« Back to Blog

El Macheteマルウェアがラテンアメリカを切り裂く

By The Cylance SPEAR Team

エグゼクティブサマリー

SPEAR™チームが一般公開されたマルウェアの脅威の追跡と監視を行い、今後の動向を予測しました。本調査により、公開されているマルウェアに軽微な変更を加えるだけで、既存の防御ソリューションを簡単に迂回できてしまうことが明らかになりました。Kasperskyが命名し情報開示した「El Machete(ナイフ)」というマルウェアの脅威の一つについて、攻撃グループが2014年以降にラテンアメリカを中心に活動してきたことをSPEARチームが突き止めました。この攻撃者グループは、シグネチャベースのアンチウイルスで検出されるのを逃れるために、マルウェアへの軽微な変更に加え、動的なDNSドメインをベースにした新しいC2インフラストラクチャへの移行を行っています。

SPEARチームは、過去1か月に300件を超える被害者と、C2サーバー上に保存された100GBを超える盗難されたデータを発見しました。被害者の大半は、エクアドル、ベネズエラ、ペルー、アルゼンチン、コロンビアにいましたが、韓国、米国、ドミニカ共和国、キューバ、ボリビア、グアテマラ、ニカラグア、メキシコ、イングランド、カナダ、ドイツ、ロシア、ウクライナでも被害者が確認されています。その中には諜報機関、軍隊、公益事業者(電気通信および電力)、大使館、政府機関など、知名度の高い組織が幅広く含まれていました。

最も興味を引くのは、頻繁に標的にされた国のほとんどがブラジルと国境を接しているという点です。しかし、Kasperskyの最初の発見とは異なり、SPEARチームの調査ではブラジルの被害者は特定されませんでした。

調査結果

フィッシングメールは外部のZIPまたはRARアーカイブへのリンクを使用し続けていました。これには拡張子がSCRの実行可能ファイルが含まれます。SPEARチームが特定したすべての実行可能ファイルには、オープンソースのNSISNullsoft Scriptable Install System:https://sourceforge.net/projects/nsis/)または自己解凍型RAR実行可能ファイルSFXによって生成された実行可能ファイルが含まれていました。NSISにより、攻撃者はZLibBZip2LZMAなど複数の一般的な圧縮ルーチンを使用して悪意のあるコードを簡単に難読化することができます。攻撃者はまた、Hostinger (ホスティンガー)の安価なWebホスティングサービスを多数利用して、初期のペイロードを配信しています。SPEARチームは、下記のURLがフィッシング攻撃で使用されたことを特定しています。

hxxp://actualizacion.esy[dot]es/Mision_Secreta_de_la_DINA_en_Washigton.rar
hxxp://almuerzowordaula3.16mb[dot]com/ORDENES_GENERALES.rar
hxxp://carolinaz25.esy[dot]es/DECRETO_No_18_Duelo_Virgilio_Godoy_.rar
hxxp://carolinaz25.esy[dot]es/RDGMA_07_4432.rar
hxxp://cristianoo.esy[dot]es/Padrino_Lopez_Hay_un_golpe_de_Estado_en_desarrollo.zip
hxxp://cristianoo.esy[dot]es/ROSARIO_EN_MULTINOTICIAS_13_ABRIL_2016.zip
hxxp://flipjbl.esy[dot]es/Suport/Articulo%20sobre%20funcionarias%20de%20Nicaragua%20docx.rar
hxxp://flipjbl.esy[dot]es/Suport/Debes%20utilizar%20una%20computadora%20para%20extraer%20el%20contenido.rar
hxxp://informesanddocumentos.esy[dot]es/semanario_en_marcha_1758_1.zip

SPEARは、次のファイル名がソーシャルエンジニアリング技術を利用した悪意のあるペイロードの配信に使用されたことを確認しています。

ペイロードファイル名:

977_REG_IN_CO_012_V1.scr
Aniversario_de_cascos_azules_ecuatorianos.docx.scr
Articulo sobre funcionarias de Nicaragua docx.scr
Articulo_de_Opinion_Heinz_Dieterich.docx.scr
Boletín_PAT_034_UADMNE_Visita_de_Guardianes_del_Mar_a_repartos_navales.scr
Citacion Judicial expediente 10388-17 Oficio 35467pdf.scr
CIRCULAR_8_OCT_2016.scr
Cuestionario.scr
DECRETO_No_18_Duelo_Virgilio_Godoy_.docx.scr
Demanda.scr
Denuncia_penal_o_querella.scr
DIRECTIVA_MANDO_OPERACIONAL.scr
Informe Derechos Humanos en Nicaragua docx.scr
INSTRUCTIVO LOGISTICO.scr
Jungmann verifica o funcionamento do SISFRON, em Dourados (MS).docx.scr
LISTA DEL RADG N° 0931208.scr
Ministerio_de_Defensa_ordena_al_Issfa_que_no_suspenda_tres_prestaciones.scr
Mision_Secreta_de_la_DINA_en_Washigton.scr
Nicaragua denuncia ante la CIJ las.scr
Notificacion_Judicial_No_121523_2015.scr
Notificacion_Judicial_No_121523_2016.scr
Notificacion_Judicial_No_8030923_2015.exe
ORDENES_GENERALES.scr
Padrino_Lopez_Hay_un_golpe_de_Estado_en_desarrollo.scr
PARTE ESPECIAL COMANDANCIA GENERAL DE LA AVIACIÓN 20SEP15.scr
RDGMA_07_4432.scr
REINCORPORACION.SCR
ROSARIO_EN_MULTINOTICIAS_13_ABRIL_2016.scr
Semanario_En_Marcha_1756_11.scr

このグループは引き続きPY2EXEを好んで使用してPythonスクリプトを実行可能ファイルにエンコードし、複数のコンパイル済みスクリプトを使用してスクリーンキャプチャ、ビデオキャプチャ、オーディオキャプチャ、ファイルの列挙、キーロギング、データの搾取などさまざまな機能を実行しています。SPEARチームが知る限りでは、すべてのスクリプトはPython v2.7を使用して実行するように設計されており、他のバージョンのインタープリターは特定されませんでした。このグループはTLSで暗号化したFTPに大きく依存しており、Pythonのネイティブftplibライブラリを使用して標的の環境からデータを転送していました。このアクティビティは、通常のTCPポート21経由でのみ確認されました。サンプルでは、Pythonurllibライブラリを使用したHTTPリクエスト経由でのC2への接続もテストします。要求の例を以下に示します。

GET / HTTP/1.0
Host: idrt.gotdns.ch
User-Agent: Python-urllib/1.17

図 1: 接続要求の例

スクリプト自体は、uncompyleを使用して容易にバイナリから抽出して逆コンパイルできました。逆コンパイルしたスクリプトには、分析を妨げるために変数を文字「o」、「O」、および「0」の組み合わせで命名して、視覚的に難読化する技術がいくつか使用されていました。外部モジュールの1つは、定義済みの拡張子リストを使用して、内蔵ドライブと外付けドライブからファイルを検索、暗号化、アップロードするように設計されていました。このリストで最も興味深い点は、いくつかの地理情報システムファイル形式(GIS)およびPGP/GPGファイルと秘密鍵リングが含まれていることです。スクリプトの詳細分析では、このグループはCBCモードでAESを使用し、C2サーバーにアップロードする前に、定義済みの静的キーを使用してファイルを暗号化していることがわかりました。マルウェアでは、構成ファイルを難読化するために、各種のXORエンコーディングスキームを含むいくつかの簡易な難読化方法が採用されていました。重要なデータの引き出しに強力な暗号化が使用されていたことを考えると、これはやや驚きでした。

攻撃者は、No-IPまたコマンド&コントロール(C2)が用意されている無料の動的DNSドメインを使用することを好むようです。SPEARは、過去2年間、次のドメインおよびIPアドレスが継続的に使用されていることを発見しました。

ドメイン:

derte.ddns[dot]net
idrt.gotdns[dot]ch
jristr.hopto[dot]org
wbgs.3utilities[dot]com

IPアドレス:

176.9.3.184
213.239.232.149
69.64.43.33

ドメインjristr.hopto.orgは、java.serveblog[.]netでも以前に使用されていたIPアドレス181.50.98.50を介して、過去のEl Machete攻撃へのダイレクトリンクを共有していました。

パーシスタンス:

SPEARチームは、El Macheteが主に2つの方法、スケジュールされたタスクとスタートアップフォルダーを使用してパーシスタンスを得ていることを発見しました。スケジュールされたタスクではHD_AudioJava_UpdaMicrosoft_upがタスク名としてよく使用され、一般に以下のいずれかの実行可能ファイルを指していました。

  • %AppData%\Desjr\jfxrt.exe
  • %AppData%\unijr\kfxw.exe
  • %AppData%\MicroDes\javaH.exe

2015年の1つサンプルでは、パス“%UserProfile%\Start Menu\Programs\Startup\Java Update.lnk”が使用されていました。逆コンパイルされたスクリプトで使用される可能性のある値としてHD Audio.lnkが確認されています。ただし、スタートアップフォルダーを使用する手法は、おそらく公開されてしまったため、後のサンプルではほとんど使用されていないようです。

ファイルベースの痕跡:

このグループは、独自のディレクトリを作成してファイルを以下にドロップすることを選択しています。

  • %AppData%\unijr\
  • %AppData%\HDA\Bush\
  • %AppData%\jre8\lib\
  • %AppData%\java.\
  • %AppData%\MicroDes\

簡潔化のため、SPEARでは考えられるファイル名の列挙は行いませんでしたが、そうしたファイルには次のハッシュを使用して容易にアクセスできます。主なドロッパーはSFXアーカイブで、一般にjsx.scrまたはRAVBg.scrと命名されていました。防御側は、通常とは異なるディレクトリにあるpython27.dllなどのスクリプトインタープリターに注意する必要があります。

結論

公開されている痕跡が多数あるにもかかわらず、過去数年間、El Macheteのスパイ活動はほとんど妨げられていません。これらの多くの痕跡により、防御側はこの脅威を確実に識別できるはずですが、大半のアンチウイルスソリューションの検出率は、現在のサンプルでは依然として低いままです。コンパイルされたスクリプトはセキュリティ企業にとってますます複雑な領域となっており、熟練した攻撃者と未熟な攻撃者の両方が採用し続けると考えられます。スクリプト言語を使用すると、OSXLinuxなどその他のオペレーティングシステムのクロスプラットフォーム互換性を簡単に開発できます。しかし、SPEARチームが見つけたすべてのスクリプトは、重要な機能の実行に際してWindows APIに大きく依存していました。

El Macheteはサイバー攻撃と防御の機能向上に奮闘していることから、今後もラテンアメリカ諸国で成功し続けることは明らかです。標的となっている多くの国々は、Finfisherおよびハッキングチーム両方のリークで顧客としてリストされており、これは彼らがまだ完全には成熟しておらず、独自の内部サイバー能力を開発していないことを示しています。いずれにしても、El Macheteの背後にいる人物が、独自のカスタムマルウェアの作成および展開によって報酬を得ていることは間違いありません。

サイランスのエンドポイント防護製品CylancePROTECT®をご利用中のお客様は、すでにこの攻撃から防御されています。CylancePROTECTをご利用でない場合、AIを活用したソリューションがいかにして未知の新しい脅威を予測・阻止できるかについてぜひサイランスまでお問い合わせ ください

付録

Zipファイル:

a8f0a470d5365c58e8cdfe8b62d5b11e4fc0197731695868c583fc89b19ef130
6ba72f5c88f3253c196fc4e5c0b41c2b5dfba9456ce7e8393c4a36fdfc1c6add
3e08e7f85c1185a1583955f9efa247addef11991beb36eb8b3f89c555707575e
f7107b9fdba48cefeff824f45b7268dd083accc847836f16dae740ce3d3d6543
55ac70ec30269428626ba3c9433b4c9421712ec1a960b4590247447f45f26ac4

RARファイル:

048d43882bd7e55a245f11931f577e7ec706f2d64ba37c3372bc73f6971dc233
6d73387c8c132c8bfbc7a644524b4995cdb3b4c8700a8f12921bcb0f9b573ede
601587809f2da4b6bdfa8fdab087209bfe9555e68f34d9c0ba18a2a76eecfdb3
2265ad57ec790a239eea12af5398819cab744fe167142346055b36a32482e06e
27443b0e1864cee5ad787ec6dcdd4521186163b090278ddb4f75c35d0f52864e

初期ペイロード(おとりあり):
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主なドロッパー:

0972e075b70ea6f43b4a6f2c5e7f9329c3f4b382d7327b556131587142a3751f
14e3053393d9b3845cec621cd79b0c5d7cd7cf656be0f5a78bb16fd0439c9917
1c0f253b91b651e8cb61ea5dc6f0bf077bec3ab9612e78f9a30c3026e39bf8a8
28131cea5009f680064a7962279ebdff7728463a6d0a30ef2077999abe27bee7
282651843b51a1c81fb4c2d94f319439c66101d2a0d10552940ede5c382dc995
2f878a3043d8f506fa53265afcea40b622e82806d1438cf4a07f92fb01d9962f
3b326f99ce3f4d8fa86135a567ba236fcc0eb308cd5bbfc74404a5fe3737682a
52cec92c27d99c397e6104e89923aa126b94d3b1cf3afa1c49b353494219162e
5fed1bda348468eddbdd3cdefd03b6add327ff4d9cf5d2300201e08724b24c9a
613351824cabdb3932ab0709138de1fcff63f3f8926d51b23291ebf345df4471
6917db24c61e6de8be08d02febe764fe7e63218b37e4a22e9d7e8691eee38dcb
732ceaf2ce6f233bb4a305edc8d2bb59587a92bd6f03ea748bef6dd13bf38499
76af6661f95bf45537c961d4446d924a70b9b053ddbf02c8bfda2918d5ac90f5
93348d6dffd45a4c01b10fc90501c666f7a5360547e2a025d5980f235e815cc9
9d124733378333e556d29684eb05060e8c88eb476a5803d0879c41f4344f6bd9
b8341d72c3b2ecd90a18d428a7ea81a267eb105a36692042fe8904b0b0ea6b07
bc3cedfa6a2c05717116b29c2b387a985a504a97ce0e0a43212b3bc89ac9cf95
c634f10a475df833c55610e38e947dda278b474b6650bb8570ab3801be43739f
d2b81d32ceb61640c72d2af241527e942218e2067c7a0ae4ff5b6eabe659255e
f98ef639797013d6eddfcc00f7d208510ac02ca49bed1eb9250156081d5ed0ab

Tags: