CyCraft Japan/ロシア・ウクライナ戦争の前哨戦

  • このエントリーをはてなブックマークに追加
偽のドメイン名を使ったフィッシングメール

ロシアのハッカー集団「ACTINIUM」がウクライナの機関をターゲットにサイバー攻撃を開始。その手法とは?

 ウクライナとロシアの戦争が激化する中、サイバー攻撃は、実弾による両国の戦争の前哨戦となっている。 研究者によると、ロシアのハッカーグループ「ACTINIUM」は、サイバー攻撃のシグネチャ検知を回避し、より高度なマルウェアを展開するための新しい難読化機能を開発した。 また、ACTINIUMは大量のドメイン、IPアドレス、ワードリストを使用してIoCs情報に基づく検出を回避しているため、研究者が脅威を分析、特定することが困難になっている。

研究者の解説
 現代における戦争では、サイバー攻撃は重要な軍事攻撃の一つとなっている。今回の攻撃は、ACTINIUMが急速に進化するサイバー攻撃の技術を駆使し、従来の侵入検知システムの効果を低下させ、マルウェアによってサイバー攻撃をしかけてきたものだ。この攻撃行動から、一般的なマルウェア対策だけでは対応することが困難になっていることが分かる。そのため、当局は敵対国のサイバー活動に特に注意を払い、脅威対策においては、シグネチャ検出だけに頼らないよう対策をとる必要がある。

1,概要
 国境など地理的制限なく活動できるサイバー攻撃は、現代の軍事活動において無視できない主要な軍事攻撃の一つとなっている。 ロシアとウクライナの戦争が激化する中、ウクライナ政府は、ロシア連邦保安庁(FSB)傘下のハッカー集団「ACTINIUM」が、ウクライナ国内の政府機関、軍事機関、司法当局、法執行機関、非政府団体、非営利団体など、主要組織を標的にしていることを発表した。ハッカー集団の目的は、ウクライナ側から機密情報を盗み出すことだ。

2,技術分析
 ACTINIUMは、まず、フィッシングメールでスピアフィッシング攻撃を行い、最初の感染を実行する。 攻撃者はドメイン名で正当な事業者になりすましており、被害者は攻撃されていることをすぐに認識することが難しい。 更に注意すべきは、攻撃者はメールの内容にスクリプトを埋め込んでいるため、被害者がメールを開いたかどうかを確認することが可能である点だ。

偽のドメイン名を使ったフィッシングメール偽のドメイン名を使ったフィッシングメール

 被害者が悪意のある電子メールの添付ファイルを開くと、ファイルはリモートファイルテンプレートをロードし、「PowerPunch」などの次の段階で使用されるマルウェアをダウンロードする。 (添付ファイル自体にはマルウェアのペイロードが含まれていないため、静的ファイル分析でこの侵入方法を検出することは困難である。)

 次に、Base64 でエンコードされたマルウェア PowerPunch をマイクロソフトの PowerShell で実行すると、「Volume Serial Number」を暗号化キーとして使用し、次の段階のマルウェア「Pterodo」をドロップする。その後、攻撃者は Pterodo を展開し、標的のネットワークにアクセスし、オープンソースのリモートデスクトップ遠隔操作ソフト「UltraVNC」を使用して接続する。 最後に、攻撃者は別の悪意のあるプログラム「QuietSieve」を通じてデータを盗むのだ。

PowerPunch の仕組みPowerPunch の仕組み

 

 Pterodoは、内部で使用するアプリケーション・プログラミング・インターフェース(API)関数名のハッシュ値を独自に作成して格納している。API関数をコールするとき、OSにロードされているAPI関数名のハッシュ値を計算し、ハッシュ値が一致することで使用したいAPI関数であると判定し、そのAPI関数のアドレスのオフセット値を格納することで、API関数のハッシュ値とアドレスのオフセット値のマップを作成する。また、実際のAPIコール時には、DLLのハンドルを取得するために使用するDLL名を復号化するが、ハンドルを取得すると即座に復号化されたDLL名が格納されたメモリを解放する。このため、解析者はマルウェアがどのAPI関数を呼び出しているかを知ることが困難になるのだ。
 

Pterodoで作成した関数のハッシュ値の一覧Pterodoで作成した関数のハッシュ値の一覧

Pterodoが実行した関数Pterodoが実行した関数

3,予防措置

 この種の攻撃はフィッシングメールから始まるため、インシデントを防ぐためには、検証されていないソースからファイルをダウンロードあるいは実行したりしないよう、ユーザーの意識を高めていくことが重要だ。検証されているソースは、DKIM、SMIMEを使用したメールを検証している場合を指す。その場合は、インシデントの可能性は低くなる。

4,参考資料
Microsoft. “ACTINIUM targets Ukrainian organizations” Accessed March 4, 2022. https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/ 

Security Service of Ukraine. “Gamaredon/ Armageddon Group” Accessed March 4, 2022. https://ssu.gov.ua/uploads/files/DKIB/Technical%20report%20Armagedon.pdf

BROADCOM SOFTWARE. “Shuckworm Continues Cyber-Espionage Attacks Against Ukraine” Accessed March 4, 2022. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-gamaredon-espionage-ukraine

Unit 42. “Russia’s Gamaredon aka Primitive Bear APT Group Actively Targeting Ukraine (Updated Feb. 16)” Accessed March 4, 2022. https://unit42.paloaltonetworks.com/gamaredon-primitive-bear-ukraine-update-2021/

IoCs情報

IoC Value IoC Type Comment
Jolotras[.]ru Domain name QuietSieve, associated with multiple malware samples
Moolin[.]ru Domain name QuietSieve, associated with multiple malware samples
0afce2247ffb53783259b7dc5a0afe04d918767c991db2da906277898fd80be5 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
f211e0eb49990edbb5de2bcf2f573ea6a0b6f3549e772fd16bf7cc214d924824 SHA-256 QuietSieve, communicates with jolotras[.]ru domain(s)

 

6d4b97e74abf499fa983b73a1e6957eadb2ec6a83e206fff1ab863448e4262c6 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
eb1724d14397de8f9dca4720dada0195ebb99d72427703cabcb47b174a3bfea2 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
b92dcbacbaaf0a05c805d31762cd4e45c912ba940c57b982939d79731cf97217 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
b3d68268bd4bb14b6d412cef2b12ae4f2a385c36600676c1a9988cf1e9256877 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
a6867e9086a8f713a962238204a3266185de2cc3c662fba8d79f0e9b22ce8dd6 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
a01e12988448a5b26d1d1adecc2dda539b5842f6a7044f8803a52c8bb714cdb0 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)

 

8a8c1a292eeb404407a9fe90430663a6d17767e49d52107b60bc229c090a0ae9 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
15099fc6aea1961164954033b397d773ebf4b3ef7a5567feb064329be6236a01 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
137bfe2977b719d92b87699d93c0f140d659e990b482bbc5301085003c2bd58c SHA-256 QuietSieve, communicates with jolotras[.]ru domain(s)
0e5b4e578788760701630a810d1920d510015367bf90c1eab4373d0c48a921d9 SHA-256 QuietSieve, communicates with moolin[.]ru domain(s)
gorigan[.]ru Domain name Pterodo
teroba[.]ru Domain name Pterodo
krashand[.]ru Domain name Pterodo, associated with multiple malware samples

 

51b9e03db53b2d583f66e47af56bb0146630f8a175d4a439369045038d6d2a45 SHA-256 Pterodo, communicates with krashand[.]ru domain(s)
2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 SHA-256 Pterodo, communicates with gorigan[.]ru domain(s)
425ee82f20eb87e07a0d4f77adb72bf3377051365be203ee6ded37b399094f20 SHA-256 Pterodo, communicates with krashand[.]ru domain(s)
fe068e324cd4175f857dfee4c23512ed01f3abbf8b6138b715caa1ba5e9486c0 SHA-256 Pterodo, communicates with krashand[.]ru domain(s)
798cd714cf9e352c1e9de3d48971a366b09eeffb3513950fd64737d882c25a38 SHA-256 Pterodo, communicates with krashand[.]ru domain(s)
ef9b39705decbb85269518705053e7f4087758eea6bab4ba9135bf1ae922b2ea SHA-256 Pterodo, communicates with krashand[.]ru domain(s)
a87e9d5e03db793a0c7b8e8e197d14745265422f05e6e50867cdfbd150d0c016 SHA-256 Pterodo, communicates with krashand[.]ru domain(s)

 

2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 SHA-256 Pterodo, communicates with gorigan[.]ru domain(s)
c68eb2fa929373cac727764d2cc5ca94f19a0ec7fd8c0876b98f946e72d9fa03 SHA-256 Pterodo, communicates with gorigan[.]ru domain(s)
3b6445cf6f8e9e70cb0fff35d723fec8203375d67cbd67c9a672cddc02a7ff99 SHA-256 Pterodo
bae9895ad4e392990a09b1b8a01e424a7ad3769e538ac693919d1b99989f0cb3 SHA-256 Pterodo, communicates with teroba[.]ru domain(s)
c6e092316f61d2fc9c84299dd224a6e419e74c98c51a44023f8f72530ac28fdc SHA-256 Pterodo, communicates with teroba[.]ru domain(s)
cb0d151d930b17f6376c18aa15fd976eac53d6f07d065fc27c40b466e3bc49aa SHA-256 Pterodo
%windir%¥System32¥schtasks.exe” /CREATE /sc minute /mo 12 /tn “deepness” /tr “wscript.exe “%PUBLIC%¥Pictures¥deepness.fly” //e:VBScript //b” /F Command line DessertDown artifact (note generated word used – deepness, this will vary)

 

wscript.exe C:¥Users¥[username]¥continue.wav //e:VBScript //b Command line DinoTrain artifact (note generated words used – [username] and continue, these will vary)
alacritas[.]ru Domain name PowerPunch
libellus[.]ru Domain name PowerPunch
brontaga[.]ru Domain name DessertDown
gortomalo[.]ru Domain name DessertDown and possibly other ACTINIUM capabilities
corolain[.]ru Domain name Used for PowerShell cmdlets
goloser[.]ru Domain name Used for PowerShell cmdlets

 

delicacy[.]delicate[.]maizuko[.]ru Domain name DinoTrain
0f9d723c3023a6af3e5522f63f649c7d6a8cb2727ec092e0b38ee76cd1bbf1c4 SHA-256 DessertDown, communicates with brontaga[.]ru domain(s)
bf90d5db47e6ba3a1840976b6bb88a8d0dfe97dfe02c9ca31b7be4018816d232 SHA-256 DessertDown, communicates with gloritapa[.]ru and gortomalo[.]ru domains
b9b41fbbd646f11d148cface520a5d4e0ec502ba85c67b00668e239082a302e3 SHA-256 DinoTrain, communicates with delicacy[.]delicate[.]maizuko[.]ru
c05f4c5a6bb940e94782e07cf276fc103a6acca365ba28e7b4db09b5bbc01e58 SHA-256 DilongTrash, communicates with privigna[.]ru
3cbe7d544ef4c8ff8e5c1e101dbdf5316d0cfbe32658d8b9209f922309162bcf SHA-256 ObfuBerry
3bab73a7ba6b84d9c070bb7f71daab5b40fcb6ee0387b67be51e978a47c25439 SHA-256 ObfuMerry

 

株式会社CyCraft Japanについて
 株式会社CyCraft Japanは、台湾を拠点として日本、シンガポール、米国に子会社を持つ世界有数のAI情報セキュリティ技術企業で、革新的なAI技術による情報セキュリティの自動化、EDR、CTI、TIGの統合、次世代AI情報セキュリティセンターの構築サービスを提供しています。アジアの政府機関、フォーチュン・グローバル500選出企業、主要銀⾏および⾦融機関で採用されています。2021年には、ガートナー社の「Greater China AI New StartUps」やIDC社の「Intelligence-led Cybersecurity」において代表事例に選定されています。 エンドポイントからネットワークまで、調査から遮断まで、自社構築から委託管理まで、CyCraft AIRは企業のセキュリティに必要な全ての面をカバーし、「脅威を思い通りにさせない」という目標を達成しています。

 

 

注目記事:MVNOとは?初心者にもわかりやすく解説 「本当に安くなるの?」

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。