WINDSHIFT攻撃、中東政府を標的に

By

Category: Unit 42

Tags: , , ,

This post is also available in: English (英語)

概要

2018年8月、DarkMatterは「In the Trails of WINDSHIFT」という報告書でBahamutのものと非常によく似たTTP(戦略)を持つ攻撃者を明らかにしました。続いてObjective-Seeが2つの追加記事(ここここ)を公表し、Mac OS Xのシステムを標的としたいくつかの検証済みWINDSHIFTサンプルの分析を提供しました。

Unit 42は、特定のファイル属性とインフラストラクチャの指標をもとに、同攻撃者による追加の活動を特定して相関させました。この結果得られた、中東の政府機関で展開された標的型WINDSHIFT攻撃の詳細を本稿では説明します。

WINDSHIFT攻撃者グループの活動を集約した概要

次のタイムラインは、2018年6月までに検証済みのWINDSHIFTによる活動をまとめたものです。

図1: 主要な開示済み情報をもとにしたWINDSHIFTの既知の活動
図1: 主要な開示済み情報をもとにしたWINDSHIFTの既知の活動

上のタイムラインが示すとおり、Unit 42はWINDSHIFTの活動を2018年の1月から5月の間にかけて観測しています。

中東政府機関攻撃のタイムライン

以下は、中東の政府機関を標的とした観測されたWINDSHIFT活動の概要です。

図2: Unit 42が観測したWINDSHIFTのサンプル
図2: Unit 42が観測したWINDSHIFTのサンプル

最初の攻撃は、2018年1月上旬に、リモートIPアドレス109.235.51[.]110から、政府機関内のある特定内部IPアドレスにむけて、あるWINDTAILのサンプル(WINDSHIFT攻撃グループが使用するバックドア マルウェア ファミリ)がついた状態で着信しました。図2のタイムラインが示すように、このイベントが発生した時点で、IPアドレス109.235.51[.]110は、既知のWINDSHIFTドメインであるドメインflux2key[.]comに関連付けられていました。

さらに分析した結果、Unit 42はこのサンプルに対応するC2サーバーのIPアドレスが109.235.51[.]153であることを特定しました。このイベントが発生した時点で、同IPはドメインstring2me[.]comに関連付けられていました。このドメインは既知のWINDSHIFTドメインです。このケースでUnit 42はどのような感染方法がとられたのかについての実態は把握していませんが、本攻撃者のTTPからはほぼ確実にスピアフィッシングが関与したことが示唆されます。

最初の感染試行の後、同じ外部IPアドレス109.235.51[.]110からいくつかの追加WINDTAILサンプルが、2018年1月から5月まで同じ内部IPアドレスに送信されていました(詳細については図2を参照)。関連するすべてのWINDTAILサンプルは、zipアーカイブ内のMac OSXアプリバンドルで、これはWINDSHIFTのTTPに合致しています。

とくに「mcworker.zip」という名前のサンプル(SHA256: e0fdcb5e0215f9fae485fbfcd615c79b85806827e461bca2e1c00c82e83281dc)は注目に値します。さらに分析した結果、Unit 42は、C2サーバーのIPアドレスが185.25.50[.]189であることを突き止めました。OSINTによると活動時点ではIPアドレス185.25.50[.]189は「domforworld[.]com」という単一のドメインに解決されていました。

結論

この攻撃を詳細に分析することで、Unit 42は既知の脅威攻撃者グループのTTPの実情についての貴重な洞察を得られました。とくに重要なのは次の調査結果です。

  • Unit 42は、高い確度でIPアドレス「185.25.50[.]189」とドメイン「domforworld[.]com」の両方が、WINDSHIFTの活動に関連していると見ています。さらに、以前に検証済みのWINDSHIFTドメイン「flux2key[.]com」および「string2me[.]com」にそれぞれ対応するIPアドレス「109.235.51[.]110」および「109.235.51[.]153」もこの攻撃キャンペーン中に使用されていました。
  • 攻撃者が所有するIPアドレス「109.235.50[.]191」は、その後Norman Securityが識別しています(報告書)。また、IPアドレス「109.235.51[.]110」と「109.235.50[.]191」は、WHOIS情報に登録された登録者名「XENEUROPE」が共通していました。Norman Securityの報告によれば、この登録者名はHangoverに関連するインフラストラクチャの多数のIPアドレスに関連付けられています。以上をまとめると、この証拠は、ほかのセキュリティ研究者も示唆しているHangoverとWINDSHIFTの活動が関連しているという疑いをより強くするものです。
  • 先述の特定内部IPアドレス宛に複数回インバウンドWINDTAILサンプルが向けられた様子を観測していることから、Unit 42は中程度の確度で攻撃者が標的とした環境内で永続性を確立できなかったものと見ています。Unit 42ではこれらのサンプルがどのような攻撃ベクトルを使って配信を試行したのかを確実に判断することはできませんが、WINDTAILのTTPからは、標準的なスピアフィッシング詐欺であった可能性が高いと見られます。
  • DarkMatterによる先の報告書で、WINDTAILサンプルに関連付けられていた2つのMac OSX開発者証明書のうちの1つ、Caren Van(4F9G49SUXB)は、本稿のWINDTAILサンプルにも関連付けられていました。さらに、新たに識別された証明書warren portman(95RKE2AA8F)は、WINDSHIFTマルウェアに直接関連していることも分かりました。

パロアルトネットワークスのお客様は、次のようにしてこの脅威から保護されています。

  • AutoFocus をお使いのお客様は、これらのサンプルをWindshift タグで追跡できます。
  • WildFireは本稿に記載したすべてのファイルをMalicious(マルウェア)と判定します。

IOC

インフラストラクチャ:

ドメイン IPアドレス
flux2key[.]com 109.235.51[.]110
string2me[.]com 109.235.51[.]153
domforworld[.]com 185.25.50[.]189

ファイルハッシュ:

ファイル名 Appleデベロッパ証明書  SHA-256
trusted.zip Caren Van (4F9G49SUXB) ce8e01373499b539f4746c0e68c850357476abe36b12834f507f9ba19af3d4f9
mcworker.zip Caren Van (4F9G49SUXB) e0fdcb5e0215f9fae485fbfcd615c79b85806827e461bca2e1c00c82e83281dc
keybaged.zip Caren Van (4F9G49SUXB) 1fbfbaefd50627796e7f16b8cc2b81ffbc5effcb33b64cc8e349e44b5d5d3ee8
trustb.zip Caren Van (4F9G49SUXB) 1de218e45cdf069c10d1a8735d82688b8964261a5efe3b6560e0fdcfa3c44c1d
frd.zip Caren Van (4F9G49SUXB) dd0e0883392ffe8c72c4b13f58e5861fc2f4bc518a6abea4f81ae3a44b2eda1c
smdd.zip Caren Van (4F9G49SUXB) e2a5663584727efa396c319f7f99a12205bb05c9c678ffae130e9f86667505a6
logd.zip Caren Van (4F9G49SUXB) ffae55894f0f31d99105b5b7bbbca79e9c1019b37b7a5a20368f50c173352fd1
logd.zip Caren Van (4F9G49SUXB) cb3068ee887fc2f66d3df886421d5e5fa5e31ec4ee0079a7dcf9628bd2730de0
lsd.zip Caren Van (4F9G49SUXB) 0c0fce879c8ca00a6f9feeaccf6cba64374e508cacd664682e794a4a4cc64ffb
tootoo.zip warren portman (95RKE2AA8F) 8c8b53f4d4836bd7d4574fe80039caf9f2bd4d75740f2e8e22619064c830c6d9

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org