0 検索結果
            結果に戻る
              Articles

              ANELで日本を標的とした攻撃活動を行う攻撃者グループ BRONZE RIVERSIDEに関する調査報告

              サイバーセキュリティ・サービス業界のグローバル リーダーであるSecureworks® (NASDAQ:SCWX) のリサーチチーム、カウンター・スレット・ユニット:Counter Threat Unit™ (以下、CTU) は、攻撃者グループ 「BRONZE RIVERSIDE」 (別名:APT10、Stone Panda、POTASSIUM、Red Apollo、CVNX) が、中国が関与しているとされるグループであり、バックドア タイプのマルウェア 「ANEL (エーネル)」 を用いて、2017年9月から日本を標的とした攻撃活動を行っていることを確認しました。また、同攻撃者グループは、定期的にANEL のバージョンアップを実施しており、機能を拡張しながら現在も攻撃に利用しています。

              CTUのリサーチャーは、BRONZE RIVERSIDEが利用するANELの新しいバージョンの解析を実施しました。BRONZE RIVERSIDEに関与したとされる2人の人物が2018年12月、米司法省によって起訴されましたが、CTU のリサーチャーは、今後も引き続き、同攻撃者グループが日本国内に対して脅威をもたらす可能性が高いと考えています。

              BRONZE RIVERSIDE は、産学官を問わず様々な組織に対して攻撃を行っており、とりわけ、マネージド・サービス・プロバイダーへの攻撃が散見されています。ANELを利用した日本国内への標的型攻撃の対象としては主に、政府関連組織や政治団体などが確認されています。ANELに感染すると、感染端末の情報やデスクトップのスクリーンショットが収集され、機密情報の収集や他の端末への横展開を行うためのツールがダウンロードされた後、実行されます。ANELが最初に確認されたのは2017年9月、バージョン5.0.0 beta1で、現在までに少なくとも11バージョンが存在しています。公開情報では、2018年9月中旬にANELバージョン5.4.1に関する情報が発表されています。

              本レポートでは、新しいバージョンである5.5.0 rev1に関して、感染時の動作、前のバージョンからアップデートされた点などについて解説を行います。


              図 1. ANELにハードコードされているバージョン情報。左は最初に確認されたバージョン5.0.0 beta1、右は最近確認されたバージョン5.5.0 rev1 (出典: Secureworks)

              CTUのリサーチャーが解析したバージョン5.5.0 rev1のANELは、パスワード保護されたWord文書に含まれるマクロコードの中に仕込まれています。ユーザーがWord文書を開いてマクロを有効にすることで、マクロコードが実行されて最終的に3つのファイル (EXEファイル、DLLファイル、バイナリファイル) が 、%AllUsersProfile% 配下に生成され、EXEファイルが実行されます。EXEファイルは正規ファイルを悪用しており、DLLハイジャッキングの手法を用いて不正なDLLをロードします。続いて、DLLファイルがバイナリファイルをロードし、その中に含まれているANELを復号してEXEファイルのプロセス上に展開して実行します。(図2)

              また、ANELは、端末が再起動された際に自身を再感染させるために、以下のレジストリキーにEXEファイルを登録します。

              HKCU\Software\Microsoft\Windows\CurrentVersion\Run


              図 2. ANEL 5.5.0 rev1による攻撃の流れ (出典: Secureworks)

              ANELバージョン5.5.0 rev1のバックドア機能は、バージョン5.4.1から変更されていません。表1は、攻撃者が入力するコマンド文字列を元に計算されたハッシュ値 (xxhash) と、それに対応するバックドア機能です。

              入力コマンドから計算されたハッシュ値(xxhash) 機能
              0x97A168D9697D40DD ファイルのダウンロード
              0x7CF812296CCC68D5 ファイルのアップロード
              0x652CB1CEFF1C0A00 PEファイルのロード
              0x27595F1F74B55278 ファイルのダウンロード及び実行
              0xD290626C85FB1CE3 タイムゾーン情報の取得
              0x409C7A89CFF0A727 PNG形式のスクリーンショット取得
              上記以外 cmd.exeによるコマンドの実行

              表 1. ANELバージョン5.0.0 rev1のコマンドリスト. (出典: Secureworks)

              バージョン5.4.1から更新された点として、窃取した感染端末の情報をC2サーバーに送信する際に利用する暗号化アルゴリズムがBlowfishからChaCha20に変更されていることが挙げられます。図 3では、バージョン毎の暗号化アルゴリズムおよび暗号化に利用される鍵の情報を示しています。

              バージョン 暗号化
              アルゴリズム
              暗号鍵
              5.0.0 beta1 Blowfish "this is the encrypt key"
              5.1.1 rc0
              5.1.2 rc1
              5.2.0 rev1
              5.2.2 rev2 C2 URLを元に計算したMD5ハッシュ値に紐づく値
              5.3.0
              5.3.1
              5.3.2
              5.4.1
              5.5.0 rev1 ChaCha20

              図 3. ANELが用いる暗号化アルゴリズムと暗号鍵の変化 (出典: Secureworks)

              ANELバージョン5.5.0 rev1は、HTTP GETおよびPOSTリクエストを利用してC2サーバーと通信を行います。
              その際に利用されるフォーマットは、以下の通りです。

              GET or POST /<hard-coded string>/?<Random String>=<item 1>&<Random String>=<item 2>&... &<Random String>=<item n>

              C2サーバーとの最初の通信でANELは、表2に示す1から9のアイテムを暗号化して送信します。その際のHTTP POSTリクエストの例は図 4で、POSTリクエストの場合は、データ部にデスクトップのスクリーンショットであるPNG画像ファイルを暗号化して追加します。

              アイテム 内容
              N/A ハードコードされた C2 URL
              1 16進数表記のANELプロセスID、PC名とGUIDから計算したMD5ハッシュ値、PC名
              2 タイムスタンプ
              3 OSバージョン
              4 ユーザー名
              5 タイムゾーン
              6 カレントディレクトリ
              7 ANELバージョン
              8 プロキシ情報
              9+ パラメータ情報

              表 2. ANEL HTTP GET/POSTリクエストでC2サーバーに送信される情報 (出典: Secureworks)


              図 4. ANEL POSTリクエストの例。赤字で示されているのが暗号化されたアイテム (出典: Secureworks)

              図 5では、表2で示すアイテム4のユーザー名が暗号化される流れを示しています。


              図 5. ANEL 5.5.0 rev1により窃取したデータの暗号化の流れ (出典: Secureworks)

              ANELはまず始めに、接続するC2 URL情報を元に計算したMD5ハッシュ値に紐づく、ハードコードされた暗号鍵を選択します。(図 6および 7)


              図 6. 暗号鍵の選定手順 (出典: Secureworks)


              図 7. 暗号鍵の選定手順の疑似コード (出典: Secureworks)

              次に、選定した暗号鍵の末尾16バイトの内、8バイトずつを入れ替えます (図 8)。


              図 8. 選定した暗号鍵の部分的な入れ替え処理 (出典: Secureworks)

              その後、編集した暗号鍵を用いてChaCha20で暗号化を行います。暗号化した後のデータに対し、さらにXORとBase64によるエンコードを行い、HTTPリクエストに追加します。そして、同様の処理をアイテム毎に実施します。

              CTUのリサーチャーは、ANELの脅威を軽減するために、表3に示すインディケータを検知およびブロックすることを推奨しています。URLには不正なコンテンツが含まれている可能性があるため、取り扱いには十分ご注意ください。

              インディケータ タイプ 備考
              9f52a3fa4d8268cb2236bf2aac27ce06073b3dd82
              e4bddd58fe9e3dd60e67deb
              SHA256 hash 不正なDLLファイルをサイドロードするための正規のEXEファイル
              f333358850d641653ea2d6b58b921870125af1fe7
              7268a6fdfeda3e7e0fb636d
              SHA256 hash ANELバックドアのバイナリファイルをロードするためのDLLファイル
              619B293D3561FB9740AB2F2036488076C3AE7
              E1EEEE5EB5D6C7722815BCB9A03
              SHA256 hash 暗号化されたANELバックドアが含まれたバイナリファイル
              b7052d964943d38b6445836594a075060636f170
              f5ab812941d5add720fc9178
              SHA256 hash 復号後のANELバックドア
              http://220 . 158 . 216 . 108/FtV8 URL ANEL C2 server
              http://www . skilllm0dr . com/YDVmq5C URL ANEL C2 server
              http://vitalikvasuluk . jetos . com/XGjk URL ANEL C2 server

              表3. インディケータ情報 (出典: Secureworks)

              ■ 本レポートの内容については、2019年1月18日東京・御茶ノ水ソラシティカンファレンスセンターで開催されたJapan Security Analyst Conference 2019 (JPCERTコーディネーションセンター主催) にて、CTUのメンバーとして日本で調査活動を行う
              玉田 清貴 が 「APT10による ANEL を利用した攻撃手法とその詳細解析」 と題して発表を行いました。同イベントの開催レポートを下記リンクよりご覧頂けます。また当日、玉田が使用した資料もダウンロードが可能となっております。
              - Japan Security Analyst Conference 2019開催レポート ~後編~ https://blogs.jpcert.or.jp/ja/2019/02/jsac2019report2.html


              関連コンテンツ