにプラットフォームを利用する学生の、氏名、メールアドレス（一部はマスクされている）、在籍している学校と大学、電話番号、学校と大学の履修登録の詳細、「OneClass」アカウントの詳細が含まれています。

Guidelines Related to Security in Smart Factories (Part 1) Concepts and Management Systems of IEC62443（IEC 62443のスマートファクトリ（第一部）概念と管理システムのセキュリティに関するガイドライン）

過去10年間、各国や各業界は、OT（Operational Technology，制御技術）セキュリティのガイドラインとフレームワークの積極的な開発に取り組んできました。近年、複数のガイドラインが統合されており、スマートファクトリのセキュリティの観点から、国際標準としてIEC62443とNIST CSF、そしてSP800シリーズの2つの規格が存在します。このシリーズでは、トレンドマイクロが、スマートファクトリのセキュリティに必要な概念を理解するために、IEC62443およびNIST CSFの概要を説明しています。

 8 Cloud Myths Debunked（8つのクラウドに関する通説の誤認識を覆す）

多くの企業は、クラウド環境、プロバイダ、およびそのセキュリティ保護の方法について異なった認識を持っているようです。クラウド環境に関して事実と架空の話を区別するため、トレンドマイクロは８つの通説に関する誤認識を覆し、クラウド上で確実に次のステップを実行できるようにします。

参考記事：

• 「This Week in Security News: XORDDoS and Kaiji Botnet Malware Variants Target Exposed Docker Servers and Ripple20 Vulnerabilities Could Impact Millions of IoT Devices」
  by  Jon Clay (Global Threat Communications)

翻訳：下舘　紗耶加（Core Technology Marketing, Trend Micro Research）

Google Chromeの拡張機能が、ユーザのアクティビティ履歴の追跡と個人情報の窃取を目的とした不正活動で使用されていたことが、セキュリティ企業「Awake」によって報告されました。この不正活動のコマンドアンドコントロール（C＆C）のインフラとして、正規レジストラで取得したドメインを使用している不正なChrome拡張機能111個が3カ月間で確認されました。2020年５月初旬の調査時点で、これらの不正な拡張機能は約3,300万件ダウンロードされていました。トレンドマイクロでも同様の手法を使う攻撃のレポートを2020年5月に報告しておりましたが、不正なブラウザの拡張機能の利用と攻撃のためのインフラについて共通点がありましたので紹介します。

今回確認された不正活動のキャンペーンでは、マルウェアや偵察ツールをホストするために、イスラエルのドメイン登録事業者（レジストラ）「CommuniGal Communication Ltd（Galcomm）」で登録された約15,160のドメインが使用されていました。これは、同じGalcommで登録された到達可能ドメインの総数26,079の、ほぼ60％に相当します。とはいえ、GalcommのオーナーであるMoshe Fogel氏はロイター通信社とのやり取りの中で、Galcommは不正な活動に一切関与しておらず、逆に法執行機関やセキュリティ企業と協力して不正活動の抑止に努めている、と主張しています。

確認された不正活動は、サンドボックス、エンドポイントセキュリティソリューション、ドメインレピュテーションエンジンなどによる検出を回避することに成功していました。影響を受けた業界は、金融、石油およびガス、メディア、ヘルスケア、小売、テクノロジー、教育と政府機関が含まれます。

■過去の調査との繋がりが明らかに

トレンドマイクロでは今年2020年5月に、悪質なモジュール型アドウェア「DealPly」、「IsErik」、「ManageX」に関する調査結果を報告しました。その中で活動には不正なChrome拡張機能が密接に関わっていることに触れています。また、Firefoxユーザを標的とした不正な拡張機能も確認されており、それらの一部はリモートサーバからコードをロードできることと、攻撃に関連している可能性があるGalcommで登録されたドメインについても言及し、根本原因分析（RCA）を提出していました。　

Awakeは、攻撃キャンペーンで使用されていたAppIDの詳細なリストを公開しています。以下は、以前の解析で確認された他の2つのAppIDです。

• bgbeocleofdgkldamjapfgcglnmhmjgb
• ncjbeingokdeimlmolagjaddccfdlkbd

問題の不正な拡張機能は、ユーザの同意なしに、スクリーンショットをキャプチャし、クリップボードを読み取り、ユーザのキー入力操作情報を収集し、認証トークンを取得する可能性があります。この攻撃に関連付けられているマルウェア「MANAGEX」亜種の、類似した不正活動について「Trojan.JS.MANAGEX.A」のウイルス情報で確認できますが、以下に挙げるようなChrome APIへのアクセス権限を許可することが確認されています。（詳細については、ウイルス情報を参照してください）

• browsingData
• cookies
• desktopCapture
• geolocation
• history
• management

過去に検出されているアドウェア「Dealply」の亜種である、「ADW_DEALPLY」および「Adware.JS.DEALPLY.SMMR」も、この攻撃キャンペーンに関連付いています。

■被害に遭わないためには

不正な拡張機能は、さらに強力な脅威へと変化し続けています。従来のセキュリティメカニズムを迂回したり、リモートサーバからコードを読み込んだりするなど、よりステルスな手法が時間の経過とともに開発されてきています。組織は検出に焦点を当てるだけでなく、長期的にこれらの脅威の戦術、手法、手順を常に監視し、脅威の挙動をよく理解し、侵入を防御する必要があります。

 ■トレンドマイクロの対策

「Trend Micro XDR」のセキュリティサービスは、Managed XDRチームによる24時間年中無休の監視と専門家による分析を提供することで、セキュリティを強化します。これには、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークが含まれます。チームは高度な分析と人工知能（AI）技術を使用して、アラートを相関させ、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを理解し、これらの脅威に対処するための手段を定めることが可能です

参考記事：

• 「Malicious Chrome Extensions, Domains Used to Steal User Data」
  By Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロでは最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバを狙う活動を確認しました。確認されたマルウェアは分散型サービス妨害（DDoS 、Distributed Denial of Service）の実行を目的とした「XORDDoS」（トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出）と「Kaiji」（トレンドマイクロでは「DDoS.Linux.KAIJI.A」として検出）です。

Dockerサーバを攻撃の対象に定めるのは、XORDDoSとKaijiの両方において新しく見られた動きです。XORDDoSはクラウドシステム上のLinuxホストを狙うことで知られています。最近確認されたKaijiはモノのインターネット（IoT、Internet of Things）機器に影響を与えることが最初の調査で判明しています。攻撃者は通常、オープンなセキュアシェル（SSH）およびTelnetポートをスキャンした後、ボット型マルウェアを使用してブルートフォース攻撃を実行します。現在、攻撃者は露出したポート2375を持つDockerサーバを検索していたことがわかっています。ポート2375はDocker APIが使用する２つのポートのうちのひとつであり、暗号化されていない未認証の通信において使用されます。

同じポート2375を狙う2つのマルウェアですが、その攻撃手法には顕著な違いが見られました。XORDDoSはDockerサーバに侵入してホストされているすべてのコンテナに感染を試みます。一方のKaijiは、DDoS攻撃を行うマルウェアを格納する独自のコンテナをDockerサーバに展開します。

■マルウェア「XORDDoS」の解析 

XORDDoSの感染は、攻撃者が露出したDocker APIのポート2375を持つホストを検索するところから始まります。そして、Dockerサーバでホストされているコンテナの一覧表示を実行するコマンドを送信しました。攻撃者はその後、以下の一連のコマンドをすべてのコンテナに対して実行し、対象のコンテナをXORDDoSマルウェアに感染させました。

XORDDoSのペイロード（トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出）は、他の攻撃でも利用されたXORキー「BB2FA36AAA9541F0」を使用して文字列を暗号化し、C＆Cサーバと通信します。また、持続化機能として、コンピュータ内に自身のコピーを複数作成します。

このペイロードは、SYN、ACK、およびDNSタイプのDDoS攻撃を行います。

また、後続のマルウェアのダウンロードおよび実行や、自身を更新することも可能です。

XORDDoS は、DDoS攻撃の試行に関連する以下のデータを収集しました。

• CPU情報
• 実行中プロセスのMD5
• メモリ情報
• ネットワーク速度
• 実行中プロセスのPID

この特定のXORDDoSの亜種が示す動作のほとんどは、すでに以前確認された亜種に見られたものであったことは特筆すべきでしょう。

攻撃者に関連付けられているURLをさらに調査したところ、トレンドマイクロでは他に「Backdoor.Linux.DOFLOO.AB」のようなマルウェアも確認しました。このマルウェアは、以前に露出したDocker APIを狙ったLinuxボット「Dofloo/AESDDoS」の亜種であることが判明しました。

■マルウェア「Kaiji」の解析

XORDDoSと同様、Kaijiも現在、その拡散のために露出したDockerサーバを狙っており、露出したポート2375を持つホストをインターネット上でスキャンします。攻撃対象を見つけた後、攻撃者はKaijiバイナリを実行する不正なARMコンテナを展開する前にDockerサーバにpingします。

スクリプト「123.sh（トレンドマイクロで「Trojan.SH.KAIJI.A」として検出）」は、Kaijiのペイロード「linux_arm（トレンドマイクロで「DDoS.Linux.KAIJI.A」として検出）」のダウンロードおよび実行しました。その後、このスクリプトはまた、オペレーティングシステムの基本構成ファイルである他のLinuxバイナリを削除します。このバイナリは、DDoS攻撃の操作において必要がないものとされています。

ペイロード「linux_arm（Kaiji）」は、以下のDDoS攻撃を実行可能です。

• ACK攻撃
• IPSスプーフィング攻撃
• SSH攻撃
• SYN攻撃
• SYNACK攻撃
• TCPフラッド攻撃
• UDPフラッド攻撃

このマルウェアは、上述の攻撃で使用すると見られる以下のデータも収集します。

• CPU情報
• ディレクトリ
• ドメイン名
• ホストのI Pアドレス
• 実行中プロセスのPID
• URLのスキーム

■被害に遭わないためには

上述の調査結果に見られるように、攻撃者は、他のエントリポイントに対して攻撃を展開できるように、新しい機能を搭載するなどして常にマルウェアをアップグレードしています。 Dockerサーバはクラウドでの展開が比較的便利であるため、ますます企業に人気の選択肢となっています。ただし、Dockerサーバは、悪用可能なシステムを常に探しているサイバー犯罪者にとっては魅力的な標的となっていることも確かです。Dockerサーバの安全性を高めるため、以下のベストプラクティスを講じることを推奨します。

• コンテナホストの保護。 監視ツールを活用し、コンテナ中心のOSでコンテナをホストする
• ネットワーク環境の保護。侵入防止システム（IPS）及びWebフィルタリングを使用して、可視性を提供し、内部および外部の通信を監視する
• 管理スタックの保護。コンテナレジストリを監視および保護し、Kubernetesのインストールを隔離する
• ビルドパイプラインの保護。徹底的で一貫したアクセス制御機能を実装し、強力なエンドポイント制御をインストールする
• 推奨されるベストプラクティスに従う
• セキュリティツールを利用して、コンテナをスキャン及び保護する

■トレンドマイクロの対策

トレンドマイクロの「Hybrid Cloud Security」では、物理・仮想・クラウドの混在環境にシンプルな自動化されたセキュリティを提供し、環境を問わずにワークロードを保護します。特にコンテナ環境でのセキュリティとして以下を提供しています。

• クラウド環境に対する脅威をスキャン・可視化し保護するTrend Micro Cloud OneContainer Security（現製品名：Trend Micro Deep Security Smart Check）は、コンテナイメージおよびレジストリを自動的にスキャンします。
• Trend Micro Cloud One Workload Security（現製品名：Trend Micro Deep Security as a Service）は、機械学習型検索や仮想パッチなどのセキュリティ機能により、ワークロードを保護します。

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

※調査協力：Patrick Noel Collado、 Karen Ivy Titiwa

参考記事：

• 「XORDDoS, Kaiji Botnet Malware Variants Target Exposed Docker Servers 」
  By Augusto Remillano II

翻訳： 下舘 紗耶加（Core Technology Marketing, Trend Micro Research）

トレンドマイクロでは2020年上半期（1~6月）における国内外での脅威動向について分析を行いました。2020年、新型コロナウイルスのパンデミック（世界的大流行）によって、世界に大きな変化がもたらされることは、誰も予想していなかったことでしょう。コロナ禍が及ぼした大きな影響は、実世界においてもサイバー世界においても「新たな日常」となりました。サイバー犯罪者はこの状況を利用し、メール、ソーシャルメディア、不正サイト、偽アプリなど、幅広いプラットフォームでさまざまな手口を駆使した攻撃を次々に展開しました。特にこの上半期の期間、国内におけるフィッシング詐欺は過去最大規模となりました。これは多くの利用者において、ネットワークアクセスに費やす時間が長くなっていることなども影響しているものと考えられます。

コロナ禍による都市封鎖や外出自粛の影響により、多くの企業においてはテレワークが必要不可欠なものとなりました。ただし残念なことに、急速な変化に対応が間に合わない組織も少なからず存在し、オフィスのネットワークとホームネットワーク双方の間にあるセキュリティギャップに戸惑う事態となりました。また、公私両面で不可欠なコミュニケーション手段となったビデオ会議アプリに便乗する攻撃は、「Zoom Bombing（ズーム爆撃）」と呼ばれる迷惑行為から、認証情報を狙うフィッシング詐欺、アプリのインストーラに同梱されたマルウェアによる本格的な攻撃キャンペーンまで、多岐に渡りました。

サイバー犯罪者集団はこの大きな変化の中で、執拗に攻撃キャンペーンを継続していました。新たなプラットフォームやオペレーティングシステム（OS）を狙ったり、旧来の手法で攻撃キャンペーンを展開したり、無害を装ったマルウェアを駆使するなど、彼らの攻撃も多岐に渡りました。中でも特にランサムウェア攻撃では、これまでのメールのばらまきと共に、RDP、VPN、各種サーバに対し、認証突破による不正アクセスや脆弱性を利用した攻撃など、遠隔攻撃によるネットワークへの直接侵入の事例が顕著化しています。また侵入後には、ネットワーク管理者権限の奪取、ADサーバの侵害、グルーポリシーの利用と言った巧妙な内部活動も確認されています。さらに、これまでのデータ復旧を引き換えにした身代金要求に加え、「窃取した情報を公開する」と被害者を脅す情報暴露型の手口も登場しました。「MAZE」、「Sodinokibi（別名：REvil）」、「DoppelPaymer」など、この手口を利用しているランサムウェアの被害は、日本でも確認されています。これらのランサムウェア攻撃における「新たな戦略」により、法人利用者はこれまでの対策を更新する必要に迫られています。

トレンドマイクロでは、その他にも様々な脅威動向の分析を行っています。2020年上半期に確認された脅威動向についてより深く知るためには、以下のレポートをご一読ください。

・詳細レポートはこちら：

2020年上半期セキュリティラウンドアップ

・本レポートに関するウェビナーはこちら：
「最新の脅威を知るウェビナー」

トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。

サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて（2020年9月3日）」

今回確認されたのは「トレンドマイクロ・サポートセンター満足度アンケート調査　ご協力のお願い」などの件名でWord文書ファイルが添付されたものです。添付ファイルを開いてしまった場合、最終的にボット型マルウェアである「EMOTET」に感染します。EMOTETは2020年7月中旬から活動の活発化が見られており、国内でもJPCERT/CCなどから注意喚起が行われていました。

図：トレンドマイクロのアンケートを偽装した迷惑メールの内容例

EMOTETの攻撃者は、窃取したメールを元に新たな攻撃メールを送信する活動を行うことがわかっています。今回の攻撃メールも、件名や本文の文面だけを読むと特におかしなメールではないように思えますが、これは窃取した本物のメールの内容を、署名なども含め全部コピーして使用しているものと考えられます。ただし、件名と添付ファイル名は「カスタマー満足度アンケート」や「トレンドマイクロ・カスタマー満足度アンケー.doc」のように一部のみとなっているものも確認しています。

表：問題の攻撃メールの件名例（9月3日14時時点 なぜか不完全な件名も確認されている

また、送信元（From:）のメールアドレスもトレンドマイクロの正規アドレスを偽装していますが、よく見るとそのあとに異なるアドレスの表示が確認できるため、不審なメールであると判断できます。

添付のWordファイルには不正マクロが含まれており、実行されると最終的にEMOTET本体をダウンロードし、感染させます。ただし現在のMicrosoft Officeの標準設定ではマクロは無効になっているため、「コンテンツの有効化」ボタンをクリックしない限り、実行されることはありません。

図：問題のメールに添付されたWordファイルを開いた場合の表示例
上部の「コンテンツの有効化」ボタンをクリックしなければ不正マクロは実行されないため、被害を免れることが可能

EMOTETは活発に活動する期間と活動休止期間を繰り返していることで知られています。2020年上半期のEMOTETの動向については8月31日公開の「2020年上半期セキュリティラウンドアップ」でもまとめておりますが、7月中旬に活動再開が確認されていました。この活動再開後には、「返信型」の攻撃メールで元メールの添付ファイルを利用する、感染環境ごとに本体ファイルのハッシュを変化させる、感染後にダウンロードされる別のマルウェアとしてTrickBotに加えQAKbotが確認される、などの変化がわかっています。国内での攻撃拡大が危惧されていましたが、今回の攻撃メールは日本を狙うEMOTETの攻撃活発化を示す一例と言え、今後は一層の注意が必要です。

図：日本におけるEMOTETの検出台数推移とその背景

図：7月の活動再開後に確認されたEMOTETの攻撃メールの例

■トレンドマイクロの対策
今回確認された攻撃メールの添付ファイルについては、メールの受信時であればメール対策製品、ファイルを開こうとした場合にはエンドポイント製品において、「Trojan.W97M.EMOTET.UAJS」などの検出名で順次検出対応しています。またパターン対応前であっても機械学習型検索で「Downloader.VBA.TRX.XXVBAF01FF009」として検出していることを確認しています。また、サンドボックス連携機能を利用できる場合においても不正ファイルとして検出できます。

更に、仮に添付ファイルが実行された場合にも、不正サイトへのアクセスを「Webレピュテーション（WRS）」技術によりブロックします。

攻撃メール自体についてもトレンドマイクロ製品の「E-mailレピュテーション（ERS）」技術により、メール受信時にブロック可能です。

The post 「EMOTET」がトレンドマイクロのアンケートメールを偽装 first appeared on トレンドマイクロ セキュリティブログ.

※9月4日14時45分更新（当初公開9月3日21時）

トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。

サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて（2020年9月3日）」

今回確認されたのは「トレンドマイクロ・サポートセンター満足度アンケート調査　ご協力のお願い」などの件名でWord文書ファイルが添付されたものです。添付ファイルを開いてしまった場合、最終的にボット型マルウェアである「EMOTET」に感染します。EMOTETは2020年7月中旬から活動の活発化が見られており、国内でもJPCERT/CCなどから注意喚起が行われていました。トレンドマイクロでも8月に検出台数の急増を確認しており、今回確認された攻撃メールも日本を狙う攻撃本格化の一例と考えられます。

図：トレンドマイクロのアンケートを偽装した迷惑メールの内容例

EMOTETの攻撃者は、窃取したメールを元に新たな攻撃メールを送信する活動を行うことがわかっています。今回の攻撃メールも、件名や本文の文面だけを読むと特におかしなメールではないように思えますが、これは窃取した本物のメールの内容を、署名なども含め全部コピーして使用しているものと考えられます。ただし、件名と添付ファイル名は「カスタマー満足度アンケート」や「トレンドマイクロ・カスタマー満足度アンケー.doc」のように一部のみとなっているものも確認しています。

表：問題の攻撃メールの件名例（9月3日14時時点）
なぜか不完全な件名も確認されている

また、送信元（From:）のメールアドレスもトレンドマイクロの正規アドレスを偽装していますが、よく見るとそのあとに異なるアドレスの表示が確認できるため、不審なメールであると判断できます。

添付のWordファイルには不正マクロが含まれており、実行されると最終的にEMOTET本体をダウンロードし、感染させます。ただし現在のMicrosoft Officeの標準設定ではマクロは無効になっているため、「コンテンツの有効化」ボタンをクリックしない限り、実行されることはありません。

図：問題のメールに添付されたWordファイルを開いた場合の表示例
上部の「コンテンツの有効化」ボタンをクリックしなければ不正マクロは実行されないため、被害を免れることが可能

EMOTETは活発に活動する期間と遠隔操作サーバ（C2サーバ）からの通信が途絶える活動休止期間を繰り返していることで知られています。2020年上半期のEMOTETの動向については8月31日公開の「2020年上半期セキュリティラウンドアップ」でもまとめておりますが、7月中旬に活動再開が確認されていました。この活動再開後には、「返信型」の攻撃メールで元メールの添付ファイルを利用する、感染環境ごとに本体ファイルのハッシュを変化させる、感染後にダウンロードされる別のマルウェアとしてTrickBotに加えQAKbotが確認される、などの変化がわかっています。この7月の活動再開を受けて、8月には検出台数の急増が確認されています。今回確認された攻撃メールも含め、日本を狙う攻撃が活発化している状況であることは間違いないと言え、今後は一層の注意が必要です。

図：7月の活動再開後に確認されたEMOTETの攻撃メールの例

■トレンドマイクロの対策

今回確認された攻撃メールの添付ファイルについては、メールの受信時であればメール対策製品、ファイルを開こうとした場合にはエンドポイント製品において、「Trojan.W97M.EMOTET.UAJS」などの検出名で順次検出対応しています。またパターン対応前であっても機械学習型検索で「Downloader.VBA.TRX.XXVBAF01FF009」として検出していることを確認しています。また、サンドボックス連携機能を利用できる場合においても不正ファイルとして検出できます。

更に、仮に添付ファイルが実行された場合にも、不正サイトへのアクセスを「Webレピュテーション（WRS）」技術によりブロックします。

攻撃メール自体のブロックについては「E-mailレピュテーション（ERS）」技術も有効です。

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

The post 「EMOTET」がトレンドマイクロのアンケートメールを偽装 first appeared on トレンドマイクロ セキュリティブログ.

トレンドマイクロでは、今年の7月に入ってすぐ、新しいマルウェア「ThiefQuest（別名：EvilQuest）」を確認しました。このマルウェアは、macOSデバイスを狙って、ファイルを暗号化し、影響を受けるコンピュータ内にキーロガーをインストールします。ThiefQuestは、一般的なファイル共有のためのトレントサイト上で共有されていた海賊版のmacOSから発見されています。このマルウェアの動向は、ウイルス対策ソフトを提供する「MalwareBytes」、コンピュータヘルプサイト「BleepingComputer」、およびセキュリティリサーチャであるDinesh Devadoss氏、Phil Stokes氏、Patrick Wardle氏、そしてThomas Reed氏によっても調査されています。また、Objective-See社も最新のマルウェア詳細調査を公表しています。これらの調査では、マルウェアを利用した身代金要求が主な攻撃方法ではなく、ファイルの抽出、C&C通信、キーロギングなどのその他の関数を偽装するための先手であるとしています。この推測は、最近確認された内容でも裏付けられています。

本記事では上述の調査を踏まえ、VirusTotalで確認された異常な挙動を含めて新旧バージョンにおけるマルウェアの違いなど、トレンドマイクロの独自調査からThiefQuestについて判明したことを解説します。さらに重要な点として、公開された調査からの最新情報にも言及します。この情報は、綿密な監視が必要であるThiefQuestが、深刻な影響を与える可能性のあるマルウェアの一例であることを示しています。

■「ThiefQuest」とその新たな亜種

• 新たな不正活動を示す「ファンクション（関数）」

トレンドマイクロは、複数のリサーチャによる調査で以前報告されたThiefQuestの亜種以外にも、これらの亜種と比較してより強力なファンクション（関数）を使用し、その他にも改変が施された亜種がいくつか確認されました。これらの新亜種は以前の亜種が確認されてから、わずか数日で出現したと見られています。特に注視すべき点として、ファイルの暗号化や身代金要求文書（ランサムノート）の作成など、以前に確認されているランサムウェアとしての挙動が削除されていることが挙げられます。新たな亜種では、これらの活動はマルウェアのメインコードでは呼び出されません。さらなる調査で、攻撃者は新しい関数のアドレスを計算して呼び出す新しい動作を実装していることが判明しました。新亜種の中には、マルウェアの調査をより困難なものとするために、関数名に難読化が施されているものもありました。

図１：メインコードの新しいアップデートを呼び出すために使用される関数  eisl_apply_function()

本記事では、以下の新しい関数によって実行される活動の内容について解説していきます。

• _react_updatesettings
• attach_payload
• compress_bundle
• compress_bundle
• decompress_bundle
• decompress_bundle
• ei_fcnc_pack_challenge
• ei_fcnc_unpack_challenge
• ei_getip
• ei_ptas
• ei_rfind_cnc
• eisl_add_function
• eisl_apply_function
• eisl_debugging_um
• eisl_get_function
• eisl_lazysleep
• eisl_ndebugging
• eisl_noop
• eisl_ntrace
• eisl_ntrace_sc
• eisl_ntrack_chk
• eisl_xtrace
• eisl_zzufff_init
• extract_payload
• fb_uniconf_* (other related functions)
• fb_uniconf_get_entry
• fb_uniconf_init
• fb_uniconf_load
• fb_uniconf_save
• fb_uniconf_set_entry
• run_audio
• run_image
• run_payload

• ペイロードの読み取りと添付

図２：ペイロードの読み取りと添付

extract_payload()関数は、符号化され埋め込まれたペイロードのデータを指定ファイルから読み込みます。データのオフセットと長さは、ファイルの最後に保存されます。データの読み取り後、eib_secure_decodeを呼び出してペイロードのデータをデコードします。

attach_payload()関数はextract_payload()とは逆の動作を行います。指定ファイル元からペイロードのデータを読み取って符号化し、符号化されたデータを指定のターゲットファイルに保存します。

• バンドル圧縮および解凍

図３：バンドルの圧縮と解凍

compress_bundle()関数は、バンドル内の各ファイルの内容を符号化し、指定ファイルに保存します。一方、decompress_bundle()関数もまた、compress_bundle()とは逆の動作を行います。このdecompress_bundle()関数は、指定ファイルからバンドルファイルの読み込みおよびデコードを行います。

• C&CとIPの生成

図４：C&CとIPの生成

ei_rfind_cnc()関数は、現在時刻を1000回カウントするループの乱数初期化のシードとして使用します。生成された乱数でIPアドレスを生成するためにei_getip()を呼び出し、http_request()経由で接続を試みます。この接続が到達可能な場合、C&Cサーバのアドレスとして用います。

• 向上した解析防止技術

is_virtual_mchn()関数では、コンピュータのMACアドレス、CPU数、および物理メモリの取得を含む状態確認が強化されています。

図５：状態確認

図６：解析確認

文字列を復号化するeip_str()関数には、解析防止の確認を行う関数も追加されています。これらの確認を担う関数の1つは、eisl_debugging_um()です。この関数は、task_get_exception_ports()を呼び出して現在のプロセスがデバッグされているかを確認する新しい関数です。ただし、この関数は現時点では常に0を返す状態であり、不完全な機能であるとみられています。

図7：現在のプロセスのデバッグの確認

トレンドマイクロではまた、解析防止に使用される複数の新しい関数も確認しました。しかし、確認された関数の一部は未だ空のままとなっています。トレンドマイクロの推測では、これらの関数は近いうちに実装されると考えています。

• eisl_xtrace
• eisl_ntrace
• eisl_ntrace_sc
• eisl_ntrace_chk

• C&Cの更新

トレンドマイクロの調査の結果から、_react_updatesettings()関数が追加されたことも判明しています。この関数は、C&Cサーバから更新された設定を取得するために使用されます。

• 画像ファイルと音声ファイルの実行機能

一方、run_audio関数およびrun_image関数は、非表示の.m4a形式の音声ファイルまたは.jpg形式の画像ファイル内にターゲットファイルを保存します。この２つの関数は、開かれた非表示の端末を利用して実行されます。マルウェアは、単に「open.filename.m4a」または「open.filename.jpg」を呼び出して、Music.appまたはPreview.appのいずれかに関連付けられた既定のアプリケーションでマルウェアを実行します。

これらの関数から、ThiefQuestの背後にいる攻撃者は、マルウェアに新機能を用意している可能性があります。攻撃者はおそらく、ドロップされた身代金要求文書を読み取るために、Text-to-Speech（テキスト読み上げ）を使用する以前のバージョンと類似の概念をThiefQuestに持たせようと計画しているとみられます。

以下の図８は、run_audio関数の分解を示しています。この関数は、対象が保存されるファイル名と、関数の分解を実行する暗号化された文字列を表示します。この文字列は、非表示の端末を起動するためのAppleScriptコマンドとして復号化されます。

図８：run_audio関数の分解

• セキュリティツールの強制終了

ThiefQuestは実行中のセキュリティツールを確認すると強制終了させる機能を持っています。@ Myrtus0x0によるツイートでは、ObjectiveSee社の対策製品「KnockKnock」が、強制終了の対象となるセキュリティツールの一覧に追加されたとされています。トレンドマイクロではこのツイートで挙げられた以外にも、新たなセキュリティツールが強制終了リストに追加されたのを確認しました。

• Avast
• Bitdefender
• Bullguard
• DrWeb
• Kaspersky
• KnockKnock
• Little Snitch
• McAfee
• Norton
• ReiKey

図９：強制終了の対象となるセキュリティツールを示すメモリダンプ

図10：強制終了対象となるセキュリティツールの例
（暗号化されたデータを複合したもの）

• ファイル名とサーバの変更

作成されたファイル名、持続化アイテムのPLISTファイル名、および以前の亜種と新しい亜種の両方の接続サーバのサブドメイン名も変更されていたことが判明しています。

■VirusTotalで取得した検体の解析

VirusTotalで最初に確認されたマルウェアに関するデータによると、ThiefQuestは２０２０年６月上旬から中旬にかけてすでに存在していたことが判明しています。以前確認された検体は、新しい検体ほど多くの機能を有していません。一方で、攻撃者が継続的にThiefQuestを改変しようとしていることわかる、いくつかの段階的な変更も見られました。

初期に確認されたバージョンで特筆すべき特徴のひとつは、ランサムウェアの機能を持たない点です。実際、ThiefQuestは当初、対象のユーザのホストファイル（/private/etc/hosts）を改変する機能を備えたバックドア型のマルウェアでした。effeeadfdc3caf523635fcb86581a807f719fa5e322872854499など、初期に確認された検体では、C&Cサーバにリダイレクトするために、特定のドメインにエントリを追加することがわかっています。以下は、ホストファイルを改変するエントリの一部です。

VirusTotalに提出されたファイルパスには、/Users/user1と国別コード「RU（ロシア）」が含まれていました。他にも、国別コード「BG（ブルガリア）」とともに、提出名にcom.apple.questdが含まれている点は特筆すべきでしょう。

図11：初期に確認されたマルウェアに関連するVirusTotalへの合計提出回数その１

図12：初期に確認されたマルウェアに関連するVirusTotalへの合計提出回数その２

• 最初に確認されたランサムウェアのバージョン

トレンドマイクロは初めに、他の調査上で解析された検体ほど多くの関数を持たない、古い亜種を確認しました。この亜種に感染動作は見られず、特定のC＆Cタスクにも機能するコードが存在しませんでした。ただし、ランサムウェアの挙動を行うことを確認しています。

図13： メインコード内にei_loader_main()関数を含む感染機能を持った亜種、攻撃の対象となるコンピュータ内のファイルに感染する

図14：メインコード内の最初に確認されたランサムウェアの亜種、
感染機能の呼び出しを備えていない

図15： null値を返すC＆Cタスク「_react_keys()」を含む、
最初に確認されたランサムウェアの亜種

• 感染した検体からの発見

後続の検体による感染動作を考慮し、類似条件を用いてVirusTotal Intelligenceを確認し、多くの検体の検索結果を見つけました。

２０２０年６月２９日から７月３日までの間に、VirusTotal上に提出された類似の新しい検体は３万件以上にのぼりました。そのほとんどは、国別コード「ZZ」からの同一のAPI送信から来ています。つまり、送信元の国は不明です。

図16：新しいバージョンのマルウェアに関連するVirusTotalへの提出

フォルダ「/Users/user1」は、以前確認された検体が使用したフォルダと同一のものです。このことは、新しいバージョンのマルウェアが、古い検体が確認された同一のコンピュータから拡散したということを示唆しています。推定5分間で、同じファイルパス「/Users/user1/Library/Google/GoogleSoftwareUpdate/GoogleSoftware.bundle/Contents/Helpers/crashpad_handler」が二度提出され、ファイルサイズが16.27MBから32.09MBに増加しました。トレンドマイクロの試験用コンピュータでは、ファイルのサイズはわずか499,264バイト、つまり500KB未満と表示されました。

図17：新しいバージョンのマルウェアに関する他のVirusTotalへの提出

以下は、ファイルサイズが32.09 MBの検体を解析した後に判明した調査結果の一部です。

1. 検体を検索すると、ユニーク文字列「/toidievitceffe/libpersist/rennur.c」が366回表示される。このことは、ファイルが少なくとも366回この検体に繰り返し感染していることを意味する
2. ファイル内の最後にある最後のMach-Oファイルをゴミ箱に移すと、このファイルがcrashpad_handler.exeであることが確認される。このファイルは、安全なコンピュータ内に存在するファイルと同一、つまり無害な正規ファイルである
3. ファイル内に検体の不完全なコピーがいくつか存在していた。これは、同時に実行されていた複数の感染動作の不適切な処理、もしくはその他の潜在的な問題が原因と見られる
4. このマルウェアは、不正コードによる複数の動作を1つのコンピュータ内で同時に実行する
5. 感染した検体は再感染する可能性がある
6. アプリバンドル内のMach-Oファイルへの感染を回避しても、マルウェアは引き続き、アプリバンドルフォルダに類似した~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/内のファイルに感染する

一般的に、経験豊富な攻撃者がファイル感染型マルウェアを作成する際、上述の過程は通常含まれていません。

• ThiefQuestの変遷

トレンドマイクロでは、弊社収集の感染した検体を元に、上述の改変を記録しました。以下は、マルウェアの進化の概要です。

■Pythonのダウンロード

このマルウェアは、Pythonの依存関係や、p.gifとpct.gifなどの２つの特定のファイルをダウンロードします。BleepingComputerは、このマルウェアに強い難読化が施されていることを示すp.gifのrawテキストをアップロードしました。

図18：p.gif

トレンドマイクロではこのことに基づいて、攻撃者はスクリプトを読みにくくするために、ツールから悪用およびネストされたLambda関数を使用したと想定しています。このネストされたLambdaの難読化形式の構造についてさらに調査したところ、Chelsea Vossが開発したツールと、Lambda関数を介して任意のPython2スクリプトを1行に変換するチームを確認しました。

攻撃者は、文字列にPython文字列の難読化を使用しました。たとえば、3行目には文字列「‘r%squ%ssts」が含まれ、28行目には「’r%squ%ssts” %(‘e’,’e’)」というパターンが使用されています。これを手動で難読化を解除することで、実際の文字列は「リクエスト」であることがわかります。10行目の別の同様の文字列は「’__b%s%slt%s%ss__’ % (‘u’, ‘i’, ‘i’, ‘n’)」として読み取られますが、難読化を解除すると「__builtins__」でという文字列であったことがわかります。

この理論をもとにファイルの難読化を解除したところ、p.gifが依存関係のインストールに用いられることを確認しました。

図19：文字列「リクエスト」

Bleeping Computerが以前のバージョンのpct.gifを取得したのに対して、トレンドマイクロの調査では、攻撃者がpct.gifを更新してネストされたLambdaの難読化を表示したのを同様に確認しました。

図20：トレンドマイクロの情報元から取得したpct.gif

トレンドマイクロで確認したものより新しいバージョンのpct.gifも、読み取り不能な暗号化された文字列が存在するため、文字列復号化の動作が実行されています。（※コードが解読され次第、本記述部分を更新します。）

図21：最新の情報元から取得したpct.gifの最新バージョン

■コア機能の追加入力

このマルウェア、特に以前確認されたバージョンのコアコンポーネントに関する調査の多くは、Objective-See社のPatrick Wardle氏の調査内容と一致していますが、トレンドマイクロではThiefQuestの仕組みに関する詳細を知るのに役立つ可能性のある、さらなる情報を紹介します。

• ファイルの暗号化

マルウェアの暗号化理論は、ターゲットファイルのサイズに応じて分岐します。

コア暗号化関数carve_target（）には、3つの異なるブランチへの呼び出しがあります。

• 最初のブランチは、サイズが2MB未満のファイルを対象とする
• 2番目のブランチは、サイズが2MBから30MBのファイルを対象とする
• 3番目のブランチは、32MBを超えるサイズのファイルを対象とする

3つの呼び出しに使用されるパラメータはすべて同一のものですが、２番目と３番目の分岐には特定の違いがあります。たとえば、マルウェアは暗号化するファイルの数を３０００件に制限し、２番目のブランチですでに３０００件のファイルを暗号化している場合、３番目のブランチは省略されます。

ただし、その理論で不可解な点は、２番目のブランチがすでに２９００件の検体を暗号化している場合、3番目のブランチのカウントは0から始まるということです。

図22：暗号化処理

• Mach-Oファイルの感染 

append_ei()関数は、マルウェアの動作が実際の感染を実行する場所です。また、以下の図23からわかるように、感染したファイルの最後にオリジナル/ホストファイルのサイズとマジックナンバーを追加します。

図23： append_ei ()関数

一方、pack_trailer()関数は、感染用のホストファイルのファイルサイズなどのトレーラデータを準備するために使用されます。

図24：関数pack_trailer()

図25：元のファイル（左）と感染したファイル（右）の比較

図20の元のファイルと感染したファイルを比較すると、追加されたデータが表示されます。 元のマルウェアの検体は、感染したMach-Oファイルの上に追加されます。

このマルウェアには、元の不正な検体であるか、感染したファイルであるかによって、動作にいくつかの差異が見られました。これらの２種類の検体間では、以下のような違いがあります。

• 一部の解析防止確認処理（__is_debugging, _prevent_trace,_ kill_unwanted）は感染した検体で実行されなかった
• マルウェアがバックグラウンドで不正動作を実行している間、オリジナル/ホストコードを非表示のファイルとして作成する感染した検体の動作は、感染した実行ファイルが影響を受けていないとユーザが考えるように、ユーザを騙す可能性がある
• 感染した検体が実行されると、作成されたファイル「.<filename>1」は実行後に削除されない

図26-28の画像からわかることは、次のプロセスを示す逆アセンブリについてです。

1. unpack_trailerを呼び出す
2. 同じディレクトリから接尾辞「1」を付けて抽出し、それを非表示のファイルとして保存する
3. また、感染した検体と通常のファイルと想定される、作成された非表示のファイルも表示する

図26：unpack_trailerを呼び出す不正コードその１

図27：unpack_trailerを呼び出す不正コードその２

図28：unpack_trailerを呼び出す不正コードその３

図29：作成された非表示のファイル
感染した検体と通常のファイルと想定される

• 持続化 

バイナリのmain()関数は、最初にpersist_executable_frombundle()関数、ei_persistence_main関数、およびinstall_daemon()関数を使用して自動実行/持続化機能をインストールし、マルウェアの起動時に実行されるようにします。

図30：持続化に使用される暗号化された文字列の一部を示す、
main()関数から逆コンパイルされたコード

図31：持続性をインストールするために
ei_persistence_main()内で逆コンパイルされたコード

コードの該当部分を実行すると、マルウェアが起動エージェント（~Library/LaunchAgents）をインストールし、デーモン（Library/LaunchDaemons）をcom.apple.questd.plistとして起動します。この動作は、特定の条件が満たされた場合、マルウェアバイナリcom.apple.questd.plistの別のコピーを対象とします。

図32：インストールされたLaunchAgentとそのターゲット
com.apple.questdのコンテンツ
記号「~」は、コンピュータが現在ログイン中のユーザフォルダを示す

• ファイル窃取

lfsc_dirlist()関数はメインの引き出し関数であるei_forensic_thread()によって呼び出され、/Usersフォルダ下の全ファイルを1つの長い文字列に連結します。この文字列の長さがまず確認されます。文字列が10,240文字より長い場合、文字列は10,240文字サイズのブロックに分割され、1つずつサーバに送信されます。

送信後、ネットワーク負荷が過度に高くならないように、10秒間スリープします。また、この10秒のスリープ動作は、マルウェアが漏えいしたデータをサーバに送信する毎に監視されます。

図33：lfsc_dirlist()関数

• C＆C通信の動作

このマルウェアに関する調査では、C＆Cサーバの存在と機能の一部にのみ言及しているため、ここでは、特に以下の関数について解説します。

• _react_exec
• _react_start
• _react_save
• _react_keys
• _react_ping
• _react_host
• _react_scmd

図34：C&Cの関数

• _react_exec()

_react_exec()は、C＆Cサーバの関数の1つにあたります。マルウェアが攻撃者から_react_execコマンドを受信すると、データをデコードし、メモリからこれを読み込みまたは実行しようとします。

図35：_react_execコマンド

失敗した場合、ファイルは非表示ファイル「.xookc」に書き込まれ、AppleScriptを介して昇格された権限で実行します。

図36：非表示ファイル「.xookc」にファイルを書き込む

図37：AppleScriptを介して昇格された権限で実行

• _react_save()

_react_save関数によるコマンドの場合、この検体はeib_decode()関数を使用して、サーバから受信したデータをファイル内にデコードします。このファイルは、サーバから受信したエンコードされたデータにも含まれているファイル名で保存されます。

図38： _react_save()関数を呼び出すeib_decode()関数の逆アセンブリ

eib_decode()の内部にはeib_unpack_iと呼ばれる最後の関数があり、これはデコードされたファイルをメモリに設定し、ファイルとして保存するために使用されます。

図39：eib_unpack_i関数

• _react_ping()

_react_pingは、サーバから受信した文字列を復号化するために使用されるコマンドです。マルウェアが正常に解読されると、この検体はサーバにメッセージを送信します。このメッセージは、サーバが機能していることと、サーバからコマンドを受信する準備が万端であることを知らせるためのものである可能性があります。

図40：確認に使用される暗号化された文字列「Hi there」を表示する_react_ping()の逆アセンブリ

• _react_keys()

対象のバイナリは、C＆Cサーバからの応答を待ちます。受信したコマンドに応じて、_react_keys()を介してキーロガーを実行する可能性があります。

まず、呼び出されたランサムウェアバイナリのユーザIDやHOME変数の環境パスなどのユーザ情報を収集します。そして、キーロガー関数を含むeilf_rglk_watch_routine()関数のスレッドを作成します。

図41：_react_keys()

対象のスレッドにおけるこの動作は、CGEventTapCreate()関数を使用してキー入力をログに記録及び出力します。そのパラメータの1つであるprocess_event()関数は、キー入力を文字列に変換して出力するためのコールバック関数です。

図42：CGEventTapCreate()

kconvert()関数は、キー入力を文字列に形式変更します。音量調節/消音およびファンクションキーを含むボタンを押したと見られる形跡がすべて見つかりました。ただし、ログに記録されたキー入力はコンソールからのみ出力されます。

図43-45：kconvert()

トレンドマイクロの見解では、不審なキーロガーの痕跡とnull関数を考慮すると、マルウェアにはC＆C関連タスクの機能が足りていないと考えています。したがって、攻撃者はこの部分以外にも、後続の亜種でファイルの暗号化や感染動作をより強力に改変していくと推測しています。

■MITRE TTP Matrix

以前のバージョンと新しいものの両方を調査して得られた情報に基づいて、MITREのTTP（戦術、技術、および手順）を使用したマルウェアの攻撃範囲を以下にまとめました。オレンジ色のエントリは確認および実装された動作、黄色のエントリは動作の確認はされたが未完全な状態で実装されているコードを表しています。

図46：MITER ATT＆CKナビゲータを使用したTTPマトリックスその１

図47：MITER ATT＆CKナビゲータを使用したTTPマトリックスその２

■まとめ

一部のThiefQuestの亜種はランサムウェア機能を備えていますが、macOS向けランサムウェア自体が少ないことを考え合わせると、注目に値することと言えます。 ThiefQuestの出現は、サイバー犯罪者がThiefQuestのような攻撃を利用してmacOSを狙う手だてを探していること意味するか、またはOS全体あるいはおそらく両方に関連して攻撃の対象として関心が高まっていると言えるでしょう。

macOSはマルウェアから保護されているという誤解が持たれることがあります。しかしながら、サイバー犯罪者は、多くの人々が使用するソフトウェアを攻撃の対象としています。macOSは、この観点から、攻撃の対象から除外されているとは言えません。たとえば、ランサムウェア以外にも、macOSを対象とする様々な種類の攻撃があります。昨年、これらのうち最も検出されたのは、アドウェアや迷惑なアプリケーションを拡散するバンキングトロジャン「Shlayer」でした。

これからも、より多くの機能を備えたThiefQuestの新亜種が登場するでしょう。ThiefQuestの調査から、攻撃者はこのマルウェアをさらに強力に改変していく計画があると想定できます。潜在的に、攻撃者はマルウェアをさらに悪質な脅威になるように準備している可能性があります。いずれにせよ、ThiefQuestの攻撃者は、計画の内容に関係なく迅速に行動することは確かでしょう。セキュリティリサーチャはこのことに留意し、ThiefQuestの亜種を継続的に検出してブロックすることで、マルウェアのさらなる改変に追いつくように努めましょう。

■被害に遭わないためには

本記事で紹介したThiefQuestの背後にいる攻撃者は、このマルウェアを絶え間なく迅速に更新しています。したがって、セキュリティチームとユーザは、このマルウェアの攻撃によって起こり得る想定外の影響に注意する必要があります。このためには、以下のベストプラクティスを行うことを推奨します。

• 公式のアプリケーションストアやダウンロードセンターなど、信頼できる提供元からのみアプリケーションをダウンロードする
• 信頼できない送信元からのメールに記載されている添付ファイルのダウンロードやリンクをクリックしない
• ソフトウェアにパッチを適用して更新し、脆弱性の影響を確実に防ぐ

■トレンドマイクロの対策

「Trend Micro XDR」のセキュリティサービスは、Managed XDRチームによる24時間年中無休の監視と専門家による分析を提供することで、セキュリティを強化します。これには、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークが含まれます。

「Trend Micro Apex One」は、さまざまな脅威検出機能を採用しています。「ふるまい検知」は、ファイルレス活動に関連する不正スクリプトやインジェクション、ランサムウェアやメモリ、さらにはWebブラウザからの脅威にも対策を講じることができます。

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

参考記事：

• 「Updates on ThiefQuest, the Quickly-Evolving macOS Malware」
  By Steven Du, Gabrielle Mabutas, and Luis Magisa

翻訳： 下舘 紗耶加（Core Technology Marketing, Trend Micro Research）

The post 急速に進化するmacOS向けマルウェア「ThiefQuest」の最新情報 first appeared on トレンドマイクロ セキュリティブログ.

２０２０年７月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット（IoT）を対象とするボット「Mirai」のダウンローダ（Trend Microでは「Trojan.SH.MIRAI.BOI」として検出）を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の１つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。

■動作

7月にレポートしているように、BIG-IP 製品の管理インターフェイス「TMUI（Traffic Management User Interface）」内に遠隔からのコード実行（Remote Code Execution、RCE）の脆弱性が含まれることがわかっています。公開された情報の解析後、Apacheの httpdにおける脆弱性の影響緩和ルールから、この脆弱性を悪用する攻撃手法には、対象のURI（Uniform Resource Identifier、統一資源識別子）内にセミコロン文字（;）を含むHTTP GETリクエストが含まれることが明らかになりました。Linuxのコマンドラインでは、セミコロンはコマンドラインが終了したことをインタプリタに知らせる記号ですが、同時に今回の脆弱性をトリガーするための記号でもあるということです。トレンドマイクロはさらなる解析を行うため、マルウェアを検知、解析、分類する図１のYaraルールを介して、IoT機器を狙うボット型マルウェアの作成者が既存または新しいマルウェアの亜種にスキャン機能を追加可能かどうか試験しました。

図１：マルウェアを確認するYaraルール

試験で使用されたこのルールはシンプルに見えますが、マルウェア、PythonまたはRubyの概念実証（PoC）コードを広範的に検索することが可能になりました。これにより、トレンドマイクロでは２０２０年７月１１日に、MIPSアーキテクチャ向けにコンパイルされた、ELFファイルのマルウェア検体を発見、続いて検体の解析からマルウェアが使用する2つの不正サイトのアドレスを確認しました。この２つの不正サイトのIPアドレスを調査したところ、２０２０年６月以降、他のMirai亜種などのIoTマルウェアを拡散させる不正活動で、すでに使用されていたものであることが判明しました。

MiraiのようなIoT機器を対象とするマルウェアの一般的なパターンとして、異なるアーキテクチャへの攻撃を目的とした異なる拡張子を持つファイルが用意されていることがあります。確認した2つの不正サイトを調べたところ、以下のファイルを確認しました。

表１：C&C内でホストされたファイル

表１のファイル名「SORA」は、RCEおよびデバイスの不正制御および管理を行う他の脆弱性の悪用やブルートフォース攻撃に使用される可能性のある、Miraiの亜種として以前確認されています。一方、シェルスクリプト「fetch.sh」は、以下の図２の内容を含みます。

図２：シェルスクリプト「fetch.sh」

このfetch.shは上述の不正サイトに接続し、「sysctl」という名称の不正バイナリをダウンロードして実行します。同時に、fetch.shはcronジョブを作成して、ダウンロードしたバイナリの自動実行を有効にします。

図３：cronジョブの作成

続いてfetch.shのスクリプトはiptablesツールを使用し、TelnetおよびSecure Shell（SSH）のデフォルトポート、デバイスのWebパネル（HTTP）など、一般的に使用されているTCPポートにパケットを送信します。このことは、異なる二つの意味を持つと見られています。

• 感染機器内の露出したサービスに対し、他のマルウェアを直接アクセスさせない
• デバイス所有者を管理インターフェイスにアクセスさせない

このことはまた、現在接続されているIoT機器の制御に関して、トレンドマイクロが公開した最近のリサーチペーパーで言及した示唆を連想させます。

トレンドマイクロがこのボット型マルウェアのx86検体の解析を行ったところ、攻撃の影響を受けたポート443/TCP （HTTPS）にGETリクエストを送信する際、脆弱なBIG-IPボックスを悪用しようとする試みがあったことを確認しました。

図４：「CVE-2020-5902」脆弱性を悪用するGETリクエスト

この脆弱性の深刻度を考えると、tmshCmd.jspへの「コマンド」パラメータを含む単一のGETリクエストは、IDパスが正しく付加されている場合、感染機器内でコマンドを遠隔から実行するのに十分であると言えるでしょう。

■悪用された他の脆弱性

トレンドマイクロではまた、この亜種についてさらに調査したところ、ランダムに生成されたターゲットにおいて、最近公開および発見された脆弱性を悪用しようとしていることが判明しました。この亜種が利用する脆弱性の一覧は、以下の通りです。

表２：他の検体が使用する他の脆弱性

■まとめ

F5 Networksは、多くの企業のネットワーキング機器に対応しています。特に今日のテレワーク事情を考慮すると、同社提供のBIG-IPは、政府や企業で利用されている中で最も人気のある製品のひとつとなっています。本記事で言及したマルウェアは、脆弱性の公開日と直近の最新リリースを含む、幅広い製品とバージョンに影響を及ぼします。CVE-2020-5902は、共通脆弱性評価システム（CVSS、Common Vulnerability Scoring System）v3.0の脆弱性評価で深刻度スコア10の評価を受けています。このことから、セキュリティ欠陥自体がオンラインで悪用および自動化されやすいことが、この脆弱性からわかります。さらに、この脆弱性の悪用は、この欠陥を利用するために認証情報や高度なコーディングスキルを必要としません。

とはいえ、上述のセミコロン文字を含むリクエストを拒否するために、F5 Networksはすでにセキュリティの維持に役立つ緩和手段の詳細を公開しています。また本来、BIG-IPの管理インターフェイスはネットワーク外部に露出させるべきものではありません。しかし、IoT検索エンジン「SHODAN（ショーダン）」のスキャンでは、約7,000件の露出したホストがオンラインであることがわかりました。「露出した」とは、あくまでも「インターネットからアクセス可能である」という意味です。必ずしもそれらが脆弱性を持っているというわけではありません。

米国国防総省のサイバー司令部は、このセキュリティ上の欠陥の深刻さを認識し、この情報が最初に公開された3日後にツイートを投稿し、脆弱性の修正プログラムを直ちに適用するように呼びかけました。脆弱性の公開日から脆弱性攻撃コードが確認されるまでにかかった日数（10日）を考えると、悪意を持った攻撃者は最新の脆弱性情報に着目し、独自に攻撃方法（エクスプロイト）を探しだしているように見えます。7月に公表された脆弱性の一部はブログ投稿内でのみ議論され、公に利用可能な脆弱性攻撃コードとして発表されていません。脆弱性を利用しようとする攻撃者は、以下の2つのタイミングを狙って攻撃を仕掛けます。

• 製造元がまだ修正パッチを作成、公開していない（ゼロデイ攻撃）
• システム管理者が、既に公開された修正をまだ適用していない

■被害に遭わないためには

脆弱性を利用する攻撃は、利用される脆弱性の修正プログラムを適用し、脆弱性が存在しない状態にすることで無効化が可能です。また何らかの事情で直ちに修正プログラムを適用できない場合、適用できるまでスケジュールを決めると共に、脆弱性に対する緩和策を施す必要があります。今回紹介した「BIG-IP」の脆弱性は遠隔での攻撃を受けるため、機器の前段で攻撃の通信をブロックするような技術的対策の導入も考慮してください。

IoT機器を脅威から保護するためには、以下のベストプラクティスを参考にしてください。

• IoT機器の製造元の発表を常に確認し、ファームウェアが最新バージョンで実行されるようにする
• 仮想プライベートネットワーク（VPN）を使用して、管理インターフェイスがインターネット上に直接露出しないようにする
• ネットワークセグメンテーションを使用して、感染拡大を抑制し、機器のセキュリティ設定をカスタマイズする
• 適切なIPS機能やWebアプリケーションファイアウォール（WAF）機能を備えたネットワークトラフィックの監視および検出システムがあることを確認する。オンラインでアクセス可能な管理インターフェイスを保護するために、ベースラインと異常な使用範囲を追跡する
• 本記事で紹介したようなセキュリティの欠陥を悪用して侵入するブルートフォース攻撃などの脅威を検出、ブロック、防止可能な多層保護システムをインストールする

■トレンドマイクロの対策

法人利用者においては、脆弱性を利用する遠隔攻撃のトラフィックを、ネットワーク脅威防御ソリューション「TippingPoint」で検知、ブロックすることが可能です。また、ネットワーク挙動監視ソリューション「Deep Discovery Inspector 」は、ネットワーク内の不審な挙動を可視化します。特にスマート工場向けのセキュリティ対策としては、トレンドマイクロの合併会社「TXOne Networks」が提供する産業制御システム向け製品があります。

■侵入の痕跡（Indicators of Compromise 、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちら（英語）を参照してください。

※調査協力：Jemimah Molina and Augusto Remillano II

参考記事：

• 「Mirai Botnet Exploit Weaponized to Attack IoT Devices via CVE-2020-5902」
  By  Fernando Mercês (Senior Threat Researcher)

翻訳： 下舘　紗耶加（Core Technology Marketing, Trend Micro Research）

The post 「BIG-IP」の脆弱性「CVE-2020-5902」を利用するIoTマルウェアを確認 first appeared on トレンドマイクロ セキュリティブログ.