ニュース

モバイルWi-Fiルーターがマルウェアの感染経路になっていた! 日本を狙った「XXMM」亜種の特徴的な感染経路

活動が続く「The Bald Knight Rises」の洗練された攻撃手法、カスペルスキーが解説

 サイバー攻撃グループ「The Bald Knight Rises」が日本の企業・組織などから情報を盗み取るために、モバイルWi-Fiルーターの意外な挙動や日本製ソフトの脆弱性を悪用してマルウェアを感染させていたという。侵入後は検出を回避するさまざまな手段を講じるなど、非常に巧妙な手口が用いられているThe Bald Knight Risesの脅威について、12月中旬に開催された株式会社カスペルスキーの報道関係者向けセミナーで同社グローバル調査チームセキュリティリサーチャーの石丸傑氏が解説した。

株式会社カスペルスキー グローバル調査チームセキュリティリサーチャーの石丸傑氏

 カスペルスキーがこの攻撃グループについての調査を開始したのは2016年のこと。Windowsに感染するマルウェア「XXMM」を発見したのが端緒だった。XXMMはコンテナ化されており、ドロッパーやローダー、バックドアなど、複数のマルウェアモジュールによって構成。亜種によってさまざまな構成をとる。石丸氏によるとかなり特殊な構造のマルウェアだったというが、その後、XXMMの亜種の1つでダウンローダーに特化した「Wali」など、ほとんど同じような構造のマルウェアが発見されていった。

 The Bald Knight Risesが使うマルウェアとしてはこのほかにも、XXMMとは別種のバックドア「Datper」も発見された。これは、Waliによってダウンロードされて感染するマルウェアで、攻撃の第2段階で使われるとみられるという。内包された設定データから、通信先や稼働時間など、XXMMとの共通点も確認されている。

 また、VB encoded scripts(.vbe)で作成されたダウンローダー型のトロイの木馬「VBEダウンローダー」も見つかった。これは、純粋なダウンローダーであり、侵入に成功した組織にしか投下されないという。再感染を行うためのバックアップ的な措置として投下されるマルウェアだと考えられるとしており、The Bald Knight Risesではこのように、いったん侵入に成功すると、さまざまなマルウェアを標的に感染させることで、どれかのマルウェアが駆除されてしまっても攻撃が根絶しないようにする処置がとられているとしている。

 2017年1月には、攻撃者が用いるツールが開発されてインターネット上にアップロードされているのが見つかった。石丸氏は、これらのツールのアイコンとして用いられている画像に着目。人物のシルエットのような画像だったが、Googleで画像検索したところ、似たような画像が見つかった。それは、バットマンの映画「The Dark Knight Rises」のポスターだった。しかし、攻撃ツールのアイコン画像では、本来あるべきバットマンの“角”の部分がなぜか無くなっており、“はげ頭(bald)”になっていたことが「The Bald Knight Rises」命名の由来だとしている。

XXMMの通信先は、一見すると正規ウェブサイトのJPEG画像ファイル

 カスペルスキーの調査によれば、The Bald Knight Risesが標的としている地域は、日本と韓国。VirusTotalにアップロードされたXXMMの検体のアップロード元の国の内訳は、日本が75.0%を占めており、次いで韓国が13.2%となっている。

 攻撃の目的は企業・組織内の情報・データを盗み取ることで、行政機関のほか、エネルギー/ユーティリティ、重工業、貿易、情報通信サービス、製造業といった業種が狙われているという。

 XXMMの通信先となっているC&Cサーバー(指令サーバー)について、XXMMの300以上の検体から100以上の通信先を抽出して分類した結果でも、日本が52.9%と半分以上を占めている。日本国内の正規のウェブサイトを改ざんしてC&Cサーバーとして悪用しているのだという。

 しかもXXMMは、正規サイトを改ざんして置かれたJPEG画像ファイルだけと通信するようになっており、その画像ファイルに指令内容や次に通信する先などが暗号化されて記述されている。そのため、企業・組織内に侵入したXXMMからC&Cサーバーへの通信が発生したとしても、そのPCの挙動は、正規サイトの画像ファイルを閲覧しに行っているようにしか見えないという。

 さらには、標的となる企業・組織の業務時間も攻撃者は熟知しており、XXMMのスリープタイムを設定。業務時間外の夜中に通信を発生させて怪しまれないように、例えば日本時間の8時から19時までの間だけ2時間おきに通信するといったような設定を施すなど、徹底して通信先や自身の存在の隠蔽をするようになっていることも分かった。

 このほか、XXMMでは、そのプログラムファイル容量の面からも、検出されるのを回避するための手法が用いられていた。石丸氏によると、マルウェアは通常、発見されにくくするためになるべくファイル容量を小さくしようとするものであり、インターネットバンキングを狙うトロイの木馬でだいたい300KBから500KB、大きくても800KB程度だという。

 これに対してXXMMでは、もともとは1MB程度なのだが、感染後に“ゴミデータ”を自動的に生成するコードが含まれており、200MB超に肥大化する。これは、セキュリティソフトではスキャンするファイルの容量に限界があることを逆手にとった手法であり、攻撃者は、標的となる企業・組織の環境を調べ上げていることが分かるとしている。しかも生成されるゴミデータは毎回異なるため、ハッシュ値も毎回変わってしまう。ここでも検出を回避する手法を徹底している(2017年5月31日付関連記事『日本と韓国を狙う巨大マルウェア、ゴミデータでファイルサイズ肥大化100MB超、検知を逃れる古典的な手口』参照)。

日本のモバイルISPユーザーが標的に? 通信ログから浮かび上がってきた感染先の共通点

 石丸氏は、XXMMに特徴的な感染経路として、モバイルWi-Fiルーターを挙げた。これは、C&Cサーバー上で確認された通信ログを解析した結果から見えてきたものだ。ある1つのC&Cサーバーの通信ログ8000件以上から、通信先となっていた感染先端末のIPアドレス1700件以上を抽出したところ、モバイルインターネット接続サービスを提供しているISP事業者のIPアドレスレンジのものが多く見つかったという(カスペルスキーがログとして確認できたアドレスは、IPv4のアドレスのみ)。

 さらに調査の結果、モバイルインターネット接続サービスで使われるモバイルWi-Fiルーター製品の中には、PCをWi-Fiで接続する場合にはルーターとして機能するが、機種・設定によっては、USB接続した場合にはルーターではなくブリッジとして機能し、PCにグローバルIPアドレスが割り振られる仕様になっているものがあることが分かってきた。

 XXMMの亜種であるWaliは、こうしたモバイルWi-Fiルーターの挙動を熟知した上で、インターネットに直接接続している状態になってしまっているPCに対してインターネット側から感染を試みる。具体的には、そのPCで使用している日本製ソフトの脆弱性(待ち受け状態にある)を組み合わせて悪用する。カスペルスキーによると、スマートフォンにPCをテザリング接続する場合も、古い機種や古いバージョンのAndroid OSの場合に同様の現象が起こるとの情報も得ているというが、同社では未検証だ。

 なお、共通点はモバイルISPの契約者ということだけであり、その契約者の企業・組織などはさまざま。この感染経路の標的となっている企業・組織までは特定できなかったという。ただし、石丸氏は、モバイルWi-Fiルーターで接続してPCを使っているということから、外回りのセールスや営業などの職種の人が感染先になっているのではないかとみている。

 また、カスペルスキーが解析した通信ログは、1つのC&Cサーバーにおける2カ月間分のログにとどまる。モバイルWi-Fiルーター経由での感染は、全体としてはもっと多いと考えられるとしている。

 感染経路としてはこのほかに、標的型攻撃メールと水飲み場型攻撃も確認されており、つい最近も12月上旬に韓国で水飲み場型攻撃が確認されたという。ただし、モバイルWi-Fiルーター経由の感染経路として、カスペルスキーで確認できたのは日本国内だけだとしている。

 カスペルスキーでは、The Bald Knight Risesによる攻撃は、2016年のXXMMの発見から遡って、2015年にはすでに攻撃が行われていたことまでは確認できているが、それ以前の事案については現在も調査中だ。また、前述のように12月にも韓国で水飲み場型攻撃が確認されたことから、「The Bald Knight Risesはまだ活動を続けている」として注意を喚起している。

メールで送られてくる「平成20年度の防災」文書や「新年アニメーション.exe」での感染も

 The Bald Knight Risesについては、カスペルスキーのほか、SecureWorks、トレンドマイクロ株式会社、株式会社ラック、株式会社シマンテック、Cybereason、Palo Alto Networks、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)などからも、「REDBALDKNIGHT」「BRONZE BUTLER」「Tick」といった別名(マルウェアの名称は「Gofarer」「Daserf」など)で、2016年4月以降、報告レポートが公表されている。石丸氏はそれらも参考資料としてリストアップした。

 日本で確認されたというモバイルWi-Fiルーターのブリッジ接続を介した感染で悪用されていた日本製ソフトの具体名について、今回、カスペルスキーでは明言しなかったが、SecureWorksが10月に発表した調査レポート「BRONZE BUTLER Targets Japanese Enterprises」では、IT資産管理ソフト「SKYSEA Client View」におけるリモートコード実行の脆弱性(CVE-2016-7836)が悪用されていると伝えている。グローバルIPアドレスで接続されたPCのSKYSEA Client Viewに対して、同ソフトの管理コンソールを偽装して侵入する可能性があるという。

 この脆弱性については、同ソフトを提供するSKY株式会社が2016年12月21日に公表し、すでにセキュリティ修正パッチやセキュリティ強化を施した最新バージョンを提供済み。同社自身も「SKYSEA Client Viewのエージェントがインストールされている端末に関して、グローバルIPアドレスを割り当てられており、かつSKYSEA Client Viewが使用している通信ポートをブロックしていない環境にて、組織外のサーバーから不正なパケットを受信する事例が確認されている」との注意喚起を出していた(2016年12月22日付記事『「SKYSEA Client View」に任意のコードが実行可能な脆弱性、悪用した攻撃をすでに観測』参照)。

 SecureWorksによると、2016年6月以降、The Bald Knight Risesがこの脆弱性を悪用していたことが分かっているという。

 別の感染経路である標的型攻撃メールについては、トレンドマイクロが11月14日付の同社公式ブログ記事「標的型サイバー攻撃集団『BRONZE BUTLER』によるバックドア型マルウェア『DASERF』、ステガノグラフィを利用」に詳しい。メールに添付されている“おとりファイル”は、ワープロソフト「一太郎」で作成されており、例えば「平成20年度の防災」のようなものが確認されている。流ちょうな日本語で書かれているという。

 ラックのサイバー・グリッド研究所が2016年に出したレポート「CYBER GRID VIEW TECHNICAL REPORT VOL.2 日本の重要インフラ事業者を狙った攻撃者」においても、Flashファイルのアイコンを装った「新年アニメーション.exe」という実行ファイルが、季節のグリーティングメールに見せかけた標的型攻撃メールに添付されていた事例を報告している。

 このほか、シマンテックでは2016年5月の同社公式ブログ記事で、この攻撃グループを「Tick」と命名して報告。「このサイバースパイグループは、目立たずに存在し続け、発見される前に少なくとも10年間は活動を続けていたようだ」と述べていた(2016年5月6日付記事『10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系/水産工学系/報道系の特定企業に集中攻撃』参照)。

【お詫びと訂正 2018年1月12日 17:20】
 記事初出時、一部マルウェアの名称に誤りがありました。お詫びして訂正いたします。

 誤:XXMMとは別種のバックドア「Dapter」
 正:XXMMとは別種のバックドア「Datper」