シマンテックは、これまで知られていなかった「Sowbug」という攻撃グループが、徹底した標的型のサイバー攻撃を実行していることを確認しました。南米と東南アジアで、外務機関や外交官が特に集中的に狙われているようです。Sowbug は、侵入した組織から文書を盗み出すという典型的なスパイ活動をしかけています。
シマンテックが Sowbug 関連の活動の証拠を最初に認識したのは、2017 年 3 月、東南アジアの標的に対して使われた新種のマルウェア Felismus を発見したときのことです。その後、太平洋をはさんだ南米でも被害が確認されています。Felismus ツールが最初に特定されたのは 3 月でしたが、Sowbug との関連性は、現在も判明していません。シマンテックは、これ以前の攻撃活動についても Sowbug と関連していたことを突き止めています。Sowbug が活動を開始したのは少なくとも 2015 年の前半と考えられますが、それよりさらにさかのぼる可能性もあります。
現在までのところ、Sowbug は主に南米と東南アジアの政府機関を狙っていると思われ、アルゼンチン、ブラジル、エクアドル、ペルー、ブルネイ、マレーシアの組織に侵入しています。Sowbug グループは組織力が強く、複数の標的に同時に侵入をはたしています。また、目立つのを避けるために、狙った組織の就業時間外に攻撃をしかけることも少なくありません。
[click_to_tweet:1]
徹底した標的型の侵入
被害者の組織に侵入した後の活動から、攻撃者の動機と意図について手がかりが見つかっています。たとえば、南米のある外務機関を狙った 2015 年の攻撃で、Sowbug グループはかなり限定的な情報を探していた節があります。
侵入の最初の形跡は、2015 年 5 月 6 日にさかのぼりますが、本格的な活動が始まったのは同 12 日のことでした。Sowbug は、この外務機関のなかでも特に、アジア太平洋地域との外交を担当する部署を狙っていたようです。Sowbug は、以下のようなコマンドを発行して RAR アーカイブにバンドルすることによって、その部署が所有するファイルサーバーから Word 文書をごっそり抜き出そうと試みました。
cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[編集済み].rar "\\[編集済み]\*.docx" \\[編集済み]\*.doc.
このコマンドは、2015 年 5 月 11 日以降に更新されたファイルのみをアーカイブするよう指定している点に注目してください。
Sowbug は、アーカイブの取得に成功したものと思われます。というのも、1 時間後には再びこの組織に侵入し、今度は、2015 年 5 月 7 日以降に更新された文書をすべて取得しようと試みたからです。つまり、さらに 4 日分のデータを探そうとしていたことになります。最初の侵入時に目的の情報が見つからなかったか、あるいは最初に入手した文書を見て、さらに情報を探す必要があると気づいたか、そのどちらかだったようです。
攻撃は、これで終わりではありませんでした。Sowbug グループが次に狙ったのは、リモート共有ドライブを調べ上げることです。標的とする特定の官庁が所有しているリモート共有ドライブにアクセスし、やはり Word 文書をすべて抜き取ろうとしました。このときは、5 月 9 日以降に更新された文書が検索対象でした。やがてグループは、興味の対象を広げようと考えたのか、リモート共有ドライブで各ディレクトリの内容をリストアップします。そこには、別の部署が所有する情報も含まれており、こちらは国際組織との関係を担当する部署でした。Sowbug は、侵入したサーバーに未知のペイロードも 2 種類投下しています。最終的には、2015 年 5 月から 9 月まで 4 カ月にわたって標的のネットワークに潜伏していたことになります。
ネットワークに潜伏: 目立たずに活動
Sowbug は、狙った組織のネットワーク上に長期にわたって潜伏し続ける場合が多く、なかには被害者の環境に 6 カ月間とどまっていたケースもあります。存在を目立たないようにする手口のひとつが、Windows や Adobe Reader のように、よく使われるソフトウェアパッケージに偽装する方法です。ソフトウェア自体を危殆化しようとした前例はなく、ツールのファイル名を正規のソフトウェアで使われているのと似た名前にして、ディレクトリツリーに置き、正規のファイルに紛れ込ませます。こうすると、プロセスリストに表示されても疑われる可能性が低くなるため、攻撃者はいわば堂々と潜んでいられるわけです。
たとえば、2016 年 9 月にアジアのある組織が侵入を受けたケースでは、1 台のコンピュータ(仮に、「コンピュータ A」とします)にバックドア Felismus がしかけられました。このとき使われたのは、CSIDL_WINDOWS\debug というディレクトリの adobecms.exe というファイル名でした。そこから、今度は CSIDL_APPDATA\microsoft\security というディレクトリに別のコンポーネントとツールがインストールされています。
Sowbug は次に、cmd.exe を介してコンピュータ A で偵察活動を始め、OS のバージョン、ハードウェア構成、ネットワーク情報などシステム関連の情報を収集します。そのまま偵察活動も続け、コンピュータにインストールされているアプリケーションをすべて特定しようとしました。その 4 日後には、Program Files フォルダにある Adobe ディレクトリに「common」というサブディレクトリ(c:\Program Files\Adobe\common)を作成し、そのサブディレクトリに別のツールをインストールします。このツールも、adobecms.exe という名前だったので、同名のバックドアの更新版だったのかもしれません。
攻撃者のネットワーク偵察は、成功したと見られています。この組織で狙われた 2 台目のコンピュータも特定され、侵入を受けているからです。Sowbug は再びコンピュータ A に戻り、次の実行可能ファイルをインストールします。これは fb.exe という名前で、ネットワーク上で他のコンピュータに Felismus を複製するのが目的のようです。Felismus を使ってさらにもう 2 台のコンピュータへの感染を試みた形跡も確認されています。
Sowbug グループがレーダー網をくぐり抜けようとして試みたもうひとつの方策が、一般的な就業時間を外して活動することです。この事例の場合、攻撃者は 2016 年 9 月から翌 2017 年 3 月まで、6 カ月近くにわたって標的のネットワークに潜伏していたことになります。
感染経路
Sowbug が標的のネットワークに最初に侵入した手法は、今もわかっていません。Felismus がどうやってコンピュータに侵入したのか、その痕跡が残っていない場合もあり、この場合はネットワーク上で感染した他のコンピュータから侵入を受けたものと考えられます。別のケースでは、Felismus が Starloader というツール(シマンテックは Trojan.Starloader として検出します)を使ってインストールされた証拠が見つかっています。Starloader は、Stars.jpg というファイルからデータをインストールして暗号化するローダーです。また Starloader は、資格情報ダンプツールやキーロガーなど、攻撃者が使う別のツールを展開することも確認されました。
侵入先のコンピュータに Starloader がインストールされる経緯は、依然として不明です。偽のソフトウェアアップデートを使ってインストールしている、という可能性も指摘されています。シマンテックは、Starloader のファイルが AdobeUpdate.exe、AcrobatUpdate.exe、INTELUPDATE.EXE などと命名されている証拠を発見しているからです。これらのファイルが、バックドア Felismus の複数のバージョンや、他のツールを作成する際に使われていました。
世界的に広がる脅威
サイバースパイ活動が、米国、ヨーロッパ、アジアの標的を狙うことはよくありますが、南米の各国が狙われることはあまりありません。とは言え、サイバースパイ活動が確認される件数は近年着実に増えています。Sowbug は、どんな地域だろうと、この種の脅威と無縁ではいられないという現実を思い出させる結果となりました。
保護対策
シマンテックをお使いのお客様は、Sowbug から保護されています。またシマンテックは、Sowbug の活動で明らかになった標的に対して通知を送ることに努めています。
Intelligence Services または WebFilter 対応製品をお使いのお客様は、Sowbug グループ関連の活動から保護されています。該当する製品は、次のとおりです。
- Web Security Service(WSS)
- ProxySG
- Advanced Secure Gateway(ASG)
- Security Analytics
- Content Analysis
- Malware Analysis
- SSL Visibility
- PacketShaper
シマンテックは、今回のブログでお伝えした脅威に対して次の検出定義を用意しています。
ウイルス対策
IPS
侵害指標
Backdoor.Felismus のサンプル
| MD5 |
検出名 |
| 514f85ebb05cad9e004eee89dde2ed07 |
Backdoor.Felismus |
| 00d356a7cf9f67dd5bb8b2a88e289bc8 |
Backdoor.Felismus |
| c1f65ddabcc1f23d9ba1600789eb581b |
Backdoor.Felismus |
| 967d60c417d70a02030938a2ee8a0b74 |
Backdoor.Felismus |
Trojan.Starloader のサンプル
| MD5 |
検出名 |
| 4984e9e1a5d595c079cc490a22d67490 |
Trojan.Starloader |
Hacktool
インストールディレクトリ
- %WINDOWS%\debug
- %APPDATA%\microsoft\security
コマンド & コントロールのインフラストラクチャ
- nasomember[ドット]com
- cosecman[ドット]com
- unifoxs[ドット]com