ロシアのハッカー集団「ACTINIUM」がウクライナの機関をターゲットにサイバー攻撃を開始。その手法とは?
研究者の解説
現代における戦争では、サイバー攻撃は重要な軍事攻撃の一つとなっている。今回の攻撃は、ACTINIUMが急速に進化するサイバー攻撃の技術を駆使し、従来の侵入検知システムの効果を低下させ、マルウェアによってサイバー攻撃をしかけてきたものだ。この攻撃行動から、一般的なマルウェア対策だけでは対応することが困難になっていることが分かる。そのため、当局は敵対国のサイバー活動に特に注意を払い、脅威対策においては、シグネチャ検出だけに頼らないよう対策をとる必要がある。
1,概要
国境など地理的制限なく活動できるサイバー攻撃は、現代の軍事活動において無視できない主要な軍事攻撃の一つとなっている。 ロシアとウクライナの戦争が激化する中、ウクライナ政府は、ロシア連邦保安庁(FSB)傘下のハッカー集団「ACTINIUM」が、ウクライナ国内の政府機関、軍事機関、司法当局、法執行機関、非政府団体、非営利団体など、主要組織を標的にしていることを発表した。ハッカー集団の目的は、ウクライナ側から機密情報を盗み出すことだ。
2,技術分析
ACTINIUMは、まず、フィッシングメールでスピアフィッシング攻撃を行い、最初の感染を実行する。 攻撃者はドメイン名で正当な事業者になりすましており、被害者は攻撃されていることをすぐに認識することが難しい。 更に注意すべきは、攻撃者はメールの内容にスクリプトを埋め込んでいるため、被害者がメールを開いたかどうかを確認することが可能である点だ。
被害者が悪意のある電子メールの添付ファイルを開くと、ファイルはリモートファイルテンプレートをロードし、「PowerPunch」などの次の段階で使用されるマルウェアをダウンロードする。 (添付ファイル自体にはマルウェアのペイロードが含まれていないため、静的ファイル分析でこの侵入方法を検出することは困難である。)
次に、Base64 でエンコードされたマルウェア PowerPunch をマイクロソフトの PowerShell で実行すると、「Volume Serial Number」を暗号化キーとして使用し、次の段階のマルウェア「Pterodo」をドロップする。その後、攻撃者は Pterodo を展開し、標的のネットワークにアクセスし、オープンソースのリモートデスクトップ遠隔操作ソフト「UltraVNC」を使用して接続する。 最後に、攻撃者は別の悪意のあるプログラム「QuietSieve」を通じてデータを盗むのだ。
Pterodoは、内部で使用するアプリケーション・プログラミング・インターフェース(API)関数名のハッシュ値を独自に作成して格納している。API関数をコールするとき、OSにロードされているAPI関数名のハッシュ値を計算し、ハッシュ値が一致することで使用したいAPI関数であると判定し、そのAPI関数のアドレスのオフセット値を格納することで、API関数のハッシュ値とアドレスのオフセット値のマップを作成する。また、実際のAPIコール時には、DLLのハンドルを取得するために使用するDLL名を復号化するが、ハンドルを取得すると即座に復号化されたDLL名が格納されたメモリを解放する。このため、解析者はマルウェアがどのAPI関数を呼び出しているかを知ることが困難になるのだ。
3,予防措置
この種の攻撃はフィッシングメールから始まるため、インシデントを防ぐためには、検証されていないソースからファイルをダウンロードあるいは実行したりしないよう、ユーザーの意識を高めていくことが重要だ。検証されているソースは、DKIM、SMIMEを使用したメールを検証している場合を指す。その場合は、インシデントの可能性は低くなる。
4,参考資料
Microsoft. “ACTINIUM targets Ukrainian organizations” Accessed March 4, 2022. https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/
Security Service of Ukraine. “Gamaredon/ Armageddon Group” Accessed March 4, 2022. https://ssu.gov.ua/uploads/files/DKIB/Technical%20report%20Armagedon.pdf
BROADCOM SOFTWARE. “Shuckworm Continues Cyber-Espionage Attacks Against Ukraine” Accessed March 4, 2022. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-gamaredon-espionage-ukraine
Unit 42. “Russia’s Gamaredon aka Primitive Bear APT Group Actively Targeting Ukraine (Updated Feb. 16)” Accessed March 4, 2022. https://unit42.paloaltonetworks.com/gamaredon-primitive-bear-ukraine-update-2021/
IoCs情報
IoC Value | IoC Type | Comment |
Jolotras[.]ru | Domain name | QuietSieve, associated with multiple malware samples |
Moolin[.]ru | Domain name | QuietSieve, associated with multiple malware samples |
0afce2247ffb53783259b7dc5a0afe04d918767c991db2da906277898fd80be5 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
f211e0eb49990edbb5de2bcf2f573ea6a0b6f3549e772fd16bf7cc214d924824 | SHA-256 | QuietSieve, communicates with jolotras[.]ru domain(s) |
6d4b97e74abf499fa983b73a1e6957eadb2ec6a83e206fff1ab863448e4262c6 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
eb1724d14397de8f9dca4720dada0195ebb99d72427703cabcb47b174a3bfea2 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
b92dcbacbaaf0a05c805d31762cd4e45c912ba940c57b982939d79731cf97217 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
b3d68268bd4bb14b6d412cef2b12ae4f2a385c36600676c1a9988cf1e9256877 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
a6867e9086a8f713a962238204a3266185de2cc3c662fba8d79f0e9b22ce8dd6 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
a01e12988448a5b26d1d1adecc2dda539b5842f6a7044f8803a52c8bb714cdb0 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
8a8c1a292eeb404407a9fe90430663a6d17767e49d52107b60bc229c090a0ae9 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
15099fc6aea1961164954033b397d773ebf4b3ef7a5567feb064329be6236a01 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
137bfe2977b719d92b87699d93c0f140d659e990b482bbc5301085003c2bd58c | SHA-256 | QuietSieve, communicates with jolotras[.]ru domain(s) |
0e5b4e578788760701630a810d1920d510015367bf90c1eab4373d0c48a921d9 | SHA-256 | QuietSieve, communicates with moolin[.]ru domain(s) |
gorigan[.]ru | Domain name | Pterodo |
teroba[.]ru | Domain name | Pterodo |
krashand[.]ru | Domain name | Pterodo, associated with multiple malware samples |
51b9e03db53b2d583f66e47af56bb0146630f8a175d4a439369045038d6d2a45 | SHA-256 | Pterodo, communicates with krashand[.]ru domain(s) |
2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 | SHA-256 | Pterodo, communicates with gorigan[.]ru domain(s) |
425ee82f20eb87e07a0d4f77adb72bf3377051365be203ee6ded37b399094f20 | SHA-256 | Pterodo, communicates with krashand[.]ru domain(s) |
fe068e324cd4175f857dfee4c23512ed01f3abbf8b6138b715caa1ba5e9486c0 | SHA-256 | Pterodo, communicates with krashand[.]ru domain(s) |
798cd714cf9e352c1e9de3d48971a366b09eeffb3513950fd64737d882c25a38 | SHA-256 | Pterodo, communicates with krashand[.]ru domain(s) |
ef9b39705decbb85269518705053e7f4087758eea6bab4ba9135bf1ae922b2ea | SHA-256 | Pterodo, communicates with krashand[.]ru domain(s) |
a87e9d5e03db793a0c7b8e8e197d14745265422f05e6e50867cdfbd150d0c016 | SHA-256 | Pterodo, communicates with krashand[.]ru domain(s) |
2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 | SHA-256 | Pterodo, communicates with gorigan[.]ru domain(s) |
c68eb2fa929373cac727764d2cc5ca94f19a0ec7fd8c0876b98f946e72d9fa03 | SHA-256 | Pterodo, communicates with gorigan[.]ru domain(s) |
3b6445cf6f8e9e70cb0fff35d723fec8203375d67cbd67c9a672cddc02a7ff99 | SHA-256 | Pterodo |
bae9895ad4e392990a09b1b8a01e424a7ad3769e538ac693919d1b99989f0cb3 | SHA-256 | Pterodo, communicates with teroba[.]ru domain(s) |
c6e092316f61d2fc9c84299dd224a6e419e74c98c51a44023f8f72530ac28fdc | SHA-256 | Pterodo, communicates with teroba[.]ru domain(s) |
cb0d151d930b17f6376c18aa15fd976eac53d6f07d065fc27c40b466e3bc49aa | SHA-256 | Pterodo |
%windir%¥System32¥schtasks.exe” /CREATE /sc minute /mo 12 /tn “deepness” /tr “wscript.exe “%PUBLIC%¥Pictures¥deepness.fly” //e:VBScript //b” /F | Command line | DessertDown artifact (note generated word used – deepness, this will vary) |
wscript.exe C:¥Users¥[username]¥continue.wav //e:VBScript //b | Command line | DinoTrain artifact (note generated words used – [username] and continue, these will vary) |
alacritas[.]ru | Domain name | PowerPunch |
libellus[.]ru | Domain name | PowerPunch |
brontaga[.]ru | Domain name | DessertDown |
gortomalo[.]ru | Domain name | DessertDown and possibly other ACTINIUM capabilities |
corolain[.]ru | Domain name | Used for PowerShell cmdlets |
goloser[.]ru | Domain name | Used for PowerShell cmdlets |
delicacy[.]delicate[.]maizuko[.]ru | Domain name | DinoTrain |
0f9d723c3023a6af3e5522f63f649c7d6a8cb2727ec092e0b38ee76cd1bbf1c4 | SHA-256 | DessertDown, communicates with brontaga[.]ru domain(s) |
bf90d5db47e6ba3a1840976b6bb88a8d0dfe97dfe02c9ca31b7be4018816d232 | SHA-256 | DessertDown, communicates with gloritapa[.]ru and gortomalo[.]ru domains |
b9b41fbbd646f11d148cface520a5d4e0ec502ba85c67b00668e239082a302e3 | SHA-256 | DinoTrain, communicates with delicacy[.]delicate[.]maizuko[.]ru |
c05f4c5a6bb940e94782e07cf276fc103a6acca365ba28e7b4db09b5bbc01e58 | SHA-256 | DilongTrash, communicates with privigna[.]ru |
3cbe7d544ef4c8ff8e5c1e101dbdf5316d0cfbe32658d8b9209f922309162bcf | SHA-256 | ObfuBerry |
3bab73a7ba6b84d9c070bb7f71daab5b40fcb6ee0387b67be51e978a47c25439 | SHA-256 | ObfuMerry |
株式会社CyCraft Japanについて
株式会社CyCraft Japanは、台湾を拠点として日本、シンガポール、米国に子会社を持つ世界有数のAI情報セキュリティ技術企業で、革新的なAI技術による情報セキュリティの自動化、EDR、CTI、TIGの統合、次世代AI情報セキュリティセンターの構築サービスを提供しています。アジアの政府機関、フォーチュン・グローバル500選出企業、主要銀⾏および⾦融機関で採用されています。2021年には、ガートナー社の「Greater China AI New StartUps」やIDC社の「Intelligence-led Cybersecurity」において代表事例に選定されています。 エンドポイントからネットワークまで、調査から遮断まで、自社構築から委託管理まで、CyCraft AIRは企業のセキュリティに必要な全ての面をカバーし、「脅威を思い通りにさせない」という目標を達成しています。