マルウェア解析のホワイトペーパー:OceanLotusのSpyRAT

By The Cylance Threat Research Team

本ブログ記事は、2018年10月17日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

2017年の第4四半期に実施されたインシデント・レスポンスの調査において、サイランスのインシデント・レスポンダーと脅威リサーチャーは、OceanLotus Group(APT32、Cobalt Kittyとも呼ばれる)が配布した、特定の企業を狙ったバックドアを複数発見しました。さらに、攻撃者が難読化されたCobaltStrike Beaconペイロードを使用してコマンドアン ドコントロール(C2)を実行している証拠も発見しました。

攻撃者は通常、環境内のPowerShellのワンライナースクリプトを悪用してマルウェアをダウンロード/配布します。さらに、さまざまなエクスプロイトキット(MSFvenom、Veil、DKMCなど)の難読化ツールとreflective PE/シェルコードローダーを使用することで、マルウェアのほとんどは、ディスク上に痕跡を残さずにメモリ内で動作することができます。

OceanLotus Groupが作成したリモートアクセス型トロイの木馬(Roland、Remy、Splinter:有名な齧歯類にちなんで命名)には、”Backdoor.Win32.Denis”(Kaspersky)、”WINDSHIELD”、”KOMPROGO”(FireEye)とのコードのわずかな類似性が見られます。Rolandの特に興味深いところは、標的となる組織が開発した正規のソフトウェアDLLを模倣するように巧妙に作られていることです。

このマルウェアのC2プロトコルは標的ごとに大幅にカスタマイズされており、TCPソケット経由の生データからHTTP/Sプロキシに至るまで、さまざまな通信方法をサポートしています。さらに、攻撃者は柔軟なC2通信を実現するために、CobaltStrike Beaconを頻繁に使用していました。

こちらからホワイトペーパーをダウンロードください。

コードレベルでリモートアクセス型トロイの木馬のRolandとRemyは類似点が多くあり、DenisのようなOceanLotusの他の既知のマルウェアとコードを相互に再利用しています。これらの脅威は、設計と開発における全体的な状況から、十分な資金を持つ開発チームが作成していることがわかります。OceanLotus Groupは、容易に用途を変更して、次の標的に対して最大限の効果を発揮できる、膨大な量のカスタムライブラリーコードを使用しています。

本書では、このマルウェアの詳細な技術分析、C2プロトコル、TTP(技法、戦術、手順)、全般的な所見について重点的に取り上げています。

Tags: