ロシア・ウクライナ戦争の前哨戦
[22/03/28]
提供元:PRTIMES
提供元:PRTIMES
ロシアのハッカー集団「ACTINIUM」がウクライナの機関をターゲットにサイバー攻撃を開始。その手法とは?
ウクライナとロシアの戦争が激化する中、サイバー攻撃は、実弾による両国の戦争の前哨戦となっている。 研究者によると、ロシアのハッカーグループ「ACTINIUM」は、サイバー攻撃のシグネチャ検知を回避し、より高度なマルウェアを展開するための新しい難読化機能を開発した。 また、ACTINIUMは大量のドメイン、IPアドレス、ワードリストを使用してIoCs情報に基づく検出を回避しているため、研究者が脅威を分析、特定することが困難になっている。
研究者の解説
現代における戦争では、サイバー攻撃は重要な軍事攻撃の一つとなっている。今回の攻撃は、ACTINIUMが急速に進化するサイバー攻撃の技術を駆使し、従来の侵入検知システムの効果を低下させ、マルウェアによってサイバー攻撃をしかけてきたものだ。この攻撃行動から、一般的なマルウェア対策だけでは対応することが困難になっていることが分かる。そのため、当局は敵対国のサイバー活動に特に注意を払い、脅威対策においては、シグネチャ検出だけに頼らないよう対策をとる必要がある。
1,概要
国境など地理的制限なく活動できるサイバー攻撃は、現代の軍事活動において無視できない主要な軍事攻撃の一つとなっている。 ロシアとウクライナの戦争が激化する中、ウクライナ政府は、ロシア連邦保安庁(FSB)傘下のハッカー集団「ACTINIUM」が、ウクライナ国内の政府機関、軍事機関、司法当局、法執行機関、非政府団体、非営利団体など、主要組織を標的にしていることを発表した。ハッカー集団の目的は、ウクライナ側から機密情報を盗み出すことだ。
2,技術分析
ACTINIUMは、まず、フィッシングメールでスピアフィッシング攻撃を行い、最初の感染を実行する。 攻撃者はドメイン名で正当な事業者になりすましており、被害者は攻撃されていることをすぐに認識することが難しい。 更に注意すべきは、攻撃者はメールの内容にスクリプトを埋め込んでいるため、被害者がメールを開いたかどうかを確認することが可能である点だ。
[画像1: https://prtimes.jp/i/45349/19/resize/d45349-19-efb8f394ee470c6b72c3-0.png ]
被害者が悪意のある電子メールの添付ファイルを開くと、ファイルはリモートファイルテンプレートをロードし、「PowerPunch」などの次の段階で使用されるマルウェアをダウンロードする。 (添付ファイル自体にはマルウェアのペイロードが含まれていないため、静的ファイル分析でこの侵入方法を検出することは困難である。)
次に、Base64 でエンコードされたマルウェア PowerPunch をマイクロソフトの PowerShell で実行すると、「Volume Serial Number」を暗号化キーとして使用し、次の段階のマルウェア「Pterodo」をドロップする。その後、攻撃者は Pterodo を展開し、標的のネットワークにアクセスし、オープンソースのリモートデスクトップ遠隔操作ソフト「UltraVNC」を使用して接続する。 最後に、攻撃者は別の悪意のあるプログラム「QuietSieve」を通じてデータを盗むのだ。
[画像2: https://prtimes.jp/i/45349/19/resize/d45349-19-a40482a1c36796fb86c4-1.png ]
Pterodoは、内部で使用するアプリケーション・プログラミング・インターフェース(API)関数名のハッシュ値を独自に作成して格納している。API関数をコールするとき、OSにロードされているAPI関数名のハッシュ値を計算し、ハッシュ値が一致することで使用したいAPI関数であると判定し、そのAPI関数のアドレスのオフセット値を格納することで、API関数のハッシュ値とアドレスのオフセット値のマップを作成する。また、実際のAPIコール時には、DLLのハンドルを取得するために使用するDLL名を復号化するが、ハンドルを取得すると即座に復号化されたDLL名が格納されたメモリを解放する。このため、解析者はマルウェアがどのAPI関数を呼び出しているかを知ることが困難になるのだ。
[画像3: https://prtimes.jp/i/45349/19/resize/d45349-19-b39cce09b49d6085f808-2.png ]
[画像4: https://prtimes.jp/i/45349/19/resize/d45349-19-9b50b39824343cd25a87-3.png ]
3,予防措置
この種の攻撃はフィッシングメールから始まるため、インシデントを防ぐためには、検証されていないソースからファイルをダウンロードあるいは実行したりしないよう、ユーザーの意識を高めていくことが重要だ。検証されているソースは、DKIM、SMIMEを使用したメールを検証している場合を指す。その場合は、インシデントの可能性は低くなる。
4,参考資料
Microsoft. "ACTINIUM targets Ukrainian organizations" Accessed March 4, 2022. https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/
Security Service of Ukraine. “Gamaredon/ Armageddon Group” Accessed March 4, 2022. https://ssu.gov.ua/uploads/files/DKIB/Technical%20report%20Armagedon.pdf
BROADCOM SOFTWARE. “Shuckworm Continues Cyber-Espionage Attacks Against Ukraine” Accessed March 4, 2022. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-gamaredon-espionage-ukraine
Unit 42. “Russia’s Gamaredon aka Primitive Bear APT Group Actively Targeting Ukraine (Updated Feb. 16)” Accessed March 4, 2022. https://unit42.paloaltonetworks.com/gamaredon-primitive-bear-ukraine-update-2021/
IoCs情報
[表1: https://prtimes.jp/data/corp/45349/table/19_1_c7a3b989d9ddf6a27c98e1ed6c61e89f.jpg ]
[表2: https://prtimes.jp/data/corp/45349/table/19_2_f44a8d59cbd12af0be21647b3aa6993d.jpg ]
[表3: https://prtimes.jp/data/corp/45349/table/19_3_9d2cd15ce8e06f40736b23fa68ba8385.jpg ]
[表4: https://prtimes.jp/data/corp/45349/table/19_4_f3beba5b51bb1c182d072ff21a50b10d.jpg ]
[表5: https://prtimes.jp/data/corp/45349/table/19_5_794f38acfa746b57740f7c42b9cbcf3d.jpg ]
[表6: https://prtimes.jp/data/corp/45349/table/19_6_5492842b956fb1917a597760219e777c.jpg ]
[表7: https://prtimes.jp/data/corp/45349/table/19_7_41c51e48e24b02d30bac7ee6f9e50aca.jpg ]
株式会社CyCraft Japanについて
株式会社CyCraft Japanは、台湾を拠点として日本、シンガポール、米国に子会社を持つ世界有数のAI情報セキュリティ技術企業で、革新的なAI技術による情報セキュリティの自動化、EDR、CTI、TIGの統合、次世代AI情報セキュリティセンターの構築サービスを提供しています。アジアの政府機関、フォーチュン・グローバル500選出企業、主要銀行および金融機関で採用されています。2021年には、ガートナー社の「Greater China AI New StartUps」やIDC社の「Intelligence-led Cybersecurity」において代表事例に選定されています。 エンドポイントからネットワークまで、調査から遮断まで、自社構築から委託管理まで、CyCraft AIRは企業のセキュリティに必要な全ての面をカバーし、「脅威を思い通りにさせない」という目標を達成しています。
ウクライナとロシアの戦争が激化する中、サイバー攻撃は、実弾による両国の戦争の前哨戦となっている。 研究者によると、ロシアのハッカーグループ「ACTINIUM」は、サイバー攻撃のシグネチャ検知を回避し、より高度なマルウェアを展開するための新しい難読化機能を開発した。 また、ACTINIUMは大量のドメイン、IPアドレス、ワードリストを使用してIoCs情報に基づく検出を回避しているため、研究者が脅威を分析、特定することが困難になっている。
研究者の解説
現代における戦争では、サイバー攻撃は重要な軍事攻撃の一つとなっている。今回の攻撃は、ACTINIUMが急速に進化するサイバー攻撃の技術を駆使し、従来の侵入検知システムの効果を低下させ、マルウェアによってサイバー攻撃をしかけてきたものだ。この攻撃行動から、一般的なマルウェア対策だけでは対応することが困難になっていることが分かる。そのため、当局は敵対国のサイバー活動に特に注意を払い、脅威対策においては、シグネチャ検出だけに頼らないよう対策をとる必要がある。
1,概要
国境など地理的制限なく活動できるサイバー攻撃は、現代の軍事活動において無視できない主要な軍事攻撃の一つとなっている。 ロシアとウクライナの戦争が激化する中、ウクライナ政府は、ロシア連邦保安庁(FSB)傘下のハッカー集団「ACTINIUM」が、ウクライナ国内の政府機関、軍事機関、司法当局、法執行機関、非政府団体、非営利団体など、主要組織を標的にしていることを発表した。ハッカー集団の目的は、ウクライナ側から機密情報を盗み出すことだ。
2,技術分析
ACTINIUMは、まず、フィッシングメールでスピアフィッシング攻撃を行い、最初の感染を実行する。 攻撃者はドメイン名で正当な事業者になりすましており、被害者は攻撃されていることをすぐに認識することが難しい。 更に注意すべきは、攻撃者はメールの内容にスクリプトを埋め込んでいるため、被害者がメールを開いたかどうかを確認することが可能である点だ。
[画像1: https://prtimes.jp/i/45349/19/resize/d45349-19-efb8f394ee470c6b72c3-0.png ]
被害者が悪意のある電子メールの添付ファイルを開くと、ファイルはリモートファイルテンプレートをロードし、「PowerPunch」などの次の段階で使用されるマルウェアをダウンロードする。 (添付ファイル自体にはマルウェアのペイロードが含まれていないため、静的ファイル分析でこの侵入方法を検出することは困難である。)
次に、Base64 でエンコードされたマルウェア PowerPunch をマイクロソフトの PowerShell で実行すると、「Volume Serial Number」を暗号化キーとして使用し、次の段階のマルウェア「Pterodo」をドロップする。その後、攻撃者は Pterodo を展開し、標的のネットワークにアクセスし、オープンソースのリモートデスクトップ遠隔操作ソフト「UltraVNC」を使用して接続する。 最後に、攻撃者は別の悪意のあるプログラム「QuietSieve」を通じてデータを盗むのだ。
[画像2: https://prtimes.jp/i/45349/19/resize/d45349-19-a40482a1c36796fb86c4-1.png ]
Pterodoは、内部で使用するアプリケーション・プログラミング・インターフェース(API)関数名のハッシュ値を独自に作成して格納している。API関数をコールするとき、OSにロードされているAPI関数名のハッシュ値を計算し、ハッシュ値が一致することで使用したいAPI関数であると判定し、そのAPI関数のアドレスのオフセット値を格納することで、API関数のハッシュ値とアドレスのオフセット値のマップを作成する。また、実際のAPIコール時には、DLLのハンドルを取得するために使用するDLL名を復号化するが、ハンドルを取得すると即座に復号化されたDLL名が格納されたメモリを解放する。このため、解析者はマルウェアがどのAPI関数を呼び出しているかを知ることが困難になるのだ。
[画像3: https://prtimes.jp/i/45349/19/resize/d45349-19-b39cce09b49d6085f808-2.png ]
[画像4: https://prtimes.jp/i/45349/19/resize/d45349-19-9b50b39824343cd25a87-3.png ]
3,予防措置
この種の攻撃はフィッシングメールから始まるため、インシデントを防ぐためには、検証されていないソースからファイルをダウンロードあるいは実行したりしないよう、ユーザーの意識を高めていくことが重要だ。検証されているソースは、DKIM、SMIMEを使用したメールを検証している場合を指す。その場合は、インシデントの可能性は低くなる。
4,参考資料
Microsoft. "ACTINIUM targets Ukrainian organizations" Accessed March 4, 2022. https://www.microsoft.com/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/
Security Service of Ukraine. “Gamaredon/ Armageddon Group” Accessed March 4, 2022. https://ssu.gov.ua/uploads/files/DKIB/Technical%20report%20Armagedon.pdf
BROADCOM SOFTWARE. “Shuckworm Continues Cyber-Espionage Attacks Against Ukraine” Accessed March 4, 2022. https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-gamaredon-espionage-ukraine
Unit 42. “Russia’s Gamaredon aka Primitive Bear APT Group Actively Targeting Ukraine (Updated Feb. 16)” Accessed March 4, 2022. https://unit42.paloaltonetworks.com/gamaredon-primitive-bear-ukraine-update-2021/
IoCs情報
[表1: https://prtimes.jp/data/corp/45349/table/19_1_c7a3b989d9ddf6a27c98e1ed6c61e89f.jpg ]
[表2: https://prtimes.jp/data/corp/45349/table/19_2_f44a8d59cbd12af0be21647b3aa6993d.jpg ]
[表3: https://prtimes.jp/data/corp/45349/table/19_3_9d2cd15ce8e06f40736b23fa68ba8385.jpg ]
[表4: https://prtimes.jp/data/corp/45349/table/19_4_f3beba5b51bb1c182d072ff21a50b10d.jpg ]
[表5: https://prtimes.jp/data/corp/45349/table/19_5_794f38acfa746b57740f7c42b9cbcf3d.jpg ]
[表6: https://prtimes.jp/data/corp/45349/table/19_6_5492842b956fb1917a597760219e777c.jpg ]
[表7: https://prtimes.jp/data/corp/45349/table/19_7_41c51e48e24b02d30bac7ee6f9e50aca.jpg ]
株式会社CyCraft Japanについて
株式会社CyCraft Japanは、台湾を拠点として日本、シンガポール、米国に子会社を持つ世界有数のAI情報セキュリティ技術企業で、革新的なAI技術による情報セキュリティの自動化、EDR、CTI、TIGの統合、次世代AI情報セキュリティセンターの構築サービスを提供しています。アジアの政府機関、フォーチュン・グローバル500選出企業、主要銀行および金融機関で採用されています。2021年には、ガートナー社の「Greater China AI New StartUps」やIDC社の「Intelligence-led Cybersecurity」において代表事例に選定されています。 エンドポイントからネットワークまで、調査から遮断まで、自社構築から委託管理まで、CyCraft AIRは企業のセキュリティに必要な全ての面をカバーし、「脅威を思い通りにさせない」という目標を達成しています。