JPCERT/CCは2024年8月頃に確認されたAPT-C-60による国内組織を標的とした攻撃について、解説しており、本攻撃は、正規サービス(Google Drive、Bitbucket、StatCounterなど)を悪用し、入社希望者を装ったメールを通じてマルウェアを拡散させるものでした。
目次
マルウェア感染までの流れ
本攻撃は、標的型攻撃メールを使用しており、採用担当窓口宛のメールに記載されたGoogle DriveリンクからVHDX形式のファイルをダウンロードさせる形で実行されます。
感染のプロセス
- メール受信:採用担当窓口宛に送られるメールにGoogle Driveのリンクが記載されています。
- VHDXファイルの展開:仮想ディスク形式のVHDXファイルをダウンロード・マウント。内部には以下が含まれています:
- Self-Introduction.lnk(LNKファイル)
- IPML.txt(おとり文書およびマルウェアの実行トリガー)
- LNKファイルの実行:LNKファイルを通じて正規実行ファイル(git.exe)を使用し、IPML.txtを実行します。
- 永続化の実施:COMハイジャッキングを利用してSecureBootUEFI.datを永続化。
上記とは別の事例で、APT-C-60は2022年から韓国を標的とした攻撃を行っており、APTグループのサイバー攻撃者は韓国の大学院生の論文審査を装い、cloud.mail.ruにホストされている悪意のあるファイルをダウンロードするようターゲットを誘導していました。
ダウンローダーの詳細分析
SecureBootUEFI.datは、正規サービスであるBitbucketやStatCounterを悪用し、感染端末の確認とさらなるマルウェアのダウンロードを行います。
通信の流れ
- StatCounterへのアクセス:感染端末固有の情報(コンピュータ名、ユーザー名など)をエンコードし、リファラー情報として送信。
- Bitbucketからのダウンロード:以下のプロセスでService.datを取得・実行:
- XORキーでエンコードされたService.datを取得。
- 解読後、端末内に保存および実行。
- 次のステージのマルウェア取得:cn.datおよびsp.datをBase64とカスタムXORキーでデコードし保存。COMハイジャッキングを利用して永続化。
バックドアの分析
今回使用されたバックドアは、ESETによりSpyGraceと命名されているもので、以下の特徴があります
- 初期化フェーズ:Mutexの作成、ネットワーク疎通確認、特定フォルダー内のファイル実行などを実施。
- コマンド実行機能:リモートシェル、スクリーンショットの自動送信、ファイルのアップロード/ダウンロードなど幅広いコマンドを実行可能。
バックドアの詳細なコマンド一覧はAppendix Aに記載しています。
同種マルウェアを使用したキャンペーン
本マルウェアと類似したキャンペーンが、2024年8月~9月にかけて日本、韓国、中国を含む東アジアで確認されています。これらの攻撃では、BitbucketやStatCounterを悪用し、永続化にCOMハイジャッキングを使用する共通点が見られます。
確認されたおとり文書例:今回のVHDXファイル内部には、日本や韓国を想定した文書が含まれており、特定地域を標的としていることが示唆されます。
Appendix A: バックドアのコマンド一覧
| コマンド | 実行内容 |
|---|---|
| cd | 指定されたディレクトリへの移動 |
| download | 暗号化されたファイルのダウンロード |
| upload | ファイルアップロード |
| screenupload | スクリーンショットのアップロード |
関連記事
TP-LINK ルーターのtelnetを探索する動きを観測
JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
米カンザス州でロックビット(LockBit) ランサムウェアグループからサイバー攻撃を受け個人情報漏洩の可能性
ロンドンの医療機関「Synnovis 」を狙ったランサムウェアグループ「Qilin」の概要
イセトーとニデックへの不正アクセスとランサムウェア 攻撃は「8Base」が関与か
ロックビット(Lock Bit)は米連邦準備銀行(FRB)ではなくエボルブ銀行へハッキングか
BlackSuitがKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開
米 プルデンシャル・ファイナンシャルがサイバー攻撃で250万人のデータ漏洩の可能性
セキュリティインシデント 事例【2024年】