AhnLab セキュリティセンター

日韓両国で展開されるターゲット型攻撃の実態

2019-04-04

本レポートは、アンラボコリアより発表された内容を翻訳したものです。

--------------------------------------------------------------------------------------------- 

 

実に 10 年間にもわたって日本と韓国を中心に攻撃を展開してきた攻撃者グループがある。その名は 「Tick グループ」 (Tick Group または Tick Threat Group) といい、Bald KnightBronze ButlerNianRedBaldknight などとも呼ばれている。彼らは、海外のセキュリティ企業によって2013 年に発見された。同社によって 「Tick」 と命名された翌 2014 年以降、本格的な活動が確認されており、この頃から、日韓両国の官公庁や企業に対する攻撃を始めたことがわかっている。

 

以前は、日本での攻撃事例が知られていただけで、韓国での事例はさほど知られていなかったが、2008 年の時点で、​このグループに関係するマルウェアが既に発見されていることから、実に 10 年以上にわたり、韓国を攻撃対象としてきたものと推測される。

 

特筆すべき点として、このグループは日韓両国の IT インフラに関し、かなりの量の情報を把握した上で攻撃を展開しているものとみられる。その根拠として、日本の事例では、日本国内で広く使用されている製品の脆弱性を利用している一方、韓国では脆弱性攻撃に加え、韓国製アンチウイルスソフトやセキュリティ USB 製品を攻撃している。

 

以下では、韓国での攻撃事例を中心に、Tick グループの攻撃手法とマルウェアについて概説する。

 

 

主な攻撃事例

Tick グループは、韓国国内において、防衛関連企業や国防・政治に関連する官公庁のほか、エネルギー、電子、製造、セキュリティ、ウェブホスティング、IT サービスなど、さまざまな産業分野を攻撃対象としており、主な攻撃手法としては、スピアフィッシング、Adobe Flash MS Office などの脆弱性を利用した攻撃、水飲み場型攻撃などを用いている。また、マルウェアにゴミデータ (Garbage data) を加えて分析を妨害したり、悪性ファイルを作成する際に数十~数百メガバイトの長さのファイルを形成するなどの方法により、セキュリティプログラムの回避を試みる。 

 

[表 1] Tickグループによる主な攻撃事例 (2013-2019)​

 

 

主なマルウェアの詳細

Tick グループが使用してきたマルウェアの種類には、ダウンローダーBisodown (別名 Cpycat またはHomamDownloader) Gofarer、バックドアの DaserfDatperHdoorGhostratNetboy (別名 Domino または Invader)Ninezero (9002)Xxmm など、さまざまなものがある。このグループが使用したマルウェアを機能別に見てみると以下のようになる。

 

 

1. ダウンローダー (Downloader)

攻撃者は、攻撃対象に対し、業務に関連する内容に偽装したメールを送る。メールには PDF または Word ファイルに偽装した実行ファイルが添付されている。ここで、添付ファイルを開くと実行ファイルが起動し、ダウンローダーにより、マルウェアがダウンロードされる。

 

このグループが使用したダウンローダーには、2014 4 月に発見された Bisodown 2015 年に発見された Gofarer がある。Bisodown は、2019 年までの間に、韓国の企業や官公庁を狙った攻撃で何度か用いられている。 

 

 [1] Bisodown の文字列

 

 

2015 年以降に発見されたダウンローダーの亜種では、ファイル作成時にファイルの末端にゴミデータを加え、ファイルサイズを数十~数百メガバイトとしている。 

 

 [2] ファイル作成時に加えられたゴミデータの値

 

 

Gofarer ダウンローダーのデジタル署名を確認した結果、[3] のように 「Heruida Electronic」 という業者の証明書が付けられていることがわかった。しかし、実際に存在する業者であるかは確認されていない。

 


 [3] マルウェアのデジタル署名

 

 

これとは別に、同じ証明書を使って署名されたマルウェアが4個発見されている。そのうち、2015 7 月に発見された亜種と証明書がない亜種は、いずれも日本で見つかっている。現在のところ、韓国で Gofarer の亜種は見つかっていない。

 

 

2. バックドア (Backdoor)

バックドア機能を持つマルウェアには、Daserf (別名 MuirimNioupalePostbot)Netboy (別名 DominoInvaderKickesgo)Ninezero (9002)Xxmm (別名 KVNDMMinzenMurimShadowWaliWaliWrim)Datper などがある。

 

Daserf は主に、ファイル一覧の参照、cmd.exe によるコマンド実行、ファイルのアップロード/ダウンロード/削除/実行などの機能を行う。最初に発見されたのは 2009 年であったが、韓国で確認されたのは20114月が始めてであった。初期には C 言語で作成されていたが、2013 年には、Delphi で作成された亜種も現れた。Daserf の亜種のファイルサイズは概ね 3040 KB程度だが、一部、100 KB以上のものも存在する。

 

Daserf の亜種には、バージョン情報などの特徴的な文字列とファイル末端に配置された暗号化された C&C 情報が存在し、[4] のサンプルのバージョンは 1.3G であることがわかる。

 


[4] バージョン情報が含まれた Daserf の文字列

 

 

韓国での攻撃事例では、Daserf に感染したシステムにおいて、2011 4 月 に keyll.ee というファイル名のキーロガーが確認されており、Daserf に感染した別の 2 つのシステムからも、これに似たキーロガーが見つかっている。Daserf によってキーロガーがダウンロードされたものと見られる。

 

Netboy は、Delphi で作成されたマルウェアであり、ほとんどの亜種では、主要な文字列が 0x7C によって XOR 暗号化されている。韓国では 2008 年に初期バージョンが発見されており、他の亜種と同じように、主要な文字列は 0xC7 によって XOR 暗号化されていたが、DLL ファイルの形式であった。この亜種は、2010 年に発見されたサンプルとはコードの面でもかなり異なっていた。韓国で Netboy の亜種が最も多く発見されたのは 2010 年であり、この頃から本格的に活動を開始した。

 


[5] NetboyXOR 暗号コード

 

 

Netboy は、explorer.exe などの正常なプロセスに悪意あるコードを挿入してキーロギング、画面キャプチャー、プロセス一覧、プログラム実行などの機能を行う。2013 年以降に発見された亜種では、コードの中間にゴミデータを追加するなどして分析の妨害を図っている。

 

Ninezero は、Tick グループが 2012 年から 2013 年の間に使用したマルウェアであり、通信を行う際に、「9002」 という文字列を送信するという特徴から、「9002 バックドア」 とも呼ばれている。韓国では 2012 年に初めて確認されている。ファイルサイズは 70 KB程度で、実行されると、DLL 形式のバックドアを作成し、サービスとして動作する。アンラボによる分析の結果、一部のシステムにおいて、Netboy に感染した後で Ninezero に感染した痕跡が見られた。

 

2015年に初めて発見された、さらに別のバックドアマルウェアは、[6] のようにコードの内部に Xxmm という文字列が存在することから、Xxmm と名づけられた。ただし、Tick グループがこのマルウェアを本格的に使用するのは 2016 年になってからである。

 


[6] Xxmm の特徴的な文字列

 

 

Xxmm は大きく分けて、ドロッパー、ローダー、バックドアの 3 つのモジュールから構成されている。ドロッパーが実行されると、OS を確認して、32bit もしくは 64bit のローダーマルウェアが作成される。そして、ローダーが実行されると、暗号化されたバックドアマルウェアがメモリーにインジェクションされ、実行される。Xxmm も同様に、ゴミデータを追加して、ファイルの長さを 50100 MB に伸ばしている。

 

Datper は、2015 年以降、現在まで継続的に見つかっているマルウェアであり、Delphi で作成されている。Tick グループが使用する他のマルウェアと同様に、コードの中間にゴミデータを入れ込んである。Datper の亜種に感染した一部のシステムからは、キーロガーや Mimikatz なども発見されている。

 

 

3. キーロガー (Keylogger)

2011 4 月と 5 月に Datper に感染した一部のシステムから、上述のように、keyll.exe という名前のキーロガーが見つかっている。このキーロガーが実行されると、ユーザーがキーボードで入力した内容が c:\windows\log.txt ファイルに保存される。

 


[7] 2011年に見つかったキーロガーの文字列

 

 

2017年と2018年には、BisodownDatperに感染したシステムから、また新たなキーロガーが発見された。これらのキーロガーのファイル名は apphelp.dllk6.dlllinkinfo.dll というもので、ファイルサイズは約4050KBである。

 


[8] 2017 年に見つかったキーロガーの文字列

 

 

主な攻撃ツールの分析

アンラボでは、Tick グループの活動を追跡する中で、攻撃者が保有する下記のような各種攻撃ツールを確認した。

 

1. アンチウイルスプログラム回避 (Anti-AV)

Anti1.0 は、韓国で広く使用されている国産アンチウイルスプログラムを攻撃するマルウェアを作成するためのツールである。2011 5 月から 7 月にかけて、多数の亜種が作成された。

 


[9] 国産アンチウイルスプログラム攻撃用マルウェア作成ツール

 


[10] 国産アンチウイルスプログラム攻撃用コードの文字列​

 

 

2. ビルダー (Builder)

2011 年に作成された NForce は、脆弱性を突いた攻撃を行う悪性 PDF を作成 (Build) するためのプログラムである。

 


[11] 悪性 PDF 作成ツール 「NForce

 

 

ShadowDawn 2016 年に発見されたビルダーであり、UI Xxmm ビルダー ([13] 参照) と類似している。

 


[12] ShadowDawn 作成ツール

 

 

3. コントローラー (Controller)

Tick グループは、Netboy Xxmm を作成するにあたり、各種のコントローラープログラムを使用した。

 


[13] Xxmm 作成ツール

 

 

そのうち、NetGhost 2014 年から 2017 年にかけて見つかったコントローラーであり、「Modified From Gh0st 3.6」 のような文字列が含まれていることから、Gh0st をベースに作成された可能性がある。

 


[14] コントローラー 「NetGhost

 

 

4. WCE (Windows Credentials Editor)

WCE (Windows Credentials Editor) は、Windows システムのアカウント情報を知ることができるプログラムである。攻撃者らは 2013 年に WCE.exe を使用している。

 


[15] WCE の実行画面

 

 

2014 年には初めて 64bit WCE が発見された。また、2016 6 月に発見された 64bit WCE は、上述の Gofarer のデジタル署名と同様に 「Heruida Electronic」 という業者の証明書が付けられていた。

 

 

5. Mimikatz

Tick グループは、2015年以降、WCE に代えて Mimikatz を使ってアカウント情報の搾取を企てており、Datper に感染したシステムからは、mi.exem3.exe といった名前を持つ Mimikatz の亜種が見つかっている。

 


[16] Mimikatz の実行画面

 

 

アンラボ V3 製品では、Tick グループに関連するマルウェアについて、下記の検知名で検知している。

 

<V3検知名>

Dropper/Win32.Homam

Trojan/Win32.Daserf

Trojan/Win32.Datper

Trojan/Win32.Domino

Trojan/Win32.Gofarer

Trojan/Win32.Homamdown

Trojan/Win32.MalCrypted

Trojan/Win32.Netboy

Trojan/Win32.Xxmm

Win-Trojan/Injector.37100

 

 

悪性ファイルの動きを把握することが重要

単にマルウェアから攻撃のバックグラウンドを特定しようとしても限界がある。しかし、Tick グループの場合、一部のマルウェアに付けられた証明書の署名が同一である、Daserf に感染したシステムから Netboy が見つかる、Ninezero に感染したシステムから Netboy も一緒に見つかるなど、明らかな関連性がみられる。そして、大部分のマルウェアにおいて、ゴミデータを加えることでファイルサイズを増やす方法を用いているという点も類似している。これは、ほとんどのセキュリティソフトがサイズの大きいファイルを収集しないという点を狙ったものである。

 

もちろん、一部のマルウェアについては関連性の把握が困難であり、別のグループのマルウェアとして知られている Bisonal 系のマルウェアをダウンロードするケースもあった。

 

Tick グループによる攻撃について、その関連性をより明らかにするためには、マルウェアだけでなく、C&C サーバーなどの特徴を知る必要があり、特に、攻撃対象の内部でマルウェアが移動する過程、すなわちラテラルムーブメント (Lateral movement) について把握するといった作業も必要である。そのため、Tick グループの攻撃対象である企業や官公庁では、エンドポイントを中心として悪性ファイルが流入した地点からのファイルの移動経路、行為および他のファイルとの関係性を詳細に把握し、追跡する方法を策定するとともに、セキュリティ企業との積極的な情報共有が重要である。また、Tick グループは日本と韓国を対象として攻撃を展開していることから、国家間での協力も求められる。

top