ロシアの「APT29」の関与が疑われるフィッシング・キャンペーンの検証

はじめに

ファイア・アイでは、複数の業界における顧客企業20社以上に展開された、新たな標的型フィッシング活動を検知しました。

  • ファイア・アイのデバイスは、シンクタンク、警察、メディア、米軍、映像、交通、製薬、政府、防衛請負など、複数の業界を標的とした侵入の試みを検知しました。
  • これらの試みでは、米国務省を装うフィッシングメールが使用されていました。メールに記載されていたリンク先のzipファイルには、悪意あるWindowsショートカットが格納されており、Cobalt Strike Beaconが配布される仕組みでした。
  • 技術的痕跡、TTP(戦術、技術、手順)、標的対象の共通点から、過去「APT29」が関わったと疑われる活動との関係性が確認されています
  • APT29は、最初の不正アクセスから数時間以内で、フィッシングサイトを消し去ることで知られています。

攻撃者はフィッシングメールを送信するため、まず病院のEメールサーバーやコンサルティング企業のWebサイトに不正アクセスを行い、そのインフラを活用したと思われます。フィッシングメールは、セキュアな通信を使って米国務省の広報担当官から送信されたかのように装っていました。また、別の広報担当官の個人用ドライブであるかのようなページ上にホストされていたほか、国務省の正規の申請書をおとり文書として使用していました。この文書は、公開情報によって取得できたもので、今回のキャンペーンに国務省のネットワークが関与していた痕跡はありません。各フィッシングメールで攻撃者はそれぞれ異なるリンクを使用しました。ファイア・アイが観察したリンクは、武装化されたWindowsショートカットファイルを格納したZIPアーカイブをダウンロードするために使用され、正規のネットワーク・トラフィックと混合させるため、カスタマイズした無害のおとり文書とCobalt Strike Beaconバックドアの両方を起動します。

フィッシングメールとネットワーク・インフラに投資されたリソース、武装化されたショートカットファイルのペイロードから得られたメタデータ、標的となった企業や被害を受けた特定個人など、今回のキャンペーンの複数要素は2016年11月に最後に観察されたAPT29のフィッシング・キャンペーンと直接関係しています。本ブログでは、こうした技術的な痕跡の断片と、推測される攻撃者の動機について調査していきます。

アトリビューション(帰属性)分析における課題

ファイア・アイによるアトリビューション(帰属性)分析は、多くの場合不正アクセスを受けた企業で、攻撃の詳細や不正アクセス後の活動についてインシデント調査を行うMandiantコンサルティング・チームによってもたらされます。ファイア・アイでは、今回の活動を現在も分析中です。

今回のフィッシング・キャンペーン(2018年11月14日)と、APT29の関与が疑われるフィッシング・キャンペーン(2016年11月9日)はいずれも、米国の選挙の直後に発生しており、双方の間には複数の類似性と技術的な重複が見られます。今回のキャンペーンには、クリエイティブな新要素が加わっていると同時に、同一のシステムを用いてWindowsのショートカット(LNK)ファイルを武装化するなど、旧来のTTP(戦術、技術、手順)を慎重に再利用しているように思われます。APT29は高度な攻撃グループですあり、彼らにも絶対間違いがないわけではありませんが、ロシアの諜報機関が行ってきた偽装工作の歴史を考えると、一見あからさまに見える失敗には、注意が必要です。また、ファイア・アイがAPT29の活動を最後に観測してから1年以上が経過しています。これほど長い沈黙を経た、アクティビティのタイミングと類似性については疑問が残ります。

今回のキャンペーンと2016年のキャンペーンの注目すべき類似点としては、Windowsショートカットのメタデータ、標的となる企業と特定個人、フィッシングメールの構成、不正アクセスを受けたインフラストラクチャの使用が挙げられます。その一方で、前回はカスタム・マルウェアを使っていたのに対し、今回はCobalt Strikeを使用しているのは注目すべき差異点です。しかし、諜報グループの多くは、自身らの関与を否定するためのもっともらしい口実として、市販されていたり一般公開されているようなフレームワークを使用することがあります。

今回のフィッシング・キャンペーンでは、マルウェアをホスティングするサイトが、選択的にペイロードを提供していたことの裏付けがありました。例えば、不正確なHTTPヘッダーを使用するリクエストによって提供されたZIPアーカイブには、公に入手可能で無害な国務省の申請書のみが格納されていたとの報告があります。リンクの訪問状況に応じて、脅威グループが別のペイロードを追加で提供していた可能性も考えられますが、ファイア・アイは、無害なファイルとCobalt Strikeの2つ以外は観察していません。

本件については、下記「活動概要」で詳述します。キャンペーンの分析は現在も進行中で、コミュニティからのさらなる情報を受け付けています。

活動概要

脅威グループは、公文書を共有する米国務省の広報担当官になりすまし、フィッシグメールを作成しました。リンク先のZIPアーカイブには、おそらく不正アクセスを受けた正規ドメインjmj[.].com.にホストされる形で、武装化されたWindowsショートカットファイルが格納されていました。このショートカットファイルは、ショートカットファイルからの追加コードの読み取り、復号、実行を行うPowerShellコマンドの実行用に作成されたものです。

ショートカットファイルを実行すると、公に入手可能で無害な米国務省の申請書とCobalt Strike Beaconをドロップしました。Cobalt Strikeは、侵入後の悪用を可能にする市販フレームワークです。BEACONペイロードは、公開されている「Pandora」Malleable C2 Profileの修正版によって構成されており、音楽配信サービス「Pandora」のなりすましと思われる、コマンド&コントロール(C2)ドメインのpandorasong[.]comを使用していました。こうしたC2プロファイルのカスタム化は、デフォルト設定で利用されている回復力の比較的低いネットワーク検知方法を狙うためだと思われます。ショートカットのメタデータからは、2016年11月のキャンペーンで使用されたショートカットと同一の、または酷似したシステム上で開発されたことが示唆されます。おとり文書の内容を、図1に示します。

<図1:おとり文書の内容>

過去の活動との類似性

今回の活動におけるTTPと標的は、APT29の関与が疑われる前回の活動と重複しています。最近のスピアフィッシング・キャンペーンで使用された悪意あるLNKの「ds7002.lnk」(MD5:6ed0020b0851fb71d5b0076f4ee95f3c)は、APT29の関与が疑われる2016年11月のLNKとして、Volexity社が公に報告した「37486-the-shocking-truth-about-election-rigging-in-america.rtf.lnk」(MD5:f713d5df826c6051e65f995e57d6817d)と技術的に重複しています。2018年と2016年のLNKファイルは、その構造とコードが類似しており、LNK作成元システムのMACアドレスなど、メタデータに大幅な重複が見受けられます。

上記に加えて、これらLNKファイルの配布を担当するフィッシング・キャンペーンの標的対象や利用された戦術にも重複が観察されました。今回のEメール・キャンペーンの受信者の一部は、前回の活動でも標的となっており、さらに、APT29はこれまでのキャンペーンにおいて大量のEメールを悪用してきました。

今後の見通しと影響

本件の分析は現在も進行中ですが、APT29の帰属性が確かなものとなれば、この高度なグループの、ここ1年間において初めて検出された活動になります。標的対象が広範囲である点を考えると、以前にAPT29の標的となった組織は、この活動に注意を払う必要があります。ネットワークセキュリティの担当者は、この活動がAPT29によるものなのかを考えるより前に、侵害の有無について全面的な調査を適切に行う必要があります。とらえどころがなく、人の目を欺くAPT29が、システムへのアクセス権を実際に取得していれば、これは極めて重大な事態です。

本ブログは、米FireEyeが公開した「Not So Cozy: An Uncomfortable Examination of a Suspected APT29 Phishing Campaign」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。

https://www.fireeye.com/blog/threat-research/2018/11/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign.html