threat-research

CISAが複数の政府機関と共同作成したHIDDEN COBRAに関するマルウェア分析レポートを発表

米国の国土安全保障省国家保護・プログラム総局(CISA)は本日、国土安全保障省(DHS)、連邦捜査局(FBI)、および国防総省(DOD)と共同で作成した、北朝鮮政府が関与しているとされる悪意あるサイバー活動(別名:HIDDEN COBRA / LAZARUS)に関する複数のマルウェア分析レポート(MARレポート)を発表しました。


背景

HIDDEN COBRAは、インフラストラクチャを大混乱に陥れたことで大きな注目を集めた複数の攻撃や、世界のさまざまな地域における金銭目的の攻撃に関与したとされています。その中でも、2014年の大手エンターテインメント企業に対する攻撃や、2016年にバングラデシュで発生し10億米ドル近くの大金を奪った攻撃は特に大きく注目されました。取引の指示に含まれていたスペルミスがきっかけとなり、ある銀行が30件の疑わしい取引に関して注意を喚起しブロックしましたが、その攻撃が成功していたとすれば、HIDDEN COBRAは他に類を見ない莫大な金額を奪っていたことでしょう。その攻撃は未遂に終わったものの、HIDDEN COBRAは約8,100万ドルを手に入れることに成功しました。HIDDEN COBRAが関与したとされ、最も注目に値する最新の攻撃が、世界中の多くの組織、特に製造業の企業を大混乱させて多大な損害を与えた、Wannacryランサムウェア攻撃です。この攻撃による推定損害額を数億ドル規模だと複数の機関が発表していますが、数十億ドルに及んでいるとする意見もあります。これまでこの集団の標的となった他の分野には、複数の国の重要インフラストラクチャ、エンターテイメント、金融、医療、通信などがあります。

これらのサンプルセットには(39の)一意のサンプルが含まれており、 CISAが発表したレポートでは、HOPLIGHT、BISTROMATH、SLICKSHOES、CROWDEDFLOUNDER、HOTCROISSANT、ARTFULPIE、BUFFETLINEといった名前のマルウェアが取り上げられています。


サンプルの概要

HOPLIGHT

このレポートで指摘されている不正ファイルは全部で27個あり、その大半はWindows固有のPE(Portable Executable)ファイルで、データファイルもいくつか含まれています。このような不正ファイルには、バックドアのトロイの木馬、ドロッパー、情報の不正取得や認証情報の収集を実行するファイル、RAT(リモートアクセス型トロイの木馬 / ツール)、アーティファクトファイルの組み合わせが含まれます。レポートによると、これらのファイルのうち16個はHIDDEN COBRAのオペレーターが被害者のマシンとコマンド&コントロールサーバーの間のトラフィックを隠す機能を備えており、続いてプロキシが署名されたパブリックSSL証明書を使って偽のTLSハンドシェイクセッションを生成します。攻撃者が使用するファイルのペイロードは、パスワードで保護されている、あるいはキーでエンコードされていると考えられます。また別のファイルでは、事前に決めておいたIPアドレスへのアウトバウンド接続の作成と並行して、侵入したシステムに4つのファイルをドロップすると思われます。ドロップされるファイルにはIPアドレスとSSL証明書が含まれており、これを足掛かりに攻撃がさらに進行します。


BISTROMATH

このレポートでは、CAgent11 GUIインプラントコントローラ / ビルダーと呼ばれ、複数のバージョンが存在するRAT(リモートアクセス型トロイの木馬 / ツール)の複数の亜種に関する実用的インテリジェンスが提供されています。これらのサンプルは単純なXORネットワークエンコーディングを実行するもので、さまざまな機能を備えています。多くのRATに共通する機能であるさまざまな監視オプションが含まれており、システムスキャン、ファイルのアップロードやダウンロード、プロセスやコマンドの実行、さらにマイクやクリップボード、画面の監視などが可能です。

レポートによるとこのGUIコントローラは、インプラントやカスタマイズされ新しく追加されたインプラントを動的に構築するためのオプションとやり取りする機能も備えています。これらのインプラントは、偽のビットマップを含むトロイの木馬の実行ファイルによってロードされ、最終的にはそれがシェルコードにデコードされて、埋め込まれていたインプラントがロードされます。


SLICKSHOES

このキャンペーンで使用されるサンプルはドロッパーファイルです。このドロッパーファイルが別のファイルをデコードし、自らによく似ておりThemidaで圧縮されたビーコンファイルである「C:\Windows\Web\taskenc.exe」にそのファイルをドロップします。

このビーコンファイルは、ドロップされたファイルを実行することも、マルウェアを実行するいかなるタスクをスケジュールすることもありません。

ドロップされたビーコンインプラントはネットワークエンコードアルゴリズムを使用しており、多くのRATに共通するシステムの調査、ファイルのアップロードやダウンロード、プロセスやコマンドの実行、画面キャプチャなどの多くの機能を備えています。


CROWDEDFLOUNDER

このキャンペーンで使用されるこのファイルは、Themidaで圧縮された32ビットWindows PEファイルです。動作が開始すると、RAT(リモートアクセス型トロイの木馬)バイナリを解凍してメモリ内で実行します。このアプリケーションは実行中に引数を受け取ることができ、コマンドライン引数を使用してこれをサービスとしてインストールすることもできます。プロキシとしてアクティブにサービスを待ち受けすることで、着信接続を受け取りながらコマンドを受け取ることもできます。また、別のサーバーにリモート接続してコマンドを受け取ることも可能です。


HOTCROISSANT

このサンプルはカスタムXORネットワークエンコーディングを実行し、被害者のマシンから事前に定義されたC2サーバーへとデータを持ち出すことができます。被害者のマシンのユーザー名、管理者情報、マシンのIPアドレス、Windows OS情報、プロセッサ名、画面解像度、物理RAMなどの情報を取得でき、システムの調査、ファイルのアップロードやダウンロード、プロセスとコマンドの実行、画面キャプチャなどの機能も備えています。


ARTFULPIE

このサンプルはハードコーディングされたURLからDLLをダウンロードし、メモリにロードして実行することができます。


BUFFETLINE

このサンプルは、PolarSSLライブラリをセッション認証に使用した後、FakeTLSスキームを利用し、偽造したTLSパケットヘッダーとネットワークエンコード用のカスタムXORをパケットに付加することで分析を回避する能力を備えています。さらには、ファイルのダウンロード / アップロード / 削除 / 実行、WindowsへのCLIアクセスの有効化、プロセスの作成 / 終了、標的とするシステムの列挙といった機能も備えています。


ソリューション

米国の国土安全保障省国家保護・プログラム総局(CISA)からの発表の直後、FortiGuard Labsはこれらのサンプルからの確実な保護を可能にするための対策を実施しました。CISAは、協力関係にあるCyber Threat Alliance(CTA)メンバーのお客様がリアルタイムで直ちに保護されるようにするために、レポートの発表に先立ってこれらのサンプルの情報をCTAメンバーに提供しました。

フォーティネットの最新の定義セットを実行しているお客様は、以下の(AV)シグネチャによって保護されています。

W32/NukeSped.AU!tr
W32/HidCobra.9CFB!tr
Data/HOPLIGHT.C289!tr
Data/HOPLIGHT.FB39!tr
W32/Generic.AI!tr
Generik.MYWMFCM!tr
W32/Androm.DQTY!tr.bdr
W32/Agent.PUH!tr.spy
W32/Generic!tr
W32/Agent.SSC!tr
W32/BlueNoroff.CL!tr W32/Agent.32DA!tr
W32/NukeSped.794B!tr
W32/NukeSped.0792!tr
W32/Agent.D9DD!tr
W32/NukeSped.9E16!tr
W32/Banker.E945!tr

いずれのネットワークIOCも、Webフィルタリング用クライアントのブラックリストに登録されています。


関連情報

https://www.us-cert.gov/northkorea

----


FortiGuard Labsが統合AIシステムを使用して提供する、比類ないセキュリティおよびインテリジェンスサービスの詳細をご確認ください。

FortiGuardセキュリティサービスのポートフォリオの詳細をご覧いただき、毎週お届けしている脅威インテリジェンスブリーフ(英文)をぜひご購読ください。

FortiGuardセキュリティレーティングサービスは、セキュリティ監査とベストプラクティスを提供することで、お客様に最適なセキュリティ態勢の設計、実装、維持を支援します。