本日の記事は、SOC アナリスト 小池 倫太郎の記事です。

---

20224月中旬から日本企業を狙った標的型攻撃キャンペーンを複数の組織で観測しています。この攻撃キャンペーンは20223月にも活動していたと考えられ、また202110月にも関連した攻撃が行われていた可能性があります。このことから、短期・単発的な攻撃キャンペーンではなく、今後も攻撃が継続する可能性があります。 

本稿では、この攻撃キャンペーンについて詳細な解析を行い、その攻撃主体の帰属について検討します。 

攻撃概要

20224月中旬に観測した攻撃の流れは以下のとおりです。  


 

スピアフィッシングメールに書かれたURLにアクセスすると、攻撃者の管理するサーバからZIPファイルがダウンロードされます。ユーザがZIPファイル内のLNKファイルを実行すると、Windowsコマンドを使用し、攻撃者サーバからDOTファイルをダウンロードし、Microsoft Wordのスタートアップディレクトリへ配置します。その際、デコイとなるPDFファイルをユーザに表示されます。 

次回以降、ユーザがWordファイルを開くと、スタートアップディレクトリに置かれたDOTファイルがロードされ、仕込まれたマクロが発火します。マクロは更に攻撃者サーバからDOTファイルをダウンロードし、実行しますが、私達の調査時点ではこのDOTファイルの入手ができませんでした。 

詳細解析

LNKファイル 

LNKファイルのアイコンはPDFファイルになっていますが、実際にはScriptRunner.exeを使用し、大きく2つの処理が行われます。 

  1. デコイのPDFファイルを表示 

  1. DOTファイルをダウンロードし、Microsoft Wordのスタートアップディレクトリへ配置 

表示されるデコイのPDFファイルは2種類ありますが、ともに日韓関係に関するものでした。黒塗りしているところには実在する人物の名前が書かれていました。 


DOTファイル 

ユーザがWordファイルを開くと、スタートアップディレクトリに配置されたDOTファイルが読み込まれます。DOTファイルには以下のようなマクロが仕込まれていました。 

マクロは更にDOTファイルを読み込み、実行します。この際、ファイル名にユーザ名を含んでおり、攻撃者が被害ユーザの環境を把握していたことが分かります。調査時点で、追加のDOTファイルは入手できませんでした。  

関連した攻撃 

20224月下旬の事例 

20224月下旬、今回の攻撃キャンペーンと同一のインフラからISOファイルがダウンロードできたことを確認しています。攻撃の流れは以下のようになっています。 

そのISOファイルにはデコイファイルの他に、正規のMicrosoft WordEXEファイルと、悪意のあるDLLファイルが含まれていました。DLLファイルはEXEファイルを実行時にサイドロードされ、実行されます。 

DLLファイルはUPXでパックされていますが、Golangで書かれたダウンローダでした。DLLファイルはサーバ上からCobalt StrikeStagerをダウンロードし、実行します。攻撃者はCobalt Strikeを使用して様々なコマンドを実行し、環境の調査などを行いました 

実行されたCobalt Strike StagerConfigは以下のとおりです。 

テキスト 自動的に生成された説明

20224月上旬の事例 

20224月上旬、日本企業において、本攻撃キャンペーンのインフラ(IPアドレス)に対するアクセスを確認しました。詳細は不明ですが、標的・時期・インフラの重複から、同一の攻撃キャンペーンである可能性が高いと考えられます。 

20223月の事例 

VirusTotal上には今回の攻撃と極めて類似したLNKファイルが20223月時点で日本から投稿されています。 

20223月の検体はScriptRunner.exeではなくcmd.exeを使用していますが、実行されるコマンドや攻撃インフラは重複しており、これらは高い確度で同一の攻撃キャンペーンであると言えます。 

調査時点で1段階目のDOTファイルは入手できませんでした。デコイとして表示されるPDFファイルは以下のように、東アジアにおける日本の外交に関する文書でした。 


20221月の事例 

20224月下旬の事例で使用されたGolang製のダウンローダは奇妙なUser-Agentを使用し、/EventsというパスからCobalt Strike Stagerをダウンロードします。このUser-AgentはロシアのYandex Browserのもので、日本では一般的な値ではありません。これと同様の特徴を持つサンプルが20221月に日本からVirusTotalへ投稿されました。インフラも近く、本攻撃キャンペーンと関連している可能性があります。 

また、異なるサブドメインに紐づくIPアドレスを調査した結果、オープンソースのC2フレームワークであるCovenantの痕跡を発見しました。攻撃者はCobalt Strike以外にも、Covenantを使用していた可能性があります。  


202111月の事例 

20221月と4月下旬のCobalt Strikeの事例に関連して、202111月に取得されたdifferentfor[.]comというドメインが挙げられます。インフラやドメイン、ファイルパス、HTTPヘッダ、Cobalt StrikeConfigなどが重複しており、本攻撃キャンペーンと関連している可能性があります。 

テキスト 自動的に生成された説明

202110月の事例 

本攻撃キャンペーンについて調査を行った結果、今回と類似した攻撃インフラを使用した攻撃が202110月下旬に行われていた可能性があることを発見しました。 

調査時点では攻撃ファイルを入手することはできませんでしたが、笹川平和財団のWebサイトのように見せかけたWebサイトから悪性ファイルがダウンロードされた可能性があります。 

帰属 

本攻撃キャンペーンについて、その特徴を整理します。 

様々な特徴がありますが、特に注目すべきは明確に日本を標的としていることです。標的ユーザを絞り込み、自然な日本語を扱い、日本のIPアドレスを使用するなど、単なる流れ弾的な攻撃ではなく、日本を標的とすべきモチベーションが高いと考えられます。また、本攻撃キャンペーンで使用されるWebサーバは地理的情報によってアクセス制御を行っている可能性があり、攻撃者の慎重さ、狡猾さを感じます。日本に対する高い攻撃モチベーションと能力を兼ね備えた攻撃グループは少なく、候補は限られてきます。 

これらのことから、私達が関連性を疑っている標的型攻撃グループを4つ挙げます。本稿では言及していない様々な要素を考慮した上で、私達はDarkHotelである可能性を他の候補よりも検討していますが、どの場合でも決定的な要素はないため確度は低く今後のリサーチで大きく変化する可能性があります。 

DarkHotel 

DarkHotelは韓国に帰属すると言われている標的型攻撃グループ[1]で、日本でも度々攻撃を観測しています[2][3][4][5][6]DarkHotelは日本のメディア企業やシンクタンクを執拗に攻撃し続けており、日本語のメールとデコイファイルを用いてスピアフィッシングを行い、LNKファイルを用いて多段のダウンローダ・ローダを実行します。これらの特徴は本攻撃キャンペーンと近しく、関連性が疑われます。 

Kimsuky 

Kimsukyは北朝鮮に帰属すると言われている攻撃グループ[7]で、日本でも時折攻撃を観測しています[8][9]Kimsukyは脱北者やそれに関わる組織を標的としているとされ、日本のメディア企業が標的となったこともあります。 また、直近ではLNKファイルを用いた攻撃も報告[10]されており、これらの特徴は本攻撃キャンペーンと類似しています 

APT29 

APT29はロシアに帰属すると言われている標的型攻撃グループ[11]で、日本ではほとんどその攻撃について報告されることはありません。しかし、昨今のウクライナ情勢から攻撃の動機となりうると考えられます。 また、APT29LNKファイル[12]ISOファイル[13]を用いた攻撃が既に報告されており、さらにCobalt Strike[14]Golangマルウェア [15]を使用することも知られています。これらは本攻撃キャンペーンと類似しています 

TA416 

TA416は中国に帰属すると言われている標的型攻撃グループ[16]で、日本では時折攻撃を観測しています。TA416LNKファイルやCobalt Strikeを使用して攻撃[17][18]を行いますが、これらは本攻撃キャンペーンと類似しています。 

おわりに 

20224月現在、日本企業を狙った標的型攻撃キャンペーンが観測されています。本攻撃キャンペーンはいくつかの帰属が考えられますが、明確な要素は発見できていません。類似した攻撃は数ヶ月前から行われていた可能性があり、今後も継続的に注視していく必要があります。 


IoCs 

  • *.disknxt[.]com 

  • *.officehoster[.]com 

  • *.youmiuri[.]com 

  • *.spffusa[.]org 

  • *.sseekk[.]xyz 

  • *.mbusabc[.]com 

  • *.differentfor[.]com 

  • 103[.]29.69.155 

  • 149[.]28.16.63 

  • 172[.]104.122.93 

  • 172[.]105.229.93 

  • 172[.]105.229.216 

  • 207[.]148.91.243 

  • 45[.]77.179.110 

References 

[1] MITRE ATT&CK, "Darkhotel", https://attack.mitre.org/groups/G0012/ 

[2] NTTセキュリティ・ジャパン, "マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃のさらにその先", https://insight-jp.nttsecurity.com/post/102fmlc/untitled 

[3] JPCERT/CC, "マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃", https://blogs.jpcert.or.jp/ja/2019/05/darkhotel_lnk.html 

[4] マクニカ, "標的型攻撃の実態と対策アプローチ 3", https://www.macnica.co.jp/business/security/manufacturers/files/mpressioncss_ta_report_2019_2_nopw.pdf 

[5] マクニカ, "標的型攻撃の実態と対策アプローチ 5", https://www.macnica.co.jp/business/security/manufacturers/files/mpressioncss_ta_report_2020_5.pdf 

[6] IPA, "サイバーレスキュー隊(J-CRAT) 活動状況 [2019 年度下半期]", https://www.ipa.go.jp/files/000083013.pdf 

[7] Mandiant, "Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations", https://www.mandiant.com/resources/mapping-dprk-groups-to-government 

[8] IPA, "サイバーレスキュー隊(J-CRAT) 活動状況 [2021 年度上半期]", https://www.ipa.go.jp/files/000094548.pdf 

[9] Cybereason, "Kimsukyが利用しているKGHスパイウェアスイートの内部解析", https://www.cybereason.co.jp/blog/cyberattack/5373/ 

[10] Stairwell, "The ink-stained trail of GOLDBACKDOOR", https://stairwell.com/news/threat-research-the-ink-stained-trail-of-goldbackdoor/ 

[11] MITRE ATT&CK, "APT29", https://attack.mitre.org/groups/G0016/ 

[12] Volexity, "Suspected APT29 Operation Launches Election Fraud Themed Phishing Campaigns", https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-themed-phishing-campaigns/ 

[13] Microsoft, "Breaking down NOBELIUM’s latest early-stage toolset", https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/ 

[14] Mandiant, "Not So Cozy: An Uncomfortable Examination of a Suspected APT29 Phishing Campaign", https://www.mandiant.com/resources/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign 

[15] JPCERT/CC, "LinuxWindowsを狙うマルウエアWellMess(2018-06-28)", https://blogs.jpcert.or.jp/ja/2018/06/wellmess.html 

[16] Proofpoint, “The Good, the Bad, and the Web Bug: TA416 Increases Operational Tempo Against European Governments as Conflict in Ukraine Escalates”, https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european 

[17CrowdStrike, “Meet CrowdStrike’s Adversary of the Month for June: MUSTANG PANDA”, https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-june-mustang-panda/ 

[18] Cisco, “Mustang Panda deploys a new wave of malware targeting Europe”, https://blog.talosintelligence.com/2022/05/mustang-panda-targets-europe.html