ミャンマーなどアジア諸国を標的にする新たなPoison Ivy攻撃

投稿者:Jason Jones
投稿アーカイブ:持続的標的型攻撃、バックドア、マルウェア

悪名高いRAT (Remote Access Trojan)のPoison Ivy (以降PIVY)が最近再び検出されており、新たな振る舞いを示しています。PIVYは、過去においてさまざまな目的でアジア諸国を標的にする攻撃として悪用されていました。Palo Alto NetworksのUnit 42は最近のブログで、Poison Ivyの新たな亜種が検出されたことを報告しています。この亜種はSPIVYと呼ばれ、香港の活動家を標的にしており、DLLサイドローディングを使用しています。また、ASERTにより最近観測された、少なくとも過去12か月においてアクティブである亜種とはまったく異なる振る舞いを示しています。

技術的な詳細

ASERT が観測したPIVYは、これまでには見られなかったいくつかの新しい振る舞いを示しています。検体は、おとり文書をドロップします。通常、ActiveUpdate.dllという名前のDLLとActive.datという名前のPIVYシェルコード・ファイルの存在により、侵害されていることが明確にわかります。ActiveUpdate.dllファイルとActive.datファイルは、ActiveUpdate_ [0-9]{3}の形式のディレクトリに作成されます。実行可能ファイルはrundll32.exeをActiveFlash.exeにコピーし、DLLへのパスを使用して新しいファイルを実行し、Windows Startupフォルダーの.lnkを介して自動起動されるように自身をインストールします。ESETはこれらの検体を「Win32/Korplug.I[F-I]亜種」として識別しています。これは、ドロップしたDLLをDLLサイドローディングとrundll32を使用して読み込み、その不正なアクションを実行することに起因している可能性があるためです。この展開戦術は、異なる実行可能ファイル名のrundll32コピーを使用して、昨年(あるいはもっと以前)から悪用されています。ただし、この投稿では、「ActiveUpdate」を使用する亜種の一部のみを紹介します。

pivy-768x442

これらのバイナリのコンパイル時刻は、ネットワーク上で最初に観測された時刻に極めて近いものであり、一部の検体は、マルウェア構成のさまざまなキャンペーンIDフィールドにタイムスタンプのようなエンティティを含んでいました。

構成データを解析する一般的に入手可能なツールを騙すために、復号化された構成は若干の変更が行われていました。キャンペーンIDは、完全にはNULLパディングされていません。1つのNULLバイトと、「x」文字が繰り返される文字列があり、一部のスクリプトを騙しています。さらに、コマンド&コントロール(C2)はNULLパディングされなくなっています。各ホスト名はNULLバイトで終了し、その後に「0.1127.0.0.1127.0.0.100000」のような文字列が続きます。この文字列は、C2サーバーごとに若干変化します。ある部分の値は「1」で始まり、2番目のC2では「2」に、3番目のC2では「3」に変化します。これらの値は、メモリのどこかに余分な項目なしで存在し、解析の問題はわずかな調整のみで修正されます。

ホスト名webserver.servehttp[.]comは多くのPIVY検体で観測されており、この投稿では、そのいくつかを取り上げています。さらに、このホスト名で解決されるIPは、以前のPIVYとは無関係と思われていた検体で使用されていたfileshare.serveftp[.]comと重なりました。

おとり文書と標的選択についての情報

多くのPIVY検体が、ミャンマーや他のアジア諸国を標的にしていることが観測されています。ASERTはブログの投稿時点では、正確な標的と配信方法を把握していませんが、文書と送信ソースは、これらの攻撃キャンペーンの動機と潜在的な標的を強力に示唆しています。前のセクションで取り上げた検体(a7d206791b1cdec616e9b18ae6fa1548ca96a321)は、2015年11月末にミャンマーを標的にしていることが観測されました。検体のコンパイル時刻は2015年11月2日で、ファイル名に含まれる明らかにタイムスタンプを示す値は、2015年11月25日にリリースされたレポートを参照しているようであり、米国で初めて観測された2015年11月24日の夕刻は、ミャンマーでは11月25日に該当します。文書は、「STEP Democracy Year 1 Acheivements_25112015.docx」としてドロップされ、「Year1achievementsv2.docx」の名前とSHA1 724166261e9c2e7718be22b347671944a1e7fdedでもドロップされました。ただし、その検体は、同じC2セットに対するものとは異なる通信パスワードを使用します。文書は、STEP Democracyイニシアティブに属する民主主義・選挙支援国際研究所(IDEA)により12月にリリースされた最終レポートの草案である可能性があります。IDEAは、「欧州連合から資金提供されているプロジェクトのSTEP Democracy (Support to Electoral Processes and Democracy)」に属しています。この組織の目標は、世界中で民主主義を支援することです。ミャンマーでの最近の選挙の前後を通して、IDEAは、「平和的、透明、かつ信頼性の高い選挙」が実現されるように同国を支援しています。支援活動の中には、前述のレポートや草案の発行が含まれます。この場合、おとり文書のメタデータには、企業名として「IDEA」、著者名として「Sophia」が含まれており、組織の現在のメンバーが参照されていることから、最後に編集されたのは2015年11月20日である可能性があります。文書には、ミャンマーの民主選挙についての討論が詳細に書かれています。この日時は、11月初旬に行われた選挙を過ぎても標的選択が行われており、ミャンマー国内の民主化に興味を持つ個人を引き続き標的にしていることを示しています。選挙後のミャンマーでの標的選択は、ASERTによって「7つの剣先を持つダガー・ナイフによる攻撃」記事で言及されたのと同じスタイルに従っていることが判明しています。ただし、今回、脅威アクターはSTEP組織を自称し始めており、選挙後のミャンマーに関連するコンテンツを活用することによって、スピアフィッシングに似た戦術を継続している可能性があります。これらの検体のC2はjackhex.md5c[.]comで、103.240.203.0/22内に含まれるIPに解決されます。このアドレスは、7つの剣先を持つダガー・ナイフを使用した攻撃キャンペーンの9002 RAT検体と同じであることから、つながりがあることが推測されます。「LURK0」Gh0stratと別のPIVYドメインも、この範囲内に含まれるIPに解決されるので、標的攻撃の観点から、このサブネットは極めて疑わしいと考えられます。

Screen-Shot-2016-04-24-at-12.09.59-PM-768x409

最近では、経済に重点を置いている文書も多く観測されており、これらの検体の1つもミャンマーを参照しています。この検体は、「mm20160405」というキャンペーンIDを使用し、「Chairman’s Report of the 19th ASEAN Regional Forum Heads of Defence Universities, Colleges, Instiutions Meeting, Nay Pay Taw, Myanmar.doc」という名前の文書をドロップしました。この文書は、2015年にミャンマーで開催された東南アジア諸国連合(ASEAN)会議を参照しています。この検体が観測された時期は前述の検体と大きく異なり、マルウェアのコンパイル・タイムスタンプ(2016年3月28日)、キャンペーンID内の明白なタイムスタンプ値(2016年4月5日)、バイナリがネットワーク上で最初に観測された日(2016年4月11日)から、少なくともフォローアップ・キャンペーンであることが示唆されます。構成で指定されているミューテックス(20150120)は、STEPプログラムを参照している文書をドロップした前述の検体のミューテックスと同じですが、このミューテックスは「ActiveUpdate」ディレクトリ構造を使用する他の多くのPIVY検体でも使用されており、キャンペーンの識別、または検体と同じバージョンを共有していない可能性のある検体間の関係の識別には、役に立たない可能性があります。この検体で使用されるC2 (admin.nslookupdns[.]com)は、サブネット118.193.218.0/24内に含まれるIPに解決されます。ASERTは、前述の検体と同じく、NitolやGh0stratなどの多くのマルウェア・ファミリ、および「ActiveUpdate」を使用する別のPIVY検体との間で、類似性を観測しています。この検体のC2ドメインはnews.tibetgroupworks[.]comで、標的選択が動的に行われていることを明白に示していますが、おとり文書はドロップされず、標的選択の仮定を支持するのに役立つさらなる情報も発見されていません。

Screen-Shot-2016-04-24-at-1.09.53-PM-1024x694

ASEANを標的にするキャンペーンのテーマが続きますが、検体31756ccdbfe05d0a510d2dcf207fdef5287de285は、「Robertus Subono-REGISTRATION_FORM_ASEAN_CMCoord2016.docx」という名前のおとり文書をドロップします。この文書は、2016年3月28日から4月1日までバンコクで開催されたASEAN人道民軍連携会議を参照しています。この文書は、インドネシアからの出席者用の登録フォームであると称しており、タイ国防省のメール・アドレスに送信されることが想定されています。検体は、コンパイル日が2016年3月10日、ASERTが初めて観測したのが2016年3月20日で、Googleで設定されたとする無効なデジタル署名を含みます。「modth」のキャンペーンID、会議の目的と場所や、このフォームの送信先となるメール・アドレスを考慮すると、この検体の標的はタイの国防省である可能性が極めて高いと考えられます。この検体により使用されるC2は、ミャンマーでのASEAN会議を参照している前述の検体のC2とほぼ完全に重複しており、最初のC2はポート80を、前述の検体はポート81を使用し、両方とも同じミューテックスとパスワードを使用しています。この重複は、ASEAN諸国とASEANにより開催される会議を標的にする攻撃が進行中であることを示唆しています。

Screen-Shot-2016-04-25-at-8.30.31-PM-768x526

ec646c57f9ac5e56230a17aeca6523a4532ff472によりドロップされたおとり文書「2016.02.29-03.04 -ASEM Weekly.docx」は、他の2つの観測された文書と異なり言語は英語ではなく、Google Translateによりモンゴル語と識別されました。

Screen-Shot-2016-04-24-at-3.30.01-PM-768x590

f389e1c970b2ca28112a30a8cfef1f3973fa82eaによりドロップされたおとり文書1.docxは、サンドボックス内で実行すると破損しているように表示されますが、手動で復元すると、マルウェア・キャンペーンID kk31を持つハングル文字の文書になります。この文書は、韓国外での韓国語学校を参照しており、記載されている電話番号は韓国外務省との関連を示唆しますが、ブログ投稿の時点では、標的は明確ではありません。

Screen-Shot-2016-04-24-at-3.41.41-PM-768x564

検体f389e1c970b2ca28112a30a8cfef1f3973fa82eaは、「Commission on Filipinos Overseas & Dubai.doc」という名前のおとり文書をドロップしますが、この文書は、マルウェア・サンドボックス内または手動では正しく表示されません。VirusTotalはフィリピンからの検体を分析し、UAEのドバイではなく、フィリピンが標的であったことを示しています。この検体のC2はwebserver.servehttp[.]comを使用しており、これは最近多くの検体で使用されていることから、同じアクターがこのキャンペーン活動に関与している可能性があります。

結論

この投稿と最近の他の投稿が示すように、PIVYは、PlugXやDukesなどの他の標的型マルウェア・ファミリと異なり、継続して進化しており、多数の標的型攻撃キャンペーンで使用されています。これが、PIVYの最終の進化ではないことは明らかであり、これからの進化に備えて、ASERTはこれらの脅威の監視を継続します。この投稿の調査を支援してくれたASERTのCurt Wilsonに感謝の意を表します。

侵害の痕跡

この記事で説明した検体の構成要素およびその他の情報は以下に示されています。

SHA1: a7d206791b1cdec616e9b18ae6fa1548ca96a321
初回観測日: 2015年11月24日
名前: STEP Democracy Year 1 Acheivements_25112015.exe
おとり文書: STEP Democracy Year 1 Acheivements_25112015.docx
キャンペーンID: om
C2:	jackhex.md5c.net:8080
	jackhex.md5c.net:53
	jackhex.md5c.net:53
ミューテックス: 20150120
パスワード: 18703983384
SHA1: 724166261e9c2e7718be22b347671944a1e7fded
初回観測日: 2015年11月23日
名前: Year1achievementsv2.exe
おとり文書: Year1achievementsv2.docx
キャンペーンID: om
C2:	jackhex.md5c.net:8080
	jackhex.md5c.net:53
	jackhex.md5c.net:53
ミューテックス: 20150120
パスワード: 15911117665 SHA1: 675a3247f4c0e1105a41c685f4c2fb606e5b1eac
初回観測日: 2016年4月7日
名前: Commission on Filipinos Overseas & Dubai %E2%80%AEcod.doc
おとり文書: Commission on Filipinos Overseas & Dubai.doc
キャンペーンID: gmkill
C2:	webserver.servehttp.com:8080
	webserver.servehttp.com:8080
	webserver.servehttp.com:8081
ミューテックス: 20150120
パスワード: 13813819438
SHA1: 63e00dbf45961ad11bd1eb55dff9c2771c2916a6
初回観測日: 2016年4月11日
名前: 1.exe
おとり文書: Chairman's Report of the 19th ASEAN Regional Forum Heads of Defence Universities, Colleges, Instiutions Meeting, Nay Pay Taw, Myanmar.doc
キャンペーンID: mm20160405
ドメイン作成日: 2015年12月17日
C2:	admin.nslookupdns.com:81
	admin.nslookupdns.com:53
	admin.nslookupdns.com:8080
ミューテックス: 20150120
パスワード: 52100521000
SHA1: 31756ccdbfe05d0a510d2dcf207fdef5287de285
初回観測日: 2016年3月20日
名前: 不明
おとり文書: Robertus Subono-REGISTRATION_FORM_ASEAN_CMCoord2016.docx
キャンペーンID: modth
ドメイン作成日: 2015年12月17日
C2:	admin.nslookupdns.com:80
	admin.nslookupdns.com:53
	admin.nslookupdns.com:8080
ミューテックス: 20150120
パスワード: 52100521000
SHA1:ec646c57f9ac5e56230a17aeca6523a4532ff472
初回観測日: 2016年3月10日
名前: 2016.02.29-03.04 -ASEM Weekly.docx.rar^2016.02.29-03.04 -ASEM Weekly.docx.exe
おとり文書: 2016.02.29-03.04 -ASEM Weekly.docx (モンゴル語)
キャンペーンID: wj201603
ドメイン作成日: 2016年1月14日
C2:	web.microsoftdefence.com:8080
	web.microsoftdefence.com:8080
	web.microsoftdefence.com:80
ミューテックス: 20150120
パスワード: 80012345678
SHA1: f389e1c970b2ca28112a30a8cfef1f3973fa82ea
名前: 不明
おとり文書: 1.docx (破損しているが復元可能。韓国語)
初回観測日: 2016年4月9日
キャンペーンID: kk31
C2:	webserver.servehttp.com:59148
	webserver.servehttp.com:59418
	webserver.servehttp.com:5000
ミューテックス: 20160301
パスワード: 13177776666
SHA1: 49e36de6d757ca44c43d5670d497bd8738c1d2a4
名前: 不明
おとり文書: 1.pdf (ベトナムでのプロジェクトを参照し、タイのメール・アドレスへのメールを要求している)
初回観測日: 2016年3月10日
C2:	webserver.servehttp.com:59148
	webserver.servehttp.com:59418
	webserver.servehttp.com:1024
ミューテックス: 20160219
キャンペーンID: mt39 (調査中に検出されたが、おとり文書をドロップせず、類似の構成パディングを示す)
SHA1: ef2618d58bd50fa232a19f9bcf3983d1e2dff266
名前: 2.tmp
おとり文書: なし
初回観測日: 2015年6月3日
ドメイン作成日: 2015年5月29日
C2:	news.tibetgroupworks.com:80
	news.tibetgroupworks.com:80
	news.tibetgroupworks.com:80
キャンペーンID: 213
ミューテックス: 2015012

SHA1ハッシュ

63e00dbf45961ad11bd1eb55dff9c2771c2916a6
675a3247f4c0e1105a41c685f4c2fb606e5b1eac
49e36de6d757ca44c43d5670d497bd8738c1d2a4
cbbfc3b5ff08de14fdb2316f3b14886dfe5504ef
a7d206791b1cdec616e9b18ae6fa1548ca96a321
ec646c57f9ac5e56230a17aeca6523a4532ff472
ef2618d58bd50fa232a19f9bcf3983d1e2dff266
f389e1c970b2ca28112a30a8cfef1f3973fa82ea

一意なC2ホスト名

news.tibetgroupworks.com
web.microsoftdefence.com
admin.nslookupdns.com
jackhex.md5c.net
webserver.servehttp.com