ブログ(脅威調査)

オペレーションGreedyWonk: Flashのゼロデイ脆弱性を悪用した攻撃 複数の経済および政策サイトが被害を受ける

本コンテンツは、2014年2月20日(米国時間)にFireEye, Inc.のブログにて公開された内容の翻訳です。 本内容は予告なく更新されている可能性があることをご了承ください。

Operation SnowManの発見から1週間を経ずして、FireEye Dynamic Threat Intelligenceクラウドは新たな標的型攻撃キャンペーンを発見しました。今回はFlashのゼロデイ脆弱性を悪用したものです。ファイア・アイはこの件に関して、アドビのセキュリティチームと協力しています。アドビはこの脆弱性に対してCVEコード「CVE-2014-0502」を割り当てたうえで、セキュリティ情報を公開しました。

このブログ投稿の時点において、国家安全保障と公共政策に関わる2つの機関を含め、少なくとも3つの非営利機関への訪問者は、ゼロデイ攻撃のホストとなっている攻撃用サーバにリダイレクトされました。ファイア・アイはこの攻撃を「Operation GreedyWonk」と呼んでいます。

GreedyWonkに用いられたさまざまな痕跡(特にこの戦略的ウェブ攻撃のターゲットとして選ばれたサイト)の共通性、攻撃のインフラストラクチャ、およびマルウェアのプロパティ設定に基づき、この攻撃はShadowServerによりその概要が記載された2012年5月の攻撃に関連している可能性があるとファイア・アイは考えています。

このキャンペーンの背後にいるグループは、外国および公共政策ウェブサイトへの訪問者に感染を引き起こすだけのリソース(たとえばゼロデイ攻撃へのアクセス)と決意を備えているように思われます。この攻撃を行った者は、これらのサイトへの訪問者を感染させることにより、防衛や公共政策関連の情報を含むデータを後に盗み出すことを意図したと思われます。

発見の経緯
2月13日にファイア・アイは最新バージョンのFlash Player(12.0.0.4と11.7.700.261)を対象とする、Adobe Flashへのゼロデイ攻撃を発見しました。Peter G. Peterson Institute for International Economics(www.piie[.]com)への訪問者は、隠されたインラインフレームを通じ、このFlashゼロデイ攻撃のホストとなっている攻撃用サーバにリダイレクトされました。

これに続き、ファイア・アイはAmerican Research Center in Egypt(www.arce[.]org)とSmith Richardson Foundation(www.srf[.]org)でも攻撃サーバへのリダイレクトが行われていることを発見しました。これらの機関はいずれも非営利団体であり、Peterson InstituteとSmith Richardson Foundationは国家安全保障と公共政策に関する課題に関わっています。

影響軽減の手段
WindowsのAddress Space Layout Randomization(ASLR - アドレス空間配置ランダム化)保護機能をバイパスするため、この攻撃は以下のいずれかの構成を持つコンピュータをターゲットとします:

  •  Windows XP
  •  Windows 7およびJava 1.6
  •  Windows 7および適切にアップデートされていないMicrosoft Office 2007または2010

この攻撃の影響は、Windows XPからアップグレード、およびJavaとOfficeのアップデートを行うことにより軽減できます。Java 1.6を使用している場合は最新バージョンの1.7にアップデートしてください。適切にアップデートされていないMicrosoft Office 2007または2010を使用している場合は最新バージョンのMicrosoft Officeにアップデートしてください。

これらの軽減手段はその根底にある脆弱性を修正するものではありませんが、攻撃のASLR回避策を無効にすることによって現在行われている攻撃を防止します。

脆弱性の分析
GreedyWonkはAdobe Flashのこれまで知られていなかった脆弱性をターゲットとします。この脆弱性により攻撃者はFlashオブジェクトのvftableポインタを上書きし、コード実行をリダイレクトさせることができます。

ASLRのバイパス
この攻撃は知られている唯一のASLRバイパスを使用します。このテクニックの詳細については、この件に関連したファイア・アイの以前のブログ投稿(「Non-ASLR modules」セクション)をご覧ください。

Windows XPの場合、攻撃者は英語(「en」)と中国語(「zh-cn」と「zh-tw」)を対象とし、ハードコードされたベースアドレスにより、MSVCRT(Visual Cランタイム)のROP(return-oriented programming)チェーンを構築します。

Windows 7の場合、ユーザがJava 1.6を使用している場合にはMSVCR71.dll(Visual C++ runtime)のためのハードコードされたROPチェーンを、ユーザがMicrosoft Office 2007または2010を使用している場合にはHXDS.dll(Help Data Services Module)のためのハードコードされたROPチェーンを使用します。

Java 1.6のサポートはすでに終了しており、セキュリティアップデートは行われません。MSVCR71.dllによるASLRバイパスに加え、Java 1.6には広く悪用されているコード実行時の脆弱性が多数存在します。ファイア・アイがJava 1.7へのアップグレードを強くお薦めするのはこの理由によります。

Microsoft Office HXDS.dllによるASLRバイパスについては、2013年末にパッチが作成されました。このバイパスの詳細については、マイクロソフトのSecurity Bulletin MS13-106およびそれに関するブログ投稿をご覧ください。ファイア・アイはMicrosoft Office 2007と2010を最新パッチによりアップデートすることを強くお勧めします。

シェルコードの分析
シェルコードはGIF画像としてActionScriptにダウンロードされます。ROPがWindowsのVirtualProtect機能を使ってこのシェルコードを実行可能であるとマークした後、これはInternetOpenURLAとInternetReadFile機能を使って実行ファイルをダウンロードします。次いでこの実行ファイルはCreateFileAとWriteFile機能を使ってディスクに書き込まれます。最後にWinExec機能を使ってこのファイルが実行されます。

PlugX/Kabaペイロードの分析
攻撃が成功した後、507aed81e3106da8c50efb3a045c5e2bというMD5ハッシュを持つPlugX/Kabaリモートアクセスツール(RAT)ペイロードが侵入先のエンドポイントにインストールされます。このPlugXのサンプルはファイア・アイが最初に発見した日の前日である2月12日にコンパイルされており、これが特に今回のキャンペーンを目的として展開されたものであることを示唆しています。

このPlugXペイロードは以下のcommand-and-control(C&C)ドメインにより構成されています:

  •  java.ns1[.]name
  • adservice.no-ip[.]org
  •  wmi.ns01[.]us

コールバックトラフィックのサンプルを以下に示します:

POST /D28419029043311C6F8BF9F5 HTTP/1.1

Accept: */*

HHV1: 0

HHV2: 0

HHV3: 61456

HHV4: 1

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; InfoPath.2; .NET CLR 2.0.50727; SV1)

Host: java.ns1.name

Content-Length: 0

Connection: Keep-Alive

Cache-Control: no-cache

キャンペーンの分析

java.ns1[.]nameとadservice.no-ip[.]orgは、2014年2月18日時点ではいずれも74.126.177.68として解決されていました。DNSの受動的な分析によれば、wmi.ns01.usドメインは2013年7月4日から同年7月15日までは103.246.246.103に、2014年2月17日時点では192.74.246.219として解決されていたことが判明しています。 java.ns1[.]nameも同じく2月18日時点で192.74.246.219として解決されていました。

2_24_9

さらに調査を進めたところ、同じwmi.ns01[.]usドメインに接続する、一連の古いマルウェアのサンプルが発見されました。

 2_24_2

2_24_3

wmi.ns01[.]usドメインに接続したPoison Ivyの変種は、以下のような独特なプロパティ設定を備えています。

2_24_4

上記に関連して、同じ「java7」パスワードを持ち、Adobe Flash攻撃(CVE-2012-0779)の際にドロップされたPoison Ivyのサンプル(MD5 8936c87a08ffa56d19fdb87588e35952)を発見しています。この以前のインシデントでは、やはり防衛関連を扱うCenter for Defense Informationのウェブサイト(www.cdi[.]org)への訪問者が159.54.62.92に置かれた攻撃用サーバにリダイレクトされました。

この攻撃用サーバはBrightBalls.swf(MD5 1ec5141051776ec9092db92050192758)と呼ばれるFlash攻撃のホストとなっていました。この攻撃はまたPoison Ivyの変種をドロップしています。「java7」という同じパスワードを使用していることに加え、この変種には「YFds*&^ff」と同様なパターンを使ってmutexが設定され、またwindows.ddns[.]usにあるC&Cサーバに接続していました。

受動的DNS分析を使い、windows.ddns[.]usとwmi.ns01[.]usドメインはいずれも、2012年半ばの時点において76.73.80.188に解決されていたことを発見しました。

2_24_5

同じwww.cdi.orgサイトが以前に攻撃された際には、訪問者はJava攻撃を行うtest.jar(MD5 7d810e3564c4eb95bcb3d11ce191208e)にリダイレクトされました。このjarファイルはCVE-2012-0507を攻撃し、ハッシュ(MD5 52aa791a524b61b129344f10b4712f52)を持つPoison Ivyペイロードをドロップしました。このPoison Ivyの変種はids.ns01[.]usにあるC&Cサーバに接続しました。ids.ns01[.]usドメインはまたIP 194.183.224.75上でwmi.ns01[.]usドメインとオーバーラップしています。

2_24_6

前述のPoison Ivyサンプル(MD5 fd69793bd63c44bbb22f9c4d46873252)は、Center for European Policy Studies(www.ceps[.]be)からのリダイレクトによって始まった攻撃チェーンを通じて配信されました。この場合、訪問者はwww.ceps[.]beからshop.fujifilm[.]beをホストとするJava攻撃にリダイレクトされました。

偶然とは思えないこととして、www.arce[.]org(現在のFlash攻撃にリダイレクトするサイトのひとつ)も2013年には訪問者をshop.fujifilm[.]beのJava攻撃にリダイレクトしています。

2_24_8

 

 

まとめ
この攻撃者は明らかに国家安全保障、防衛、およびその他の非営利団体による社会文化的問題を取り扱うウェブサイトを狙っています。長期にわたって継続的に攻撃を加える場合もあれば、定期的に再度攻撃を行う場合もあります。