マルウェア

日本でのElirks亜種を追跡: 過去の攻撃との類似点

Clock Icon 2 min read

This post is also available in: English (英語)

概要

マスコミによくとりあげられている、最近の日本企業に対する攻撃に、PlugXおよびElirksという2つのマルウェアが関与していましたが、これらのマルウェアは調査の過程で発見されました。PlugXは2012年に初めて発見されて以来、多くの攻撃で利用されており、私たちはその利用に関する記事をいくつか公開しましたが、記事には日本企業を標的とする攻撃活動に関する分析を記述してあります。

ElirksはPlugXに比べて周知度が低いですが、基本的なトロイの木馬であり2010年に初めて発見されました。主にセキュリティ侵害を受けたシステムから情報を盗み出すために利用されています。私たちは、Elirksを利用した攻撃の大部分が東アジアで発生していることを確認しています。このマルウェア特有の機能のひとつに、予め決めておいたミニブログ サービスまたはSNSにアクセスしてC2アドレスを検索することが挙げられます。攻撃者はこうしたサービス上にアカウントを作成し、バックドアの配信に先立って、実際のC2サーバーのIPアドレスまたはドメイン名を符号化しておき、これを投稿します。ここ数年の間に、私たちは日本のブログ サービスを利用した複数のElirks亜種を確認しました。図1は2016年の初めに発見されたElirksサンプルの中に埋め込まれているURLを示しています。

図1 Elirks亜種に埋め込まれているURL
図1 Elirks亜種に埋め込まれているURL

2014年に発見された別のサンプルに関し、攻撃者は日本のブログ サービスを利用しました。関連するアカウントが本記事執筆時点でも存在しています(図2)。

図2 2014年に攻撃者が作成したブログのアカウント
図2 2014年に攻撃者が作成したブログのアカウント

過去の攻撃活動との関連

以前、Unit 42はScarlet Mimicと呼ばれている攻撃活動を分析している過程でElirks亜種を特定しました。Scarlet Mimicは長年にわたり少数民族の人権活動家および政府を標的としている攻撃活動です。この一連の攻撃で主に利用されるマルウェアはFakeMで、私たちのリサーチャーはこの脅威がElirksとインフラストラクチャーを共有していることをレポートで説明しています。

本記事の執筆時点で、これまでに確認されているElirks攻撃と日本における最近の事例との間に類似点が認められます。

PDFが添付されているスピア フィッシング電子メール

図3は2012年5月に台湾の省庁に対して送信された電子メールを示しています。

図3 台湾の省庁に対して送信されたスピア フィッシング電子メール
図3 台湾の省庁に対して送信されたスピア フィッシング電子メール

この電子メールには、最近の事例にやや類似する特徴があります(表1)。

2012年 2016年
電子メール
送信者		 台湾の実在の銀行に偽装 日本の実在の航空会社に偽装
電子メール
受信者		 一般に公開されている
台湾省庁代表者の
電子メール アドレス		 一般に公開されている
子会社代表者の
電子メール アドレス
件名 "クレジット カード明細書
(中国語)		 "航空券eチケット
(日本語)
添付ファイル "電子請求書1015という名前の
PDFファイル(中国語)		 PDF アイコンの付いた
E-TKT"という名前のファイル (日本語)
表1 電子メールの特徴

ユーザーが添付されたPDFファイルを開くと、次のメッセージが表示されます。これにより、PDFに埋め込まれたAdobe Flashの脆弱性CVE-2012-0611を悪用して、Elirksマルウェアをシステムにインストールします。

図4 悪意のあるPDF添付ファイルを開いたときの画面
図4 悪意のあるPDF添付ファイルを開いたときの画面

航空会社のeチケット

攻撃者は、標的にされた個人または組織をおびき寄せるため、それにふさわしいファイル名を選んでいます。最近の事例では、電子メールに添付された悪意のある添付ファイルの名前は"E-TKT"だったと報告されています。2012年8月に台湾で起きた過去の攻撃でも、同様のファイル名が使われたことがわかっています(図5)。

図5 Elirks実行可能ファイルはeチケットのフォルダーに偽装
図5 Elirks実行可能ファイルはeチケットのフォルダーに偽装

ファイルを開くと、Elirksはコンピュータ上で自身を実行し、ユーザーを欺くためにticket.docを作成します(図6)。

図6 Elirksによって作成されるdocファイル
図6 Elirksによって作成されるdocファイル

また、2012年3月に台湾で起きた攻撃でも、航空会社に関係するファイル名が使われていたことが判明しています。図7は、"航空券予約番号(更新版).pdf"という名前のPDFファイルを示しています。このPDFファイルを開くと、図4とまったく同じメッセージが表示され、CVE-2011-0611を悪用してElirksがインストールされます。

図7 "航空券予約番号"という名前のPDF
図7 "航空券予約番号"という名前のPDF

結論

現時点では、2016年に日本企業を攻撃した敵対者と、2012年に台湾の組織を攻撃した敵対者が同じであることを示す確実な証拠は見つかっていません。しかし、この2つの攻撃には類似点がいくつか見られます。どちらの事例でも、攻撃者は同じマルウェア ファミリを使用している点、類似の方法でスペア フィッシング電子メールを作成している点、そして航空会社に関係する特定の分野に関心があるように見える点です。ここ数年、日本を標的にした複数のElirks亜種を確認しており、これはサイバー スパイ活動が進行中であることを示している可能性があります。当社は引き続きこの脅威の攻撃者に注意していきます。

Palo Alto Networksのお客様はElirksの亜種から保護されています。また、以下のツールを使用して追加情報を収集できます。

  • WildFireがすべての既知のElirksサンプルを有害であると検出します。
  • すべての既知のC2がPAN-DBで悪意があるとして分類されます。
  • AutoFocusタグが作成されました: Elirks

兆候:

実行可能ファイル:

8587e3a0312a6c4374989cbcca48dc54ddcd3fbd54b48833afda991a6a2dfdea

0e317e0fee4eb6c6e81b2a41029a9573d34cebeabab6d661709115c64526bf95

f18ddcacfe4a98fb3dd9eaffd0feee5385ffc7f81deac100fdbbabf64233dc68

配信PDF:

755138308bbaa9fcb9c60f0b089032ed4fa1cece830a954ad574bd0c2fe1f104

200a4708afe812989451f5947aed2f30b8e9b8e609a91533984ffa55d02e60a2

Tags

目次

関連記事

関連項目 マルウェア リソース

Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
An open laptop with a red target on the screen.
category icon脅威リサーチ

悪意のある OneNote サンプルのペイロードの傾向
今すぐ読む Right arrow
A mobile phone with technical details on screen. It is sitting on a glowing circuit board.
category icon主なサイバー脅威

[2024-05-21 09:55 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow