ファイア・アイとマイクロソフト、TechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を浮き彫りに

本コンテンツは、2014年5月14日(米国時間)にFireEye, Inc.のブログにて公開された内容の翻訳です。本内容は予告なく更新されている可能性があることをご了承ください。

米国カリフォルニア州ミルピタス発
2014年後半、ファイア・アイのThreat IntelligenceチームとマイクロソフトのThreat Intelligence Centerは、中国を拠点とするAPT(Advanced Persistent Threat)グループ「APT17」がマイクロソフトの提供する技術者向けWebポータル「Microsoft TechNet」をサイバー攻撃の踏み台として活用していることを発見し、検証を開始しました。APT17は、BLACKCOFFEEと呼ばれるバックドアを2013年から使用しており、米国の政府、法律事務所、IT企業など、これまでさまざまなターゲットのネットワークに侵入している脅威グループです。

TechNet悪用の手口
Deputy Dogとしても知られるAPT17は、Microsoft TechNetフォーラムへ投稿してプロフィールページを作成することで、BLACKCOFFEEの亜種を攻撃者のC2サーバーに送りつけると思われるC2 IPアドレスをホストしました。通常、他の脅威グループはC2 IPアドレスをホストするために正規のWebサイトを使用します。しかしAPT17の場合、「エンコード済み」のC2 IPアドレスを正規のMicrosoft TechNetページに埋め込むという、情報セキュリティ業界で「デッド・ドロップ・リゾルバー(Dead Drop Resolver)」と呼ばれる手法を新たに用いています。Microsoft TechNet上でIPアドレスのエンコードを行うことで、攻撃者の真のC2サーバーの位置の特定が難しくなります。

トラフィック偽装の歴史を誇る中国のAPT17
APT17は、ファイア・アイのIntelligenceチームが観察している中国の脅威グループの1つであり、米国の政府機関、軍需産業、法律事務所、IT企業、鉱業会社、非政府機関をターゲットとしてネットワークへの侵入を行っています。彼らが使用するBLACKCOFFEEは、ファイルのアップロード/ダウンロード、リザーブシェルの作成、ファイル/プロセスのエミュレート、ファイルのリネーム/移動/削除、プロセスの終了といった機能に加え、新たなバックドアコマンドを追加することでその機能性を拡大することができます。APT17は以前、Webの検索エンジンへのクエリとしてC2通信を偽装し、悪意ある通信を通常のWebトラフィックのように見せかけるためにBLACKCOFFEEの亜種を使用したことがあります。

脅威グループの手口の変化
APT17によるBLACKCOFFEEの使用事例は、公共のWebサイトを悪用し、日常の風景に同化させるという脅威グループの手口の進化を物語っています。中国を拠点とするAPT1によるWEBC2バックドア・スイートで観察された事例のように、以前の脅威グループは、C2コマンド&コンフィギュレーションのホストに際し、侵害しやすいWebサイトへの改ざんを試みていました。それが今では、脅威グループは侵害の必要のない有名なWebサイトを使用し、C2 IPアドレスをホストしています。TechNet上のフォーラムのスレッドへの投稿や、プロフィールページの作成など、彼らは正当な目的のためだけにWebサイトを使用しています。

APT17は、C2 IPアドレスを難読化するまで進化しており、マルウェアが最終的に真のC2 IPと通信するために多層型のアプローチを展開しています。彼らが使用したのは、TechNetのコメント投稿・作成機能というマイクロソフトの正規のインフラストラクチャです。これによって、真のC2 IPアドレスによる検索・通信を通じ、マルウェアが後にデコードする予定の文字列が埋め込まれます。このような難読化のプロセスを経ることで、セキュリティ専門家の追跡を回避しています。

BLACKCOFFEEの動作の仕組み
BLACKCOFFEEの亜種には、攻撃者が作成したTechNetプロフィールのプロフィール欄のほか、プロフィールのコメントを含むフォーラムのスレッドに対するリンクが1つ以上含まれています。URLは無作為に選ばれ、マルウェアは、「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を探します。

エンコード済みIPアドレス:




BLACKCOFFEEによって変更されたTechNetフォーラムのスレッド:

マルウェアはその後、検索・デコード済みのIPアドレスと直接やり取りを行い、コマンドを受け取って、盗んだ情報を送信します。C2サーバーが発見された場合やシャットダウンされた場合、脅威グループはTechNet上のエンコード済みIPアドレスを更新することで、攻撃対象の端末のコントロールを維持します。BLACKCOFFEEはリバースシェルの作成、ファイルのアップロード/ダウンロード、ファイル/プロセスのエミュレートなど、15種類の命令セットを初期状態でサポートしています。シェルコードとして追加コマンドを送信することで、攻撃者はBLACKCOFFEEの機能を拡大することも可能です。

正規のWebサイトをオペレーションに悪用する脅威グループは、今後さらなる増加が予想される
すでに、APT17と似た手法を用いて、一部のC2アクティビティを侵害する必要のない正規のWebサイトに移している脅威グループが確認されています。同様の手口により、ある脅威グループはTwitterFacebookなどのソーシャルメディア・サイトを悪用し、マルウェアの配信と外部通信を行っています。エンコード済みのIPアドレスをプレーンテキスト内で表示せずに埋め込むというAPT17の戦術は、検知を遅らせ、実際のC2 IPアドレスの発見を困難にし、バイナリ分析によるC2 IPの発見を妨害しています。このトレンドは今後も続くと思われます。

今回の調査検証のように、サイバー脅威インテリジェンス分野のコラボレーションにより、ネットワーク・セキュリティ分野の研究者が集結することで、画期的なソリューションの開発促進が期待されます。ファイア・アイThreat IntelligenceチームとマイクロソフトThreat Intelligence Centerは引き続き、ユーザーの保護に向け連携方法を模索していきます。

本件に関する侵害インジケータ(IOC)は、Github(https://github.com/fireeye/iocs)でご覧いただけます。

FireEye(ファイア・アイ)について
FireEye®は、次世代のサイバー攻撃から、世界中の民間企業や官公庁をリアルタイムで防御するために専用設計された、仮想マシンベースのセキュリティ・プラットフォームを発明した企業です。高度なサイバー攻撃は、次世代ファイアウォールやIPS、アンチウイルス、各種ゲートウェイなど、シグネチャベースのセキュリティ対策を容易にすり抜けてしまいます。FireEye®脅威対策プラットフォーム™は、攻撃ライフサイクル全体で、モバイル、Web、電子メール、ファイル・システムといった主要な攻撃経路にわたり、シグネチャを利用しないリアルタイムでダイナミックな脅威防御策を組織へ提供します。FireEyeプラットフォームの核となる仮想実行エンジンは、Dynamic Threat Intelligenceによって補完されており、サイバー攻撃をリアルタイムに検出・防御することができます。FireEyeのソリューションは、世界67か国以上の3,400を超える組織に導入されており、Fortune 500企業の250社以上で利用されています。

FireEyeウェブサイト: http://www.fireeye.co.jp
FireEyeプラットフォームについて: https://www.fireeye.jp/products.html

【報道関係の方からのお問い合せ先】
ファイア・アイ広報事務局
(ホフマンジャパン株式会社内)
担当: 青木 / 鷲野 / 田中
TEL: 03-5159-5750
Email: [email protected]

# # #
FireEyeはFireEye, Inc.の登録商標です。その他すべてのブランド、製品、またはサービスの名前は、それぞれ該当する所有者の商標またはサービスマークである可能性があります。