Vol.63 Kimsuky の帰還 今回のターゲットは?

Similar documents
Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

Vol.61 韓国と日本 同時多発的な不正アプリの拡散背景には

アンラボ発信セキュリティ情報 PressAhn Pick Up! マルウェア詳細分析 相手の手札が丸見え レッドギャンブラー アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中 ある攻撃グループが国内の不正ギャンブルゲームを通してマルウェアを配布したことが分

Vol.62 コインマイナーが狙う仮想通貨 Top4

Vol.41 ランサムウェア 攻撃ルートの多角化で猛威を振るう

日常生活に密着したセキュリティ脅威の特徴とその事例 生活密着型セキュリティ脅威 Top 年は WannaCryptor や Petya などの強力なランサムウェアが世界で猛威を振るった だがこれらの脅威以外にもけして見過 ごせない生活密着型脅威が続々と出現している 生活密着型脅威その 1

Focus In-Depth CyberSecurity Prediction 2018 セキュリティ環境が迎える変化 世界的なリサーチ機関 Frost&Sullivan のアナリストのチャールズ リム (Charles Lim) は2 月 アンラボ本社にて 2018 年サイバーセキュリティ展望 (

FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど

Vol.66 信頼できるマルウェア (?) に隠された真実

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

マルウェアレポート 2017年12月度版

Vol.03 MDS メモリ分析ベースの検知技術を搭載

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

SQLインジェクション・ワームに関する現状と推奨する対策案

THREAT ANALYSIS IDENTITY THEFT 自動ログインの利便性と そのリスク 最新の統計によると 1 人当たり平均 3つのソーシャルメディアを利用しているという また使用中のメールアカウントも 3つ以上が最も多かった このように複数のアカウントを利用するうえでそれぞれの IDやパ

THREAT ANALYSIS MALICIOUS APPS 不正アプリの高度化 最新の手法と対策 最近 韓国ではボイスフィッシングと偽の金融機関アプリを組み合わせた融資詐欺事件が発生した 海外ではアイコンを隠したまま端末にインストールされた悪質なアプリが ユーザーの金融アプリとウーバー (Uber

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

マルウェアレポート 2018年4月度版

2014 年上半期セキュリティトレンドを振り返る 2014 年もすでに折り返し地点を過ぎ残り数ヶ月となりました 韓国は今年 大手カード会社で起こった大量の顧客情報流出という大事件からスタートし Windows XPサポート終了 Open SSL 脆弱性発見など 様々な問題がセキュリティ業界を緊張させ

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

マルウェアレポート 2018年3月度版

2016 年脅威トピック 5 生き残りをかけた適者生存競争 激化 生存競争において環境に適応したものは生き残り そうでないのは淘汰される 一言でまとめたダーウィンの進化論である これは 2016 年セキュリティ脅威の動向にも当てはまる理論であった 今年の脅威はシンプルなものから複雑なものへと進化し

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Vol.15 ハッカーの標的 POS システム

ログを活用したActive Directoryに対する攻撃の検知と対策

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

プレゼンテーション

別 紙 平成 25 年上半期のサイバー攻撃情勢について 1 概況警察では サイバーインテリジェンス情報共有ネットワーク *1 を通じ 標的型メール攻撃等のサイバー攻撃事案に係る情報を集約するとともに 事業者等による情報システムの防護に資する分析結果等の情報を共有している 警察は 平成 25 年上半期

P.2 もくじ 8. ファイルのアップロードとダウンロード 8-. ファイルのアップロード 8-2. ファイル指定でアップロード 8-3. Zip 解凍アップロード 8-4. ドラッグ & ドロップで一括アップロード 8-5. ファイルのダウンロード 9. ファイルの送信 ( おすすめ機能 ) 9-

Microsoft PowerPoint _VL-CD2xx バージョンアップ手順(汎用版).pptx

ZipTheRipper のページへ移動したら ダウンロードの文字をクリックして下さい 使用許諾書を確認の上 同意チェックを入力し ダウンロードボタンを押して下さい サブウィンドウが表示されたら 保存 を選択して下さい ダウンロードが開始されます ダウンロードフォルダの中にある ZipTheRipp

OSI(Open Systems Interconnection)参照モデル

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

CONTENTS 2017 年脅威動向 Top 年脅威予測 Top5

マルウェアレポート 2018年2月度版

ユーザーマニュアル Release

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

マルウェアレポート 2018年1月度版

1. インストール方法 STEP 1 ダウンロードしたファイルを任意の場所に解凍します Windows 標準の機能を用いて解凍する場合は ファイルを選択して 右クリックメニューから [ すべて展開 ] を選択し 表示されたメッセージに従って解凍します STEP 2 解凍されたフォルダにある Setu

KSforWindowsServerのご紹介

システム設計書

困ったときにお読みください

OSI(Open Systems Interconnection)参照モデル

OP2

マルウェアレポート 2017年9月度版

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1

ICLT 操作マニュアル (2011 年 05 月版 ) Copyright 2011NE 東京株式会社 All Rights Reserved

誓約書の同意 4 初回のみ 下記画面が表示されるので内容を確認後 同意する ボタンをクリック 同意していただけない場合はネット調達システムを使うことができません 参照条件設定 5 案件の絞り込み画面が表示されます 5-1 施工地域を選択して 施工地域選択完了 ボタンをクリック - 2 -

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

OSI(Open Systems Interconnection)参照モデル

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

卒業論文本体の書き方

製品概要

Microsoft Word - メールでの送受信(添付方法).doc

目次 1. テンプレートの準備 1.1 エクセルファイルの準備 1.2 タグを作成する 1.3 エクセルファイルの表示調整 2.PC へテンプレートを追加 3.iPad での ICLT の操作 3.1 入力者の操作 入力者のログイン テンプレートを更新する チェッ

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

仙台 CTF2018 セキュリティ技術競技会 (CTF) 問題解説復習問題 平成 30 年 11 月 10 日 仙台 CTF 推進プロジェクト 五十嵐良一 Copyright (C) 2018 Sendai CTF. All Rights Reserved.

セキュリティプレス アン UNIX Linux OS 関連のBash (Born Again Shell) 脆弱性を詳細分析 Bash 脆弱性 シェルショック で全世界が震撼 2014年9月24日 GNU Bash環境変数を使用したコードインジェクションのセキュリティ脆弱性が報告された これは シェ

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

月次報告書 (2009 年 1 月分 ) フィッシング情報届出状況 2009 年 2 月 20 日

1. インストール方法 STEP 1 ダウンロードしたファイルを任意の場所に解凍します Windows 標準の機能を用いて解凍する場合は ファイルを選択して 右クリックメニューから [ すべて展開 ] を選択し 表示されたメッセージに従って解凍します STEP 2 解凍されたフォルダにある Setu

1.indd

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

1

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

Office365 スマートフォンからの活用 <メール/予定表/OneDrive>

ACTIVEプロジェクトの取り組み

目次 1. はじめに... 1 動作環境... 1 その他 他の人が利用する ID を発行したい... 2 ユーザー ID 作成を作成しましょう パソコンのデータを自動でアップロードしたい... 4 PC 自動保管機能を使用してみましょう 不特定多数の

便利 vs. 安全のはざまで揺れる 韓国モバイル決済サービス市場の実情とは モバイル決済サービス市場 勝負の行方 ダウムカカオは 9 月にリリースしたモバイル決済サービス カカオ Pay に続き 14の銀行と組んでモバイル送金 決済サービスの バンクウォレットカカオ ( 以下バンカ ) を発表した

Web メール利用マニュアル ( 携帯版 ) Web メール利用マニュアル ( 携帯版 ) 株式会社イージェーワークス 2012/09/26 改定

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

スライド 1

Net'Attest EPS設定例

公立大学法人首都大学東京

Trend Micro Cloud App Security ご紹介資料

スライド 1

内容 第 1 章 - 貴社の情報を必要となる理由? 第 2 章 - サプライヤ安全管理ツールから送信される電子メール通知 電子メールが迷惑メールフォルダに入る場合の処理方法 第 3 章 - サプライヤ安全管理ツール (SVAT) へのアクセス 第 4 章 - サプライヤー更新フォームの記入 サプライ

重要インフラがかかえる潜在型攻撃によるリスク

目次 1. はじめに 本資料の目的 前提条件 Kaspersky Update Utility スタンドアロン端末での定義 DB 更新 定義 DB のダウンロード (Kaspersky Update Ut

Microsoft Word - BJ-Trans_JW_SXFInstallguide.doc

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

FutureWeb3サーバー移管マニュアル

ファイルのアップロード. 上メニューから [ アップロード ] を選択します. [ アップロード ] 画面に移行しますので, 以下の手順で操作を行います アップロードするファイルを選択し, 指定場所へ [ ドラッグ & ドロップ ] します ドラッグ & ドロップ ファイルがリストアップされたことを

MotionBoard Ver. 5.6 パッチ適用手順書

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

平成 28 年度大学情報セキュリティ研究講習会 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習資料 A-2 標的型攻撃を受けているらしいとの連絡があった時の調査と対応の演習 実習環境について 攻撃側 PC(attacker-pc) と感染側 PC(sjk-pc) の

Vol.04 Partner Step-up Traning Day 2014

1. パソコンに接続しているプロテクトキー (HASP) を外します 2.Microsoft Edge などのブラウザから のアドレスのホームページを起動します 3. 最新のプロテク

< B C815B F898AFA90DD92E8837D836A B E786C73>

LB メディアロック3 クイックガイド

2 Copyright(C) MISEC

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

SOC Report

Transcription:

2019.3 Vol.63 Kimsuky の帰還 今回のターゲットは?

Operation Kabar Cobra 詳細分析 Kimsuky の帰還 今回のターゲットは? 2019 年 1 月 7 日未明 韓国政府機関の出入り記者団を狙ったスピアフィッシングメールが配布された Kimsuky の帰還だった 正確に言えば帰還ではなく 2013 年に初回発見されて以降 韓国の機関を狙った主な標的型攻撃をリードした者らの動きが最近変化したのである かつて政治的目的のハッキングに集中していた攻撃者らは 最近韓国の一般企業と仮想通貨の分野までその攻撃範囲を拡げていることが分かった 2013 年に発見されて以来 彼らの動きを監視してきたアンラボセキュリティ対応センター (AhnLab Security Emergency response Center ASEC) では 最新事例から Kimsuky 攻撃を詳細分析したレポートを発表した Kimsuky( キムスキー ) は 韓国の機関を対象に攻撃する攻撃グループの中で最も有名だ Kimsuky という名称は 2013 年に同グループの攻撃ケースを初公開した海外のセキュリティベンダーが 奪取した情報を送信する電子メールアカウント名 キム スクヒャン (Kimsukyang) からもじったものである 当時の攻撃で使用した不正ファイルのコンパイルパスに 공격 완성 などハングル文字が含まれており 攻撃対象は韓国政府機関や対北朝鮮関連機関などであった 今回のコラムでは Kimsuky 攻撃グループ または Kimsuky グループ と表記した Kimsuky と Operation Kabar Cobra 2013 年に初めて表舞台に登場した Kimsuky 攻撃グループは 6 年経った今でも軍事関連や報道機関を対象に継続的な情報奪取を試みている 特に最近は第二次北米首脳会談を控えて 周辺国の反応情報を収集していることが確認された そんな中 金融と仮想通貨分野への攻撃情況が確認されたが これは長期化する対北朝鮮制裁により北朝鮮の経済状況がひっ迫し 政治的目的以外に金銭目当ての攻撃に出たものと解釈される Kimsuky グループの攻撃動向の変化について アンラボのアナリスト組織 ASEC では Operation Kabar Cobra の分析レポート を発表した 同レポートでは Kimsuky グループの標的型攻撃の最新事例の詳細分析と 攻撃の背後にいることを特定する技術的な根拠を説明している アンラボが一連の標的型攻撃の事例を分析したところ 一部で Cobra というファイル名と KABAR というミューテックス (Mutex) が使用されていることが確認され アンラボは Kimsuky グループが背後にいると推定される一連の最新の攻撃を Operation Kabar Cobra と命名した 2

[ 図 1] マルウェアに含まれている KABAR ミューテックス 下記 [ 表 1] は 2018 年 12 月から今年 1 月まで確認された Kimsuky グループのマルウェア ( ドロッパー Dropper) と攻撃対象のサマリーだ ただし表 に記載したファイルの発見時期と実際のファイル配布時期には差が生じることがある 発見時期 ファイル名 偽装形式 攻撃対象 2018.12.26 2019 事業計画書.hwp{ スペース }.exe.hwp 軍事関連分野 (ROTC) 2019.01.07 メディア権力移動 6-Netflix YouTube.hwp{ スペース }.exe.hwp メディア ( 政府機関出入り記者団 ) 2019.01.20 中国 - 研究資料.hwp{ スペース }.scr.hwp 不明 [ 表 1] 攻撃対象別の悪意あるファイル名およびなりすましファイル形式 攻撃者はハングル (.hwp) 文書のアイコンに偽装する一方 ファイル名に二重拡張子を適用した また [ 表 1] にまとめたように 2つの拡張子の間にスペース (blank) を追加して ハングルファイルのように見せかけたファイルが実際には実行ファイル (.exe) またはスクリーンセーバーファイル (.scr) であることを巧妙に隠していた まずファイルをクリックすると 通常のハングルファイルのように見える画面が表示される 特に 内容もまた標的の業務と密接な内容に偽装させていた 主な機能と動作 新年に入り 1 月 7 日の未明に韓国政府の出入り記者団を対象に配布されたマルウェアのケースから Operation Kabar Cobra の特徴と機能を見てみよう 記者団に送信されたメールは TF 参考資料 という件名で TF 参考.zip の圧縮ファイルが添付された 添付ファイルには [ 図 2] のように 正常なハングル文書のように見える PDF ファイルと二重拡張子 (.hwp [ スペース ].exe) の悪性ファイルが含まれていた [ 図 2] 記者団に配布されたマルウェア これは [ 表 1] に記載した 2018 年の軍事機関を狙ったマルウェアと同じタイプで 2 件ともに偽装されたハングルファイル (.hwp) が悪意あるスクリプトと一緒に自動解凍 (WinRAR SFX) 方式で圧縮されていた この圧縮ファイルを実行すると解凍とともにマルウェアが実行されるが この時に実行された悪意あるスクリプトによって実質的な悪性行為が開始される この過程で攻撃者の Google ドライブから C&C 情報をダウンロードした [ 図 2] の悪意あるスクリプトの機能は次の通りだ 3

(1) 2.wsf 2.wsf はマルウェアを追加でダウンロードおよび実行する この際に必要な C&C 情報は攻撃者の Google ドライブからダウンロードした [ 図 3] 攻撃者の Google ドライブから C&C 情報をダウンロード [ 図 4] は攻撃者の Google ドライブにアップロードされたファイルであり マルウェアをダウンロードするための C&C 情報が含まれていた 本ファイル内容は攻撃者によっていつでも変更できる 一般的にダウンロード機能を実行するマルウェアは内部に固定された C&C 情報を持つため C&C サーバーがブロックされる場合 攻撃者はマルウェアを新たに製作して配布する必要があった しかし今回の攻撃事例では C&C サーバーがブロックされても攻撃者が自身の Google ドライブにアップロードしたファイル内容を変更するだけで マルウェアが新しい C&C サーバーと通信して継続的に悪意ある機能を遂行できた [ 図 4] 攻撃者の Google ドライブにアップロードされたファイル 一方 [ 図 5] の赤い表示のメールアドレス (countine.protector.mail@gmail.com) は かつてフィッシングメール アカウントとして使用され これ に関して 2018 年教育分野サイバー安全センター ECSC から勧告を発表したこともある [ 図 5] 攻撃メールアカウントに対する 2018 セキュリティ勧告 4

2.wsf が追加でダウンロードしたマルウェア (brave.ct) は [ 図 6] のような過程を経て復号化され その過程で生成された Freedom.dll はパワーシェ ルを介して実行される この際に感染 PC が 64 ビットの Windows 環境であれば AhnLabMon.dll というファイルが作成 実行された ダウンロードしたマルウェア (brave.ct) ダウンロードしたマルウェア BASE64 復号化 rundll32.exe を利用して復号化した DLL マルウェア実行 [ 図 6] 追加ダウンロードされたマルウェアの実行過程 (2) 3.wsf 2.wsf 同様 3.wsf も攻撃者の Google ドライブにアップロードされたファイルから C&C 情報をダウンロードした しかし 2.wsf が単にマルウェアを追加ダウンロード 実行する悪意あるスクリプトであるのに対して 3.wsf は ファイル削除 / ダウンロード / アップロード コマンド実行 ログ送信 3.wsf アップデート C&C サーバーと送信するデータを BASE64 で暗号化または復号化するなど 多様な機能を実行する アンラボの分析当時は C&C サーバーと通信が可能だったので 3.wsf が C&C サーバーとどのように通信し 攻撃者が送信したコマンドは何だったかなどかなり詳細に把握できた 3.wsf は悪意ある機能を実行する前に C&C サーバーから自らのバージョン情報を受信して 現在の感染 PC で実行される自身のバージョンと比較する もし C&C サーバーから確認したバージョン情報が現バージョンよりも上位である場合は [ 図 7] のように最新バージョンの 3.wsf をダウンロード 実行した 3.wsf のバージョン情報受信 Version: PC で実行中の 3.wsf のバージョン new_ver: C&C で受信した 3.wsf のバージョン [ 図 7] 3.wsf バージョン情報の比較およびアップデート アンラボが分析した当時 同マルウェアが C&C サーバーから受信した 3.wsf の最新バージョンは 1.2 だった 3.wsf のバージョン情報 [ 図 8] C&C サーバーから収集された 3.wsf バージョン情報 5

バージョン情報を確認した後 3.wsf は C&C サーバーからコマンドを受信して実行するために 次のような形式でパラメータを構成する 以後 C &C サーバーに GET リクエストをして それに対する応答として C&C サーバーから BASE64 に暗号化されたコマンドを受信して実行する - C&C コマンドを受信するために C&C に送信される際のパラメータ形式 xhr.open(get,serverurl+/board.php?m=+mac_addr+&v=+version+ +TIMEOUT,false); xhr.send(); C&C サーバーに送信するパラメータ形式で 3.wsf のバージョンをパラメータとして設定する理由は 攻撃者が現在の感染 PC で実行中の 3.wsf バージョンを確認し バージョン別の感染 PC 状況を把握するためと思われる [ 図 9] は 3.wsf が C&C サーバーと通信した内容の一部であり 3.wsf が C&C サーバーからファイルダウンロードコマンドを受信して list.dll ファイルをダウンロードするプロセスである 変わった点は 3.wsf コードにはこのような過程を経てダウンロードした list.dll( または Cobra.dll) を実行するコードが存在しない点だ しかし 2.wsf がダウンロードした Freedom.dll( または AhnLabMon.dll) が同じ list.dll(cobra.dll) をダウンロード 実行することが確認された 2.wsf がダウンロードした Freedom.dll(AhnLabMon.dll) は DeleteUrlCacheEntryA() 関数を呼出してダウンロードの痕跡を削除する これは攻撃の痕跡をトレースできないようにするためだった [ 図 9] C&C サーバーを通じるマルウェアダウンロード また [ 図 9] のような過程からダウンロードされる list.dll( または Cobra.dll) は 感染 PC のシステム情報とフォルダーおよびファイルリストを収集し 圧縮ファイルをコピーするなど機能を実行する 攻撃者は list.dll( またはCobra.dll) から収集した PC 情報を利用して感染 PC がアナリストのシステムであるかどうか確認する もし分析用システムと分かったら分析ツールを強制終了して偽のフラグ (False Flag) を埋め込むなど アナリストの追跡を妨害していた マルウェアのプロファイル その背後にあるもの [ 表 1] の軍事関連とメディア分野への標的型攻撃が発生した時期に 当分野とは関連がないように見える韓国のアパレルメーカーと仮想通貨を狙ったマルウェアが配布された だがこれらのマルウェアと前述の軍事機関を狙ったマルウェアとの類似性が確認された すべて同じ C&C サーバーから配布されたのである また関連ファイルの TimeStamp を分析した結果 攻撃者は少なくとも 2 年前から断続的に亜種を製作したとみられる 6

これによりアンラボのアナリストらはマルウェアをプロファイリングし アパレルメーカーおよび仮想通貨を狙ったマルウェアもまた Operation K abar Cobra に関連しており その背後に Kimsuky グループがいるという説を明白にした 次はアンラボが確保した様々な技術的根拠を要約した ものである (1) マルウェア配布方式の類似性基本的にマルウェアを配布する方式が同じだった 攻撃対象を騙すための偽装用文書ファイルとともに悪意あるスクリプトが WinRAR SFX(Self-ext racting archive 自動解凍 ) 方式で圧縮されていた 仮想通貨を狙った攻撃には イーサネットリウムの取引履歴に偽装した Excel ファイルを利用しており アパレルメーカーを狙った攻撃には [ 図 10] のように中国語 ( 簡体字 ) で作成した見積書に偽装した Excel ファイルを使った [ 図 10] 見積書になりすました悪質なエクセルファイル ただし C&C 情報をダウンロードする方法には差があった 軍事機関とメディアを対象にした攻撃では攻撃者の Google ドライブにアップロードさ れたファイルで C&C 情報をダウンロードしたのに対し 仮想通貨を狙った攻撃では悪質なスクリプト (2.wsf 3.wsf) で C&C 情報をダウンロード する過程は省略され serverurl いうと変数に C&C サーバーが明示されていた (2) シングル IP - 同じマルウェア配布先および C&C サーバー分析過程で確認したマルウェアの配布地と C&C サーバーは 一つの IP アドレスに接続されるが 当 IP には多数の URL が接続されていた 攻撃者が使用した多数の URL は ほとんど韓国の有名ポータルサイトと Google マイクロソフト そしてアンラボを含む韓国の主要セキュリティ企業名を盗用していた 攻撃者はこれらの URL をマルウェアの配布やフィッシングサイト C&C サーバーとして使用した (3) 同じシェルコード Kimsuky グループが過去の攻撃で使用した悪質なハングルファイルと 2018 年に使用したハングルファイルを分析したところ [ 図 11] のように同じシェルコードが存在していた [ 図 11] の左はこれらの文書ファイルに存在するシェルコードの類似性を比較したもので 灰色領域が同じコードであることを意味する 7

[ 図 11] 2014 に攻撃に使用されたハングルファイル ( 上 ) と 2018 年のハングルファイル ( 下 ) のシェルコードを比較 (4) 追加生成されたマルウェアの同じ動作 2017 年と 2018 年にそれぞれ作成された不正ハングルファイルは すべて core.dll という悪性ファイルを生成した 同ファイルによって作成された core.dll を比較すると 自身を実行するファイルは rundll32.exe と regsvr32.exe でそれぞれ異なるが コードは同じだった もちろんこれだけで二つの悪意あるファイルを Kimsuky グループのものと断定するには不十分だ だがこの二つの core.dll が自身を実行するとき ロードされたプロセスが notepad.exe であれば終了する同じ方式のコードが確認された またこれらのマルウェアが 暗号化された文字列を復号化する際に使用する復号化キーパターンも 4バイトずつ計 32バイトのパターンで同じだった この復号化キーを使用して暗号化された文字列を復号化するためのコードは 同じではないものの非常に似ていた またこれらの事例で確認された悪質なスクリプトコードと動作方法は 前述の最新の攻撃ケースと同じだった Kimsuky から抜け出せるか これまで説明したように 悪意あるハングルファイルに存在する同じシェルコード 同じコードと動作の悪質なスクリプト 同じコードと動作のマルウェアを追加生成 同じ C&C サーバー接続 IP などを証拠に 最近韓国機関を対象に展開された Operation Kabar Cobra の背後で Kims uky グループが後押ししている可能性は非常に高い Kimsuky グループは暗号化ファイルを利用してセキュリティソリューションの検知を迂回する一方で 自己削除 可変ファイル名の使用など多様な手法を駆使してアナリストの追跡から逃れている このように高度化した Kimsuky グループが 2014 年に使用して公開されたハングルの脆弱性とシェルコードを最近になって再使用した理由は何だろう これは標的がいまだに古いバージョンのハングルプログラムを セキュリティ更新プログラムも適用しないまま使用中であることを彼らが把握していたためだろう 標的型攻撃の対象がパッチ管理に徹底しなければならない理由もまさにここにある そして攻撃の被害を最小限に抑えるため 侵入の痕跡をできるだけ迅速かつ正確に収集 検知する方法を確立しなければならない Kimsuky グループをはじめ韓国機関を狙う多数の標的型攻撃が継続的に発生している 政治的な協力関係とは別にサイバー攻撃への継続的な警戒が必要だ 特に複数の攻撃グループの動きを監視 対応するため 国家機関と企業 セキュリティ企業間の情報共有など緊密な連携が求められている アンラボセキュリティ対応センター (ASEC) が発表した Operation Kabar Cobra の分析レポート全文は 次のリンクから確認できる Operation Kabar Cobra の分析レポートをダウンロードする ( 現在は韓国語版のみ ) 8

http://jp.ahnlab.com/site/main.do http://global.ahnlab.com/site/main.do http://www.ahnlab.com/kr/site/main.do アンラボとは株式会社アンラボは 業界をリードする情報セキュリティソリューションの開発会社です 1995 年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました 今後もお客様のビジネス継続性をお守りし 安心できるIT 環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいります アンラボはデスクトップおよびサーバー 携帯電話 オンライントランザクション ネットワークアプライアンスなど多岐にわたる総合セキュリティ製品のラインナップを揃えております どの製品も世界トップクラスのセキュリティレベルを誇り グローバル向けコンサルタントサービスを含む包括的なセキュリティサービスをお届け致します 108-0014 東京都港区芝 4 丁目 13-2 田町フロントビル 3 階 TEL: 03-6453-8315 ( 代 ) 2019 AhnLab, Inc. All rights reserved.

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック