ブログ(脅威調査)

オペレーションDeputyDog: 日本をターゲットとした、 ゼロデイ (CVE-2013-3893) 標的型攻撃について

本コンテンツは、2013年9月21日(米国時間)にFireEye, Inc.のブログにて公開された内容を翻訳した物です。 本内容は予告なく更新されている可能性があることをご了承ください。

先日公表されたゼロデイ(CVE-2013-3893)を悪用したキャンペーンが、FireEyeによって確認されました。FireEyeは、これを「オペレーションDeputy Dog」と名付けましたが、このキャンペーンは早ければ2013年8月19日に開始されており日本の組織を標的にしていたものと見られます。FireEyeラボは、このキャンペーンに関与する脅威アクターの動きに対して継続的な監視を続けています。弊社のDynamic Threat Intelligence clusterの分析によると、現在このキャンペーンは、Bit9への攻撃で使用されたインフラストラクチャに関連したC&Cインフラストラクチャを利用していることが分かります。

キャンペーン詳細
2013年9月17日、Microsoft社は標的型攻撃に使用されていたIEの新たなゼロデイ・エクスプロイトに関する詳細を公表しました。 FireEyeでは、これらの攻撃が日本のエンティティに向けられていたというレポートを裏付けることができます。さらに、FireEyeは、この新たなオペレーションに関与するグループは2013年2月にBit9のセキュリティを侵害したものと同じ脅威アクターであることを突き止めました。

 FireEyeは、2013年8月23日の日本におけるこの攻撃に使用されたペイロードを検知しました。そのペイロードは香港にあるサーバー(210.176.3.130)にホスティングされており、ネームは“img20130823.jpg”でしたが、jpgファイル拡張子が付いているにもかかわらず、イメージファイルではありませんでした。

そのファイルは、0×95とXORをとった時に実行可能となりました(MD5: 8aba4b5184072f2a50cbc5ecfe326701)。

 実行にあたり、 8aba4b5184072f2a50cbc5ecfe326701 は、“28542CC0.dll” (MD5: 46fd936bada07819f61ec3790cb08e19) を以下のロケーションに書き込みます。

C:\Documents and Settings\All Users\Application Data\28542CC0.dll

 パーシステンスを維持するために、オリジナル・マルウェアは以下のレジストリキーを追加します。

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\28542CC0

 レジストリキーは以下の値となります。

 rundll32.exe “C:\Documents and Settings\All Users\Application Data\28542CC0.dll”,Launch

 そのマルウェア (8aba4b5184072f2a50cbc5ecfe326701) は、その後韓国のホスト(180.150.228.102) に接続します。 このコールバックトラフィックは,ポート443のHTTPです(ポート443は、通常HTTPS暗号化トラフィックに使用されますが、このトラフィックはHTTPSでもSSL暗号化されたものでもありません)。 むしろ、このクリアテキストコールバックトラフィックは、以下のパターンに類似しています。

 POST /info.asp HTTP/1.1

Content-Type: application/x-www-form-urlencoded

Agtid: [8 chars]08x

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)

Host: 180.150.228.102:443

Content-Length: 1045
Connection: Keep-Alive

Cache-Control: no-cache

 [8 chars]08x&[Base64 Content]

 ユニークHTTP ヘッダー“Agtid:”は 8文字を含み、後に“08x”が続きます。 同様のパターンがPOSTコンテンツにおいても見られます。

 次の関連サンプルも2013年9月5日に、111.118.21.105/css/sun.css から配信されました。sun.css ファイルはbd07926c72739bb7121cec8a2863ad87 のMD5を使う不正実行可能ファイルであり、上述された同じ通信プロトコルを用いて、同じC&Cサーバー(180.150.228.102)への通信を行いました。

 関連サンプル

2つのドロッパー、bd07926c72739bb7121cec8a2863ad87 および 8aba4b5184072f2a50cbc5ecfe326701は両方とも、協定世界時2013年8月19日13:21:59 にコンパイルされたことが分かりました。これらのファイルの精査を行った際、私たちはユニークなフィンガー・プリントに注目しました。

この両方のサンプルに、バイナリの作成に使用されたビルダーのアーティファクトであった可能性がある文字列がありました。この文字列は“DGGYDSYRL”、すなわち、FireEyeが “DeputyDog”と呼んでいるものです。このユニークな属性に基づいて、FireEyeは以下のYARAシグネチャを開発しました。

 rule APT_DeputyDog_Strings

{

meta:

author = “FireEye Labs”

version = “1.0″

description = “detects string seen in samples used in 2013-3893 0day attacks”

reference = “8aba4b5184072f2a50cbc5ecfe326701″

strings:

$mz = {4d 5a}

$a = “DGGYDSYRL”

condition:

($mz at 0) and $a

}

FireEyeは、このシグネチャを潜在的に関連のある他の5サンプルを識別するために使用しました。

 

MD5

 

 

コンパイル時刻 (UTC)

 

 

C2 サーバー

 

 

58dc05118ef8b11dcb5f5c596ab772fd

 

 

2013-08-19 13:21:58

 

 

180.150.228.102

 

 

4d257e569539973ab0bbafee8fb87582

 

 

2013-08-19 13:21:58

 

 

103.17.117.90

 

 

dbdb1032d7bb4757d6011fb1d077856c

 

 

2013-08-19 13:21:59

 

 

110.45.158.5

 

 

645e29b7c6319295ae8b13ce8575dc1d

 

 

2013-08-19 13:21:59

 

 

103.17.117.90

 

 

e9c73997694a897d3c6aadb26ed34797

 

 

2013-04-13 13:42:45

 

 

110.45.158.5

 

e9c73997694a897d3c6aadb26ed34797以外のすべてのサンプルが、2013年8月19日の互いに前後1秒以内にコンパイルされていることに注目してください。

 これらサンプルにより使用されたC&C IPアドレスをピボットオフすると、以下の既知の不正ドメイン、180.150.228.102.を示していたものを発見しました。

 

ドメイン

 

 

初観測

 

 

直近の観測

 

 

ea.blankchair.com

 

 

2013-09-01 05:02:22

 

 

2013-09-01 08:25:22

 

 

rt.blankchair.com

 

 

2013-09-01 05:02:21

 

 

2013-09-01 08:25:24

 

 

ali.blankchair.com

 

 

2013-09-01 05:02:20

 

 

2013-09-01 08:25:22

 

 

dll.freshdns.org

 

 

2013-07-01 10:48:56

 

 

2013-07-09 05:00:03

 

前回のキャンペーンへのリンク

Bit9によると、 Bit9のネットワークに侵入した攻撃者はHiKit rootkitの亜種を2つドロップしました。

これらのHitkitサンプルは66.153.86.14へとリゾルブしたdownloadmp3server[.]servemp3[.]com にてC&Cサーバーに接続しました。また、これと同じIPアドレスが、既知の不正ドメインであるwww[.]yahooeast[.]netに、2012年3月6日から2012年4月22日の間ホスティングしていました。

ドメイン yahooeast[.]netは654@123.comに登録されていました。このEメールアドレスは、blankchair[.]comを登録するためにも使用されました。 blankchair[.]com は180.150.228.102 IPを示していると分かっているドメインで、サンプル58dc05118ef8b11dcb5f5c596ab772fdに関連したコールバックであり、既にCVE-2013-3893ゼロデイ脆弱性を悪用した攻撃に相互関連付けられています。

脅威アクターのアトリビューション

Threat Attribution

結論

当該攻撃者が、上述の技術により未知のゼロデイ・エクスプロイト、および強固な不正ペイロードを実行した一方で、ネットワーク防衛の専門家がその攻撃を検知するために使用できる豊富なインジケーターを開発することは、なお可能です。 これはFireEyeによる分析の最初の一部です。今後のブログ投稿で他のコンポーネントにおけるより詳細な分析を提供する予定です。

このエントリーはNed MoranNart Villeneuveにより、FireEyeのブログカテゴリー、

-       高度なマルウェア(http://www.fireeye.com/blog/category/technical/malware-research

-       エクスプロイト(http://www.fireeye.com/blog/category/technical/cyber-exploits)、

-       標的型攻撃(http://www.fireeye.com/blog/category/technical/targeted-attack)、

-       テクニカル(http://www.fireeye.com/blog/category/technical)、

-       脅威インテリジェンス(http://www.fireeye.com/blog/category/technical/threat-intelligence

に投稿されました。

Operation Deputydog Part 2 (cve-2013-3893)