ステガノグラフィー用い攻撃モジュール隠し、メインモジュールはビットマップファイルに偽装（カスペルスキー）

株式会社カスペルスキーは10月15日、2018年初めから2019年初めにかけて活動が行われたとみられる製造業の企業を限定して標的にした一連の高度サイバー攻撃（APT）を発見したと発表した。

同社のグローバル調査分析チームによると、本攻撃活動に使用されたツールセットは検知回避のため、データ隠ぺい技術のステガノグラフィーを用いて主要な攻撃モジュールを隠し、指令サーバとの通信をパブリッククラウドサービスでホストするなどの様々な方法を使用していた。同社では最近も新たなマルウェアを検知しており、モジュールをコンパイルしたタイムスタンプが9月であることから、この攻撃活動は現在も開発を続けているとみている。

同社のグローバル調査分析チームのリサーチャーは、マルウェアの作成者がこのツールセットを「MT3」と呼んでいたことから、頭文字を利用してこの攻撃活動を「MontysThree」と名付けた。

「MontysThree」は、特定の企業の人物や社員を標的にするスピアフィッシングの手口で、従業員の名前や、技術文書、医療の分析結果などを装ったRAR SFXファイル（自己解凍型アーカイブ）を用いて、複数のモジュールを含むマルウェアツールセットをダウンロードさせる。モジュールに含まれているローダーは、感染先のシステム上での検知を回避するため秘密の情報を他の情報の中に埋め込み存在を隠ぺいするステガノグラフィーの技術を取り入れ、メインモジュールである悪意のあるペイロードはビットマップファイルに偽装、正しいコマンドが入力されると、ローダーがカスタマイズされたアルゴリズムを使用してピクセル配列から内容を復号し、悪意のあるペイロードを実行する。この悪意のあるペイロードは、指令サーバーとの通信を暗号化し、割り振られた主要な実行タスクを復号するためにRSAアルゴリズムを使用するなど、検知を回避するために独自の暗号化技術を複数用いている。

タスクには、特定の拡張子の文書や指定した企業のディレクトリの資料の探索が含まれ、特にMicrosoftとAdobe Acrobatの文書を対象とするよう設計されている。画面をキャプチャしたり、ネットワーク設定やホスト名などを取得するなど攻撃者にとって価値がある標的かどうかを確認し、これらの収集した情報や指令サーバーとそのほかの通信は、Google、MicrosoftやDropboxなどのパブリッククラウドサービスにホストされ、通信トラフィックが悪意のあるものとして検知されにくくなっている。これらのサービスをブロックするウイルス対策ソフトはないため、指令サーバーは妨害されることなくコマンド実行可能となる。

同社のグローバル調査分析チームのシニアセキュリティリサーチャーであるデニス・レゲゾ氏（Denis Legezo）は「MontysThreeは産業界を標的としていること、その戦術、技術、手順（TTPs）の組み合わせに、洗練されていながらどこかアマチュアらしさがある点で興味深い脅威です。攻撃のモジュールごとに精巧さが異なり、高度なAPT攻撃で使用されるモジュールとは比べものになりません。一方で、MontysThreeには強力な暗号標準が使用されており、カスタマイズしたステガノグラフィーなど、技術に精通した部分もあります。明らかなことは、攻撃者は攻撃ツールセットの開発に多大な労力を費やしているということです。確固とした目的があり、短期間で終わる攻撃を意図したものではないと考えられます」と述べている。