ブログ(脅威調査)

イランの脅威グループ、スピア・フィッシング・キャンペーンの戦術・技術・手順(TTP)を更新

概要

2018年1月から3月にかけてファイア・アイは、Dynamic Threat Intelligenceを通じ、最新のコード実行/持続技術を悪用し、アジアと中東の個人にマクロベースの悪意あるドキュメントを配布した攻撃グループを観察しました。

ファイア・アイはこの活動は、イランと結びつきのある攻撃グループで、少なくとも2017年5月から活動中の「TEMP.Zagros」(Palo Alto Networks社とTrend Micro社は「MuddyWater」として報告)によるものと考えます。「TEMP.Zagros」は、中央・南西アジアの政府・防衛組織に対するスピア・フィッシング活動に従事しています。ほとんどの場合、スピア・フィッシング・メールと、添付として送られる悪意あるマクロドキュメントは地政学的な内容で、開封してしまうと、「POWERSTATS」という名のバックドアがインストールされてしまいます。

これらファイルの分析過程で観察された興味深い点として、最新のAppLockerバイパスの再利用と、間接的なコード実行目的の水平展開技術が挙げられます。システム上でコードを実行させるため、水平展開技術のIPアドレスは、ローカル端末のIPに置き換えられていました。

タイムライン

本キャンペーンでは、脅威グループの標的の変化に伴い、その戦術・技術・手順(TTP)も約1カ月の期間を経て変化しています。タイムラインの概要については図1をご覧ください。


図1:最近観察されたスピア・フィッシング・キャンペーンのタイムライン

キャンペーンの第1段階(2018年1月23日~2月26日)では、マクロベースのドキュメントによって、VBSファイルとINIファイルがドロップされました。INIファイルには、Base64エンコードされたPowerShellコマンドが記載されています。このコマンドは、WScript.exeを用いて実行されるVBSファイルが生成したコマンドラインを使用し、PowerShellによってデコード、実行されます。プロセスチェーンに関しては図2をご覧ください。

図2:第1段階のプロセスチェーン

実際のVBSスクリプトはサンプルによって変化し、難読化のレベルやプロセスツリーの次段階を呼び出す方法も異なります。しかし、PowerShellを呼び出し、マクロによって先にドロップされたINIファイル内のBase64エンコードされたPowerShellコマンドをデコードし、これを実行するという最終目的は変わりません。

図3:MSHTA経由でPowerShellを呼び出すVBSのサンプル

キャンペーンの第2段階(2018年2月27日~3月5日)では、PowerShellのコード実行用にVBSを用いない、マクロの新たな亜種が使用されました。VBSを使用しない代わりに、INFファイルとSCTファイルを悪用するという、最近明らかになったコード実行技術が用いられていました。

感染ベクトル

今回のキャンペーンに関わるすべての攻撃は、電子メールの添付ファイルとして送られたマクロベースのドキュメントであると思われます。ファイア・アイが取得したメールの1つは、トルコのユーザーを標的としたものでした(図4をご参照ください)。

図4:マクロベースのドキュメントを添付したスピア・フィッシング・メールのサンプル

ファイア・アイが観察した、悪意あるMicrosoft Officeの添付ファイルは、トルコ、パキスタン、タジキスタン、インドの4カ国の個人を標的とし、特別に作成されたものと思われます。下記のサンプルをご参照ください。

図5:パキスタン国民議会からと称するドキュメント

図6:トルコ軍からと称するドキュメント(内容はトルコ語で記載されてします)


図7:銀行技術開発研究所(インド準備銀行が設立)からと称するドキュメント

図8:タジキスタン内務省からと称する、タジク語で記載されたドキュメント

上記のマクロベースのドキュメントには、コードの実行、持続性、コマンド&コントロール(C2)サーバーとの通信において、いずれも同様の技術が用いられていました。

本件に関するより技術的な詳細については、関連ブログ(英語)をご参照ください。