サイバー世界に蠢く中国APT集団の影 (6) 「正規の招待状」と「偽物の招待状」

江添 佳代子

November 28, 2016 10:00
by 江添 佳代子

今回は、「Palo Alto Networksが主催するイベント『Cyber Security Summit』を悪用したサイバー攻撃グループが、標的に送ったスピアフィッシング」について詳しく説明していこう。

10月28日のPalo Alto Networksのブログによれば、犯行グループが送信したフィッシングメールは、受信者に囮の添付ファイルを読ませることで「Emissary」の亜種をインストールする攻撃手法だった。

Emissaryはロータスブロッサム作戦の実行犯たちが自らの活動のために開発し、その後もカスタマイズを繰り返しながら利用しているバックドア型トロイの木馬だ、と考えられている。このことから同社は、今回のスピアフィッシングメールもロータスブロッサム作戦を実行したAPT集団と同じか、あるいは直接的に関わっている犯行グループによって送られたものだと主張している。

「正規の招待状」と「偽物の招待状」の比較

Palo Alto Networksの説明によれば、同社は世界中の都市でCyber Security Summitを開催しており、多くの場合は「イベントへの参加を希望していると思わしき個人に、メールで招待状を送っている」という。つまり、同社から個人宛てに招待状のメールが届くのは決して不自然な話ではなかった。ひょっとすると「正規の招待メール」と「それを偽装したフィッシングメール」の両方を受け取った人物もいたかもしれない。

標的が興味を示しそうな地元イベントの招待状を、開催間近のタイミングで送るというスピアフィッシングは、台湾のフランス外交官を襲った攻撃と同じだ。しかし今回の罠に利用されたイベントは、他でもないPalo Alto Networksが主催するカンファレンスだったため、同社のブログには「正規の招待メールと偽物(フィッシングメール)」の徹底比較が公開されることになった。

まず、本物と偽物を見分ける最も単純な方法として、「Palo Alto Networksは招待状を送る際に添付ファイルを使わない」という点が挙げられる。同社はメールに埋め込む形で画像を用いてはいるものの、添付した文書ファイルでイベントの案内を行うことはない。一方のスピアフィッシングメールには、囮のWordファイルが一つだけ添付されていた。

犯行グループは「正規の招待状」を手に入れていた?

このとき用いられた囮のファイル名、「[FREE INVITATIONS] CyberSecurity Summit.doc」は、Palo Alto Networksが実際に送信していた「正規の招待状メール」の表題の冒頭と全く同じだった。大文字と小文字の使い方や、 [ ] の使い方まで一字一句変わらない。つまり犯行グループは、正規の招待状を事前に入手していた可能性が高い。したがって攻撃者は、すでに「正規の招待状メールを受信した人物」のメールボックスにアクセスすることができるのか、そうでなければ彼ら自身が正規の招待状を受け取っていたのだろう、と同社は考えている。

Palo Alto Networksが送信した「正規の招待状メール」の表題

そのファイルは「CyberSecurity Summitの案内」を装ったもので、見た目の完成度も高い。まずヘッダ部分には、正規の招待メールに使われた画像がそのまま流用されており、「REGISTER NOW」などを示す画像も同じデザインだ。その2ページの文面には、挨拶文・イベント概要・キーノートのタイムテーブルがバランス良く並んでいる。もしも正規の招待状を先に受け取った人物が、この囮のファイルを続けて読んだとしても特に違和感は覚えないだろう。しかし、そのWordファイルを表示しているPCでは、悪質なコードをインストールするための攻撃が着々と進められてしまう。

攻撃者から送られた偽の案内メール

このスピアフィッシング攻撃を確認したPalo Alto Networksは、直ちに招待状メールの送信を中止した。同社は「今後、このカンファレンスの招待に関する新しいメールが届いても、すべて悪意あるメールと見なして無視してほしい」と同ブログの中で訴えている。

Emissary 6.4 の攻撃

この「囮のファイル」が悪用を試みるのは「CVE-2012-0158」である。これはロータスブロッサム作戦がEliseを送り込む際に利用した脆弱性と同じだ。しかし、この攻撃によってインストールされるのはEliseではなく、Emissaryの比較的新しいバージョン「Emissary 6.4」である。(Eliseについては「その3」、Emissaryについては「その4」「その5」を参照いただきたい)

このEmissary 6.4は「b4secure[.]com」[KH2]というアドレスを利用しており、狙ったシステムの外部IPアドレスをHTTP GETリクエストで取得しようと試みる。その後の攻撃手法、利用されるC&Cサーバーの話、およびペイロードの構成等の技術的な情報については10月28日のPalo Alto Networksのブログで詳しく解説されているので、興味のある方はそちらをご覧いただきたい。

(その7に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…