Mandiant Threat Intelligenceは、少なくとも2020年1月から4月にかけて、ベトナムの攻撃グループと疑われるAPT32が新型コロナウイルス感染症(COVID-19)危機に関するインテリジェンスを収集する目的で、中国を標的に侵入キャンペーンを実施したと考えています。攻撃グループによって、スピア・フィッシングのメッセージが、中国の応急管理部(Ministry of Emergency Management)と武漢(COVID-19が最初に確認された地域)州政府に送信されました。東アジアを標的にすることは、FireEyeが報告済みのAPT32に関する活動と一致していますが、このインシデントや他の公開済みの侵入レポートは、危機に関連するサイバー・スパイ活動の世界的な増加の一環であり、明らかに国家が解決策や非公開情報を求めて実施しています。
中国政府を標的とした追跡リンク付きフィッシングメール
この活動の最初のインスタンスは、2020年1月6日でした。APT32は、発信元が[email protected][.]comで、件名が第一結果办公设备招标结果报告(意味:事務機器入札の第1四半結果実績報告)である、追跡リンクが組み込まれた電子メールを中国応急管理部に送信しました(図1)。埋め込まれたリンクには、被害者のEメールアドレスと、Eメールが開かれた場合に攻撃グループに報告するためのコードが含まれていました。
図1:中国応急管理部へのフィッシングメール
Mandiant Threat Intelligenceは、追加の追跡URLを発見しました。そこで、中国の武漢政府の標的と、応急管理部に関連するEメール・アカウントが明らかになりました。
- libjs.inquirerjs[.]com/script/<VICTIM>@wuhan.gov.cn.png
- libjs.inquirerjs[.]com/script/<VICTIM>@chinasafety.gov.cn.png
- m.topiccore[.]com/script/<VICTIM>@chinasafety.gov.cn.png
- m.topiccore[.]com/script/<VICTIM>@wuhan.gov.cn.png
- libjs.inquirerjs[.]com/script/<VICTIM>@126.com.png
今回のキャンペーンで使われているlibjs.inquirerjs[.]comドメインは、2019年12月の南東アジア諸国を対象としたMETALJACK(APT32グループのバックドア)フィッシング・キャンペーンの際にも、コマンドアンドコントロール(C&C)ドメインとして使用されていました。
追加のMETALJACK活動は、キャンペーンの標的がCOVID-19に関心のある中国語を話す人々であることを示す
APT32は、中国語を話す人々を標的に、COVID-19をテーマとした不正な添付ファイルを使用している可能性があります。FireEyeでは完全な実行チェーンがわかっていませんが、ペイロードの起動中にCOVID‐19という表題の中国語のおとり文書を表示するMETALJACKローダーを発見しました。
METALJACKローダー、krpt.dll(MD5:d739f10933c11bd6db9677f91893986c)がロードされると、エクスポート「_force_link_krpt」が呼び出されるようです。ローダーは、埋め込まれたリソースの1つであるCOVIDテーマのRTFファイルを実行し、被害者に内容を表示して、文書を%TEMP%に保存します。
冠状病毒实时更新:中国正在追踪来自湖北的旅行者、 MD5:c5b98b77810c5619d20b71791b820529(意味:COVID-19ライブアップデート:中国は現在、湖北省からの全ての旅行者を追跡しています)という表題のおとり文書(図2)は、被害者にニューヨークタイムズの記事のコピーを表示します。
図2:COVIDテーマのおとり文書
マルウェアは、METALJACKペイロードを含む追加のリソース、MD5:a4808a329b071a1a37b8d03b1305b0cbのシェルコードもロードします。シェルコードは、システム調査を実行して被害者のコンピュータ名とユーザー名を収集し、libjs.inquirerjs[.]comを使用してこれらの値をURL文字列に追加します。次に、URLへの呼び出しを試みます。コールアウトが成功すると、マルウェアはMETALJACKペイロードをメモリにロードします。
次に、C&Cドメインにvitlescaux[.]comを使用します。
今後の展望
COVID-19の危機は、政府にとって極めて強い実存的な関心事をもたらし、現在の不信という雰囲気は不確実性を増大させ、武力紛争に対抗する規模でインテリジェンス収集を促進しています。ロイターの報告書に見られるように、国、州、地方自治体、非政府機関、国際機関が標的になりつつあります。また、FBI次官補による公式声明によれば、医療研究も対象となっています。FireEyeでは、関連するサイバー・スパイ活動はこの危機が終わるまで世界的に拡大し続けると予想しています
インジケーター
Type |
Indicators |
Domains |
m.topiccore[.]com jcdn.jsoid[.]com libjs.inquirerjs[.]com vitlescaux[.]com |
Email Address |
[email protected][.]com |
Files |
MD5: d739f10933c11bd6bd9677f91893986c METALJACK loader MD5: a4808a329b071a1a37b8d03b1305b0cb METALJACK Payload MD5: c5b98b77810c5619d20b71791b820529 Decoy Document (Not Malicious) |
検出した手法
Platform |
Signature Name |
Endpoint Security |
Generic.mg.d739f10933c11bd6 |
Network Security |
Trojan.Apost.FEC2, Trojan.Apost.FEC3, fe_ml_heuristic |
Email Security |
Trojan.Apost.FEC2, Trojan.Apost.FEC3, fe_ml_heuristic |
Mandiant Security Validation Actions
- A150-096 - Malicious File Transfer - APT32, METALJACK, Download
- A150-119 - Protected Theater - APT32, METALJACK Execution
- A150-104 - Phishing Email - Malicious Attachment, APT32, Contact Information Lure
MITRE ATT&CK Technique マッピング
Tactic |
Techniques |
Initial Access |
Spearphishing Attachment (T1193), Spearphising Link (T1192) |
Execution |
Regsvr32 (T1117), User Execution (T1204) |
Defense Evasion |
Regsvr32 (T1117) |
Command and Control |
Standard Cryptographic Protocol (T1032), Custom Command and Control Protocol (T1094) |
本ブログは、米FireEyeが公開した April 22, 2020「Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage」(英語)の日本語抄訳版です。
日本語版:Reviewed by Toru Tanimura