ブログ(脅威調査)

オペレーションSnowMan:「DeputyDog」の実行者、今度は米退役軍人会の Webサイトを悪用利用したサイバー攻撃を実行

本コンテンツは、2014年2月13日(米国時間)にFireEye, Inc.のブログにて公開された内容の翻訳です。  本内容は予告なく更新されている可能性があることをご了承ください。

FireEyeは2014年2月11日,CVE-2014-0322の脆弱性を悪用するゼロデイ・エクスプロイトが米退役軍人会(VFW)のWebサイト(vfw[.]org)経由で配布されていることを確認しました。「大統領の日」の祝日を前に、米国会議事堂周辺を猛吹雪が吹き荒れる中で発見されたこの攻撃は、米軍関係者を狙った攻撃であると考えられます。また使用されているインフラストラクチャに共通点があり、手口にも類似性が見られることから、この攻撃の実行者は、「オペレーションDeputyDog」および「オペレーションEphemeral Hydra」と呼ばれる2つの攻撃にも関与しているものと推測されます。

この記事では、「オペレーションSnowMan」と名付けられたこの攻撃の内容と悪用されている脆弱性について解説します。

エクスプロイトとその配布方法の解析
VFWのWebサイトに侵入した攻撃者は、WebページのHTMLコードの冒頭にiframeを追加し、攻撃用のページがバックグラウンドで読み込まれるようにしています。HTMLとJavaScriptで構成されるこのページは、エクスプロイトの実行全体を制御するFlashオブジェクトを実行します。エクスプロイトには、Microsoft Internet Explorer(IE)10の脆弱性を誘発する、JavaScriptに埋め込まれたコードへのコールバックが含まれています。これによりVFWのWebサイトにアクセスしたユーザーは、iframeを介して、www.[省略].com/Data/img/img.htmlにホストされたエクスプロイトにバックグラウンドでリダイレクトされます。

回避策
このエクスプロイトは、Adobe Flashが組み込まれたIE 10を標的としています。別のバージョンのIEを使用している場合や、MicrosoftのEnhanced Mitigation Experience Toolkit(EMET)をインストールしている場合、攻撃は機能しません。そのため攻撃の回避策として、EMETのインストールまたはIE 11へのアップデートが推奨されます。

脆弱性の解析
この攻撃で悪用されているのは、IE 10に存在する「解放済みメモリ使用(use-after-free)」の脆弱性です。攻撃発生時点では未知の存在だったこの脆弱性を使用すると、任意のアドレスのメモリ1バイトを改変することができます。攻撃者はこの脆弱性を悪用して以下を行います。

  •   ASLR(Address Space Layout Randomization)を回避して、Flash ActionScriptのメモリにアクセスする
  •  ROP(Return-Oriented Programming)を利用したエクスプロイトで、DEP(Data Execution Prevention)を回避する

EMETの有無の確認
エクスプロイト・コードは、ActiveXコントロールのMicrosoft.XMLDOMを使用して、EMET DLLへのパスを含む1行のXML文字列を読み込みます。続いて、XML文字列の読み込み命令で発生したエラーを解析し、読み込みに失敗した原因がEMET DLLの不存在であるかどうかを確認します。エクスプロイトは、ここでEMET DLLが存在しないことを確認できた場合にのみ、次の処理に移ります。

ASLRの回避
攻撃者は、メモリを任意のアドレスに改変できるこの脆弱性を利用して、ASLRを回避しようとします。たとえば、Flash Vectorオブジェクトを改ざんし、Flash内部からそのオブジェクトにアクセスすることで、メモリにアクセスしようとする場合があります。この方法を含むASLR回避手法の詳細については、こちらのブログ記事をご覧ください。過去の攻撃で使用されていた方法と今回の攻撃で使用されている方法には、ヒープ・スプレーのアドレスが0x1a1b2000に変更されているという差があります。

コードの実行
改ざんしたFlash Vectorオブジェクト経由でメモリへの完全なアクセス権を取得したコードは、マシン・コードを使用して、読み込まれたライブラリ内でガジェットを検索します。そして、メモリ上に置かれたflash.Media.Sound()オブジェクトのvftableポインタを上書きしてピボットを指すように変更した後、ROPを開始します。脆弱性の悪用に成功した場合、コードは、改ざんしたFlash Vectorオブジェクトとflash.Media.Sound()オブジェクトを元に戻して実行を続けます。

シェルコードの解析
不正なFlashコードは次に、ドロップされたマルウェア・ペイロードが書き込まれたファイルをダウンロードします。このファイルは、冒頭がJPG画像、末尾(オフセット36321)がペイロードという構造になっており、ペイロード部分は「0×95」をキーにしてXORエンコードされています。マルウェアは、コード制御に移る前にこのペイロードをシェルコードの末尾に付加します。そしてシェルコードの実行時に、「sqlrenew.txt」と「stream.exe」という2つのファイルを作成し、画像ファイルの末尾部分をデコードしたものを両ファイルに書き込んだ後、Windows APIのLoadLibraryAを呼び出してsqlrenew.txtを実行します。

ZxShellペイロードの解析
前述のように、このエクスプロイトは、「0×95」をキーにしてXORエンコードされたペイロードをドロップします。そしてこのペイロードが、バックドアであるZxShell(MD5: 8455bbb9a210ce603a1b646b0d951bce)を実行します。ペイロードのコンパイル日は2014年2月11日、エクスプロイト・コードの最終更新日も2014年2月11日です。この日付が示唆するのは、エクスプロイトはつい最近インスタンス化されたものであり、VFWのウェブサイトを悪用するこの攻撃のために用意されたものであるということです。VFWのWebサイトには、退役軍人だけでなく現役の軍人もアクセスすることから、この攻撃の目的は、軍関係者を標的にして軍事機密を盗み出すことにあると考えられます。米国の祝日である2月17日、猛吹雪のため米国会議事堂の大半が閉鎖された2月13日の直前にこの攻撃が行われたことは、おそらく偶然ではないのでしょう。

バックドア・ツールのZxShellは一般公開されているため容易に入手でき、サイバー・スパイ活動に関与していると推測される複数の攻撃者も使用しています。この攻撃で使用されているZxShellは、newss[.]effers[.]comにホストされている指令(C&C)サーバーにコールバックしていました。このドメイン名は、本稿執筆時点では118.99.60.142に解決されます。またinfo[.]flnet[.]orgというドメインも、2014年2月12日時点で同じIPアドレスに解決されていました。

インフラストラクチャの解析

info[.]flnet[.]orgと、icybin[.]flnet[.]orgおよびbook[.]flnet[.]orgには、以下のIPアドレスに解決されていた時期があるという共通点があります。

58.64.200.178

58.64.200.179

103.20.192.4

2_18_1

FireEyeが以前に解析したGh0stRatのサンプルは、「HTTPS」というカスタム・パケット・フラグを使用し、book[.]flnet[.]orgおよびicybin[.]flnet[.]orgにコールバックしていました。またオペレーションDeputyDogの実行者も、「HTTPS」版のGh0stを使用していました。さらに、別の「HTTPS」版Gh0stが、me[.]scieron[.]comにホストされたC&Cサーバーに接続していたことも確認されています。

2_18_2

me[.]scieron[.]comは以前、58.64.199.22に解決されていました。book[.]flnet[.]orgは、同じサブネット58.64.199.0/24に属する別のIPアドレス58.64.199.27に解決されていました。

さらにこのほかにも、dll[.]freshdns[.]org、ali[.]blankchair[.]com、cht[.]blankchair[.]comというドメインが同じ/24サブネットに解決されています。dll[.]freshdns[.]orgは58.64.199.25に、ali[.]blankchair[.]comとcht[.]blankchair[.]comは58.64.199.22に解決されていました。

2_18_3

上記以外にも、多くのドメインがこれらのIPアドレスまたは同じ/24サブネットに属するIPアドレスに解決されていましたが、ここでは、以前の記事で紹介したオペレーションDeputyDogとオペレーションEphemeral Hydraに関係するドメインとIPアドレスだけを取り上げています。

ご記憶の方もいらっしゃると思いますが、dll[.]freshdns[.]org、ali[.]blankchair[.]com、そしてcht[.]blankchair[.]comは、いずれもオペレーションDeputyDogオペレーションEphemeral Hydraの両方で使用されていました。図1は、今回のオペレーションSnowManと、オペレーションDeputyDog、オペレーションEphemeral Hydraで使用されていたインフラストラクチャの共通点と関係性を示しています。

図1:  オペレーションSnowMan、DeputyDog、Ephemeral Hydraの関係性

DeputyDogおよびEphemeral Hydraとの手口の類似性
オペレーションSnowMan、オペレーションDeputyDog、オペレーションEphemeral Hydraで使用されていた手口には、以下のような類似性がありました。

  •  ゼロデイ・エクスプロイトを使用して、トロイの木馬型のリモート・アクセス・ツール(RAT)をインストールさせる
  •  RATをインストールさせる手段として、特定のユーザー層がアクセスするWebサイトを利用している
  •  0×95をキーとする、単純なシングルバイトのXORでエンコードされたペイロード(拡張子.jpgで偽装)を使用している
  • 「HTTPS」パケット・フラグを使うGh0stRatを使用している
  •   関連性のあるC&Cインフラストラクチャを同じような時期に使用している

また脆弱性の悪用方法にも多くの類似点が見られます。分かりやすいところでは、今回の攻撃とCVE-2013-3163に対する攻撃はどちらも、Flashファイルを使用してエクスプロイトの実行を制御し、IEのJavaScriptにコールバックして脆弱性を誘発させています。また、Flashファイルに埋め込まれたコードも非常によく似ています。たとえば、ROPチェーンとシェルコードを同じ方法で作成する、Flash Vectorオブジェクトを改ざんする、共通の関数を複数使用する(誤字も共通)、名前が同じといった類似点があります。

まとめ
各オペレーションが標的にしている組織の業種は、以下に示すように多岐にわたっています。

  •   米国の官公庁
  •   日本企業
  •   防衛産業(DIB)企業
  •   法律事務所
  •   情報技術(IT)企業
  •   採鉱会社
  •   非政府組織(NGO)

一連のオペレーションで実証されているように、これらの攻撃の実行者は、ゼロデイ・エクスプロイトを利用して、独自開発や既製のRATを特定の標的にインストールさせるという高度なスキルを持っています。このことから、同じ攻撃者による活動は今後も中長期的に続くものと予想されます。