チェック・ポイント・リサーチ、より高度化したマルウェア「ElizaRAT」を使用したサイバー攻撃を確認
[24/11/22]
提供元:PRTIMES
提供元:PRTIMES
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、 NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、サイバースパイ活動にElizaRATと呼ばれる高度なマルウェアが使用されていることを確認しました。
[画像1: https://prcdn.freetls.fastly.net/release_image/21207/345/21207-345-dc393deab48127fe50f9a7aa9f5aab04-1100x733.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
ハイライト:
- 最近のサイバー攻撃において、Transparent Tribe(別名APT36)は、ElizaRATと呼ばれる、より高度化したマルウェアを使用しています。
- CPRの調査では、ElizaRATは2023年9月に発見されて以降、進化を追跡し、実行方法、検知回避能力、コマンド&コントロール通信において、大きな進化を遂げていることが判明しました。
- ElizaRATを使用した一連の攻撃では、マルウェアに感染したパソコンがインド標準時に設定されているかどうかを確認しています。つまり、インド関連のシステムを標的としていることを示唆しています。
パキスタンと関連があるとされるハッカー集団「Transparent Tribe」、別名APT36は、インド関連の団体を標的にしていることで知られています。この脅威グループの主な目的はサイバースパイ活動であり、これまでに政府機関、外交関係者、軍事施設などを標的にしてきました。最近では、新たに開発したマルウェア「ElizaRAT」を使用して、インドの組織に対する複数の攻撃を成功させています。CPRは初めてこのマルウェアを検知して以来、その活動を追跡してきましたが、時間の経過とともにマルウェアの技術が高度化していることが判明しました。具体的には、検知回避とコマンド&コントロール機能が強化されています。
今回は、ElizaRATの進化の過程を解明し、Transparent Tribeが高度化するこのマルウェアをどのように使って攻撃を仕掛けたのかについて解説します。
ElizaRATの背景と進化
2023年9月に公開されたWindows用遠隔操作ツールであるElizaRATは、Transparent Tribeが標的型攻撃に使用しているマルウェアです。感染は通常、フィッシング攻撃を通じてGoogle Driveで共有された実行ファイルから始まります。初期のバージョンでは、コマンド&コントロール(C2)通信にテレグラムを利用していました。ElizaRATは最初に発見されて以来、実行の手法、検知回避、そしてC2通信の面で進化を続けています。これは2023年末から2024年初頭にかけて確認された3つの異なる攻撃キャンペーンで明らかになりました。それぞれのキャンペーンでは、情報を自動収集するために異なるバージョンのElizaRATが使用されました。
[画像2: https://prcdn.freetls.fastly.net/release_image/21207/345/21207-345-478cebaa36334c4cb24306c1b4173d4e-936x270.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
マルウェアのコンパイル時間に基づく攻撃の流れ
ElizaRATの特徴的な点として、配布やC2通信にGoogleやテレグラム、Slackなどのクラウドサービスを利用していることが挙げられ、多くの場合、CPLファイルを介して実行されます。このマルウェアは、おとりの文書ファイルを配置したり、、マルウェアへのショートカットを作成したりするほか、被害者のデータを外部に送信する前にSQLiteを使用してローカルに保存するなどの手法を用います。
ElizaRATはC2通信にSlackを利用
今回確認された3つの攻撃のうち、最初の攻撃でSlack APIと呼ばれるElizaRATの亜種がC2通信にSlackチャンネルを利用していました。2023年末に作成されたこのマルウェアは、CPLファイルとして配信され、フィッシング攻撃で簡単に実行することができます。ユーザー情報の収集、行動のログ記録、ローカルタイムゾーンの確認を行い、偽装されたmp4ファイルをドロップします。このマルウェアは被害者の詳しい情報をC2サーバーに送信し、1分ごとに新しいコマンドの有無をチェックします。C2通信 には攻撃者との連絡手段としてSlackのAPIが使用されています。
ApoloStealer:新型ペイロードについて
同一キャンペーンにおいて、Transparent Tribeは特定のターゲットに向けて、チェック・ポイントがApoloStealerと名付けた新しいペイロードを展開しました。このマルウェアは、ElizaRAT Slack API亜種の1カ月後にコンパイルされました。ApoloStealerは最初にデータベースファイルを作成し、次に各ファイルのデータを格納するテーブルを作成します。その後、このマルウェアは被害者のデスクトップ上でファイルを収集します。関連するファイルがすべて保存されると、ApoloStealerはそれらをC2サーバーに送信します。
Circleによる攻撃キャンペーン
2024年1月、ElizaRATマルウェアの2つ目の亜種であるCircleがリリースされました。このバージョンは、ドロッパーコンポーネントが強化され、検出率が大幅に低下しています。Circleによる攻撃キャンペーンは、Slack APIのペイロードと同様のペイロードを採用していますが、Slack API亜種のような他のElizaRAT亜種マルウェアとは異なり、C2通信にクラウドサービスを使用せず、C2通信にプライマリ仮想プライベートサーバー(VPS)を主に利用しています。
このドロッパーの主な機能は、ElizaRATの実行準備を行うことです。マルウェアを含むzipファイルを展開し、おとりのPDFとMP4ファイルを配置する作業ディレクトリを作成します。このマルウェアは、他のすべてのElizaRATマルウェアと同様に、実際には使用しないにもかかわらず、マルウェアのためのLNKファイルを作成します。LNKの説明に「Slack API」と書かれていることから、Slackを利用したキャンペーンとの関連性が示唆されています。
Googleドライブを利用した攻撃キャンペーン
この攻撃キャンペーンは、ElizaRATの3番目の亜種を使用したものです。マルウェアの配布時には、おとりとなるPDFファイルと、ElizaRATの新たな亜種が含まれています。この亜種はC2通信にGoogleクラウドを利用し、異なる仮想プライベートサーバー(VPS)から次の段階のペイロードをダウンロードするためのコマンドを送信します。CPRは、このキャンペーンで使用された2種類のペイロードを特定しました。これらはいずれも情報窃取型マルウェアであり、それぞれ特定の目的のために設計されています。
インドに関連するターゲットへの関心
ElizaRATのすべての亜種は、ターゲットのシステムのタイムゾーンがインド標準時に設定されているかを確認する初期機能を備えていました。このことから、これらの攻撃キャンペーンがインドに関連するシステムを標的にしていたと考えられます。
[画像3: https://prcdn.freetls.fastly.net/release_image/21207/345/21207-345-d996e0576d9acf8ba47ddd76425ecd5e-968x202.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
SlackFiles.dllペイロードの中にあるタイムゾーンチェックの例。この機能はすべてのサンプルに共通して存在します。
マルウェアの進化と共に検知も進化
ElizaRATの進化は、APT36がインドの組織を標的とするマルウェアの検知回避能力と攻撃効果を高めるための戦略的な取り組みを示しています。Googleドライブやテレグラム、Slackなどのクラウドサービスをコマンド&コントロールシステムに組み込むことで、日常的なネットワークトラフィックの中に攻撃活動を隠蔽しています。また、ApoloStealerのような新たなペイロードの追加は、APT36のマルウェア開発能力の大幅な向上を表しており、ペイロードの展開がより柔軟かつモジュール化されたアプローチへとシフトしていることを示しています。 これらの手法は主にデータの収集と窃取に重点を置いており、継続的な情報収集とスパイ活動への注力を裏付けています。
このマルウェアの進化は、脅威アクターの戦術が急速に高度化していることを示しています。攻撃者はより具体的で標的型の手法を用いるようになり、それによってキャンペーンの成功率と効果を向上させています。また、回避技術が改良されたことにより、持続的な活動も可能になっています。
こうした進化する脅威に対抗するため、チェック・ポイントのゼロデイ攻撃対策は、マルウェアがエンドユーザーのネットワークに侵入する前に、すべてのファイルを検査して不正な動きを特定します。チェック・ポイントは、リアルタイムで動作するCheck Point Harmony Endpointとの連携と多層的な防御アプローチにより、進化する脅威を検出し無効化します。
ElizaRATの変遷について詳しくは、CPRによるレポートの完全版をご覧ください。
プロテクション
Harmony Endpoint
- APT.Win.ElizaRAT.B/C/D
Threat Emulation
- RAT.Wins.Eliza.ta.A/B/C/D
本プレスリリースは、米国時間2024年11月1日に発表されたブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp