マルウェア
標的型攻撃グループ「Earth Bogle」による地政学事情を悪用した中東地域を狙う攻撃を解説
トレンドマイクロは、少なくとも2022年の半ばから進行中の活発な攻撃を発見しました。この攻撃は、中東地域の地政学事情を悪用した手口を使用し、中東及び北アフリカ地域の被害者を誘き寄せ「NjRAT(別称:Bladabindi)」を拡散しています。
トレンドマイクロは、少なくとも2022年の半ばから進行中の活発な攻撃を発見しました。この攻撃は、中東地域の地政学事情を悪用した手口を使用し、中東及び北アフリカ地域の被害者を誘き寄せ「NjRAT(別称:Bladabindi)」を拡散しています。
トレンドマイクロは、脅威に関する調査において、中東の地政学事情を利用した手口を用いて中東及びアフリカ地域の標的を狙う活発な攻撃を確認しました。トレンドマイクロは、本攻撃を「Earth Bogle」と名付けました。攻撃者は「files.fm」や「failiem.lv」等のパブリッククラウドストレージサービスを使用してマルウェアをホストし、感染したWebサーバーを介して「NjRAT(別称:Bladabindi)」を拡散します。
NjRATは、2013年に初めて発見されたRAT(リモートアクセス型トロイの木馬)マルウェアです。これは、感染したコンピュータへ不正にアクセスし、コントロールするために使用されます。NjRATは、これまで中東地域の個人ユーザ及び組織を標的とした様々なサイバー攻撃に用いられています。本脅威から自社システムを保護するためには、セキュリティ対策チームならびにユーザにおいても、システムのセキュリティソリューションを最新の状態に保ち、各クラウドインフラストラクチャを適切に保護することが推奨されます。
ルーチン
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F01.png)
第一段階では、不正ファイルはMicrosoft Cabinet(CAB)アーカイブファイル内に隠されており、「地政学上の機密情報」が含まれるとされるオーディオファイルを装っています。これにより、被害者がファイルを開くように仕向けます。拡散方法は、ソーシャルメディア(FacebookやDiscordを主に利用)、ファイル共有(OneDrive)又はフィッシングメールを介して行われていることが示唆されています。不正なCABファイルには、難読化されたVBS(Virtual Basic Script)ドロッパーが含まれており、次段階の攻撃を展開する役割を担っています。
不正なCABファイルがダウンロードされると、難読化されたVBSスクリプトが実行され、不正アクセスを受けてスプーフィングを被ったホストからマルウェアを取得します。そして、「NjRat」を被害者のマシンにインジェクトするための PowerShell スクリプトを抽出します。
中東地域の地政学事情を悪用した手口を使用
初期のCABファイルは、以下のSHA256としてVirus Totalにおける検出率が大変低い状況でした。その結果、攻撃者は検知されず、地域全体にその攻撃を拡散することを助長しました。この背後にいる攻撃グループは、不正なCABファイルをホストするためにパブリッククラウドホスティングサービスを使用し、特にアラビア語話者を標的として不正なファイルを開くように誘導する手口を使用しています。
SHA256: a7e2b399b9f0be7e61977b51f6d285f8d53bd4b92d6e11f74660791960b813da及び4985b6e286020de70f0b74d457c7e387463ea711ec21634e35bc46707dfe4c9b
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F02.png)
不正なCABファイルの「ファイル名」の1つは、「Tariq bin Ziyad軍の指揮に関係する視察官であるOmar氏とアラブ首長国連邦の将校との音声通話」と訳すことができます。攻撃者は、リビアで強大な影響力を持つ民兵派閥TBZ (Tariq bin Ziyad)のメンバーとアラブ首長国連邦の将校との間で内密に交わされたとされる音声通話ファイルを囮として使用しています。アラブ首長国連邦と戦争犯罪に関与するグループとの間に関連性があるという偽の情報をほのめかすことで、標的の政治的関心や動揺を掻き立て、不正なファイルを開かせます。このような手口は、2022年12月に暴露された、中東の報道機関になりすましたWebページにFacebook広告を掲載した攻撃方法と類似します。この攻撃では、それと知らぬ被害者が他のユーザに広告を共有・転送することによりマルウェアが拡散されました。
この不正なCABファイルには、次段階のペイロードの拡散を担うエージェントとして機能する「難読化されたVBSスクリプト」が含まれています。被害者が不正なCABファイルを開きVBSファイルを実行すると、第2段階のペイロードが抽出されます。
PowerShellペイロードの拡散
第2段階のペイロードは、以下のSHA256であり、イメージファイルとして偽装されたVBSスクリプトファイル(難読化済み)です。このファイルを実行すると不正なPowerShellスクリプトが抽出されます。
SHA256:6560ef1253f239a398cc5ab237271bddd35b4a18078ad253fd7964e154a2580
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F03.png)
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F04.png)
不正なPowerShellスクリプトを拡散しているドメインは、リビア軍との関係が登録されていますが、スプーフィングにより拡散のホストとなっています。また、ドメイン「gpla[.]gov[.]ly」を確認した結果、2019年に登録されていたことが判明しました。
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F05.png)
類似した攻撃の分析により、攻撃者は、信用のおける組織の名前を騙った偽のソーシャルメディアアカウントを作成、悪用し、不正なペイロードを含むパブリッククラウド共有プラットフォームへのリンクが掲載された広告を掲示していることが示唆されています。その結果、攻撃者は以下の行為を行うことが可能となります。
- 不正なリンクをクリックさせることで、直接ユーザを感染させる
- 地政学事情を悪用した手口でユーザを誘き寄せ、ソーシャルメディアの共有機能を悪用することにより不正なペイロードを拡散し、さらに感染を広げる
また、ドメイン「gpla[.]gov[.]ly」は、少なくとも2021年からセキュリティ侵害を行っていたことが判明しました。
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F06.png)
第2段階ドロッパーの概要
以下のSHA256である第2段階ドロッパーは、難読化済みのPowerShellスクリプトであり、合計5つのファイルを作成します。これらは、2つのバイナリ、VBSスクリプト、PowerShellスクリプト、そしてWindowsバッチスクリプトにより構成されます。
SHA256:78ac9da347d13a9cf07d661cdcd10cb2ca1b11198e4618eb263aec84be32e9c8
各モジュールの機能は以下の通りです。
- Payload_1 : プロセスインジェクタ
- Payload_2 : NjRAT
- gJhkEJvwBCHe.vbs : rYFFCeKHlIT.batを実行
- rYFFCeKHlIT.bat : KxFXQGVBtb.ps1を実行
- KxFXQGVBtb.ps1:Payload_1 及び Payload_2 をメモリにロードし、Payload_1 を介して「aspnet_compiler.exe」に「NjRAT」をインジェクトする
実行が開始されると、第2段階ドロッパーは感染したシステム上の「.NET」関連プロセスを強制終了します。その後、「KxFXQGVBtB.ps1」がプロセスインジェクタと連動して「aspnet_compler.exe」を実行し「NjRAT」をインジェクトします。
[Reflection.Assembly]::Load($MyS).GetType('NewPE2.PE').'GetMethod'('Execute').Invoke($null,{[OBJECT[]]}, ($JKGHJKHGJKJK,$serv));
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F07.png)
当該ドロッパーは「rYFFCeKHlIT.bat」を以下に配置し、
C:\Users\Public
VBScript ファイル 「gJhkEJvwBCHe.vbs」を格納するために「WindowsHost」という名称のディレクトリを以下に作成します。
C:\ProgramData\
そして、難読化を解除すると、「gJhkEJvwBCHe.vbs」は「rYFFCeKHlIT.bat」ファイルを実行します。このファイルは、「KxFXQGVBtb.ps1」という別のPowerShellスクリプト(PowerShellの実行ポリシーフラグのバイパスを含む)を実行する役割を担います。
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F08.png)
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F09.png)
「KxFXQGVBtB.ps1」は、「NjRAT」バイナリをメモリにロードし、プロセスインジェクタを介して「aspnet_compiler.exe 」という正規の「.NET」バイナリファイルにインジェクトする役割を担う最終段階のPowerShellドロッパーです。PowerShellスクリプトは、以下のメソッドを利用して、プロセスインジェクタ「($Mys)」をメモリにロードします。
[Reflection.Assembly]::Load
そして、「Execute」という名称のメソッドを2つのパラメータを用いて呼び出します。最初のパラメータはインジェクトする以下のような「PEfile」のフルパスであり、2番目のパラメータはプライマリペイロードの「NjRAT($serv)」です。
C:\Windows\Microsoft.NET\Framework\<VERSION>\aspnet_compiler.exe
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F10.png)
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F11.png)
下記スニペットは、プロセスインジェクタ関数を示しています。このファイルは、「SmartAssembly」により難読化されています。
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F12.png)
攻撃における最終的なペイロードは「NjRAT」となります。これにより、攻撃者は感染したシステムにおける機密情報の窃取、スクリーンショットの撮影、リバースシェルの取得、プロセスやレジストリ及びファイルの操作、ファイルのアップロード及びダウンロード、そしてその他多くの侵入活動を行うことが可能となります。
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F13.png)
このドロッパーは、以下のディレクトリを「User Shell」フォルダに、そして「Shell」フォルダをスタートアップキーに追加することで感染したシステムにおける不正な活動を持続化することができます。
C:\ProgramData\WindowsHost
/earth-bogle-campaigns-target-middle-east-with-geopolitical-lures/F14.png)
まとめ
本事例では、攻撃者はパブリッククラウドストレージをマルウェアのファイルサーバとして悪用し、該当地域の地政学事情を利用するなど人々の感情に訴えるソーシャルエンジニアリング手法と組み合わせることにより、感染を拡大させることを実証しています。さらに、地域紛争により弱体化した政府の場合、攻撃者やAPT(Advanced Persistent Threat)グループは政府のインフラを標的型攻撃の対象として利用する恐れがあり、より重大な危険にさらされているといえます。加えて、広告やソーシャルメディアを通じてクラウドストレージのコンテンツを共有することができるため、攻撃者やAPTグループにとって感染をより拡大する環境が整っていることになります。
企業や組織は、フィッシング攻撃に対する警戒を怠らず、インターネット上のセンセーショナルな話題に対して懐疑的になることで自らを守ることが可能です。ユーザは、CABファイルのような疑わしいアーカイブファイルを開くことに対し細心の注意を払う必要があります。セキュリティ部門は、セキュリティ体制を整備する際には、紛争地域の現状を確認することも重要です。また、不正なURLを検出、スキャン、そしてブロックできる最先端の多層防御戦略の採用も検討に値します。
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
参考記事
Earth Bogle: Campaigns Target the Middle East with Geopolitical Lures
By: Peter Girnus, Aliakbar Zahravi
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)"