・TA456 は、イラン国家に関連すると考えられている攻撃グループで、「マルセラ・フローレス」という人物になりすまして、数年をかけて航空宇宙防衛関連企業の従業員の端末にマルウェアを感染。
・このマルウェアは、プルーフポイントが「LEMPO」と命名したもので、システム内にもぐりこみ、ネットワーク内を偵察し、機密情報を窃取することを目的とする。
・TA456 は、サプライチェーンを利用して大規模な防衛関連企業を侵害する目的で、その企業に繋がる小規模な子会社や請負業者を積極的に標的としている。
・防衛関連企業を標的とすることは TA456 にとって新しいことではないが、今回の攻撃キャンペーンでは、ソーシャルエンジニアリング、クロスプラットフォームコミュニケーションを用い、さらにシステムへの足場を確立してシステムに潜む技術(Persistence)を多用。プルーフポイントが追跡しているイラン関連の最も注意を要する攻撃グループの 1 つとして、TA456 に注目する必要がある。
概要
プルーフポイントのリサーチャーは、イラン国家を後ろ盾とする攻撃グループ TA456 による数年間にわたるソーシャルエンジニアリングとマルウェアを用いた標的型攻撃のキャンペーンを確認しました。TA456 は、ソーシャルメディア上で「マルセラ・フローレス」というペルソナ(人物)を使い、企業や個人のコミュニケーション・プラットフォームを介して、防衛関連企業の小規模な子会社の従業員と関係を築いていました。2021 年 6 月初旬、TA456 はこの関係を利用して、継続的な電子メールのやりとりの中でターゲットにマルウェアを送信しようとしました。 ターゲットのマシンを偵察するために作られたマクロ付きの文書には、TA456 がターゲットを重要視していることを示すパーソナライズされたコンテンツが含まれていました。このマルウェアは、Liderc のアップデート版であり、Proofpoint が LEMPO と名付けたものですが、このマルウェアがシステムに持続的に居座ることのできる足場を確立すると、感染したマシンで偵察を行い、偵察の詳細をホストに保存し、SMTPS を介して攻撃者が管理する電子メールアカウントに機密情報を流出させた後、その日のホストの成果物を削除することで痕跡を消すようになっていました。
この攻撃キャンペーンは、国家レベルの脅威が攻撃を持続して展開しており、スパイ活動の一環として人間を関与させていました。7 月中旬、Facebook は、「Tortoiseshell」の仕業と思われる類似のペルソナのネットワークを破壊しました。 LEMPO は、プルーフポイントが配信を停止させたマルウェアで、TA456 に紐づけられるペルソナのネットワークに関係していると考えられます。この攻撃者は、Facebook の分析によると、イランの企業である Mahak Rayan Afraz(MRA)との関係を通じて、イスラム革命防衛隊(IRGC)と連携していると考えられています。
攻撃キャンペーンの詳細
Proofpoint のデータによると、「マルセラ・フローレス(Marcella (Marcy) Flores)」は、少なくとも 8 ヶ月間に渡って、TA456 のターゲットに良性のメールメッセージ、写真、動画を送信し、彼女の信頼性を確立し、ターゲットとなった被害者との関係を構築していました。 ある時、TA456 は、OneDrive の URL を使って、良性の、しかし媚びるようなビデオを送ろうとしました。 6 月上旬には、TA456 の「マーシー」と名乗る人物が、今度はダイエット調査を装った別の OneDrive リンクを送信しました(図1)。
OneDrive の URL は、 a .xlsm (図2) (612bdfb4f6eaf920a7a41fa06de8d99f6ecf6ad147374efa6eb1d5aff91df558)を含むa .rar ファイル (dfddbd09ccea598c4841f1abbc927f1c661d85d4bd9bcb081f7c811212d8a64a) にリンクしていました。この .xlsm ファイルには、標的になった人物との以前の会話内容を利用して、パンデミック中の食習慣をサポートするように装い、ファイル内のプライバシー保護された部分にアクセスするためにコンテンツを有効にするように要求しました。 コンテンツを有効にすると、マクロは、\Appdata\Perflog というディレクトリを作成して隠し、そのディレクトリに Visual Basic Script(VBS)で構成された非常にシンプルで巧妙な平文を盗むツールである LEMPO を書き込みます(Schedule.vbs 1534f95f49ddf2ada38561705f901e5938470c1678d6a81f0f4177ba7412ef5b)。 VBS をオーサリングした後、Excelマクロでは、ユーザーのログイン時に LEMPO が実行されるように、レジストリキー(HKCUSoftware\Windows\CurrentVersion\Run /v Schedule /t REG_SZ /d C:JapaneseUsers\Perflog\Schedule.vbs /f)を追加します。
Excelドキュメント内のマクロには、showip[.]net に HTTP POST で接続するコードも含まれています。このレスポンスは、「net use」および「netstat -nao」の結果とともに、.xlsm 内の隠しシートに保存されます。これは、Facebook が 7 月 15 日に発表した内容を彷彿とさせる手法です。プルーフポイントのアナリストは、これは LEMPO 以前のバージョンのコードが部分的に残っているか、TA456 の偵察ツールに冗長性を持たせたいのではないかと評価しています。
●LEMPO
LEMPO の偵察ツールは、Visual Basic のスクリプトを Excel のマクロに落とし込んだものです。 Windows に組み込まれたコマンドを活用してホストを様々な方法で列挙し、収集したデータを記録した後、Microsoft の CDO(Collaboration Data Objects)を使用して、攻撃グループが管理する電子メールアカウントに情報を流出させます。CDO は、以前は OLE Messaging または Active Messaging と呼ばれていたもので、Microsoft Windows および Microsoft Exchange Server製品に含まれるアプリケーション・プログラミング・インターフェースです。 この分析のほとんどは、プルーフポイントが 2021 年 6 月にブロックしたサンプル(1534f95f49ddf2ada38561705f901e5938470c1678d6a81f0f4177ba7412ef5b)に基づいています。また、公開マルウェアリポジトリに 2020 年 6 月にアップロードされた同様のサンプル(da65aa439e90d21b2cf53afef6491e7dcdca19dd1bbec50329d53f3d977ee089)を確認しました。
●偵察
LEMPO は以下の情報を収集し、 %temp%\Logs.txt に記録します。
・日付と時間
・コンピューター名とユーザー名
・WMIC os、sysaccount、環境およびコンピュータシステムコマンドで得られるシステム情報
・“SecurityCenter2”のパスにあるアンチウイルス製品情報
・ドライブ
・タスクリスト
・ソフトウェアとバージョン
・Net user とユーザーの詳細
次のセクションで説明する接続チェックの後、LEMPO は次の内容を %temp%\Logs.txt に書き込みます。
・ファイアウォール ルール
・Get-Process による実行中のプロセスの一覧
・IP config
・ドメインホスト、ユーザー、コンピューター、ローカルグループ
・信頼されたドメイン
・ネットワーク シェア
・ARPキャッシュ
・トレースルート (Tracert)
・外部IP (showip.net)
・接続情報 (netstat -nao)
●接続性
ネットワークに焦点を当てた偵察を行う前に、LEMPO は Yandex、Google、Yahoo、Github、Mailchimp、Mega、Arxiv(電気工学や科学研究を専門とするオンライン学術リポジトリ)、Twitter に ping と curl を使ってアクセスし、接続できるかどうかを確認します(図3)。 2020 年 6 月版の LEMPO では、ford[.]com への接続チェックのみを行っています。
この追加の偵察を終えると、LEMPO は Logs.txt を %temp% から \Perflog に移動させます。次に LEMPO は、前述のレジストリキーが追加されていることを確認し、findstrコマンドを使用して "user"、"pass"、"vpn "を含むファイルを特定します。 findstrコマンドは、コンピューターからユーザー名とパスワードを収集する可能性のある、一致する行をすべて返します。 Logs.txt は Logs.zip に圧縮されます。
●窃取した情報の送信
LEMPO は、Microsoft の CDO でハードコードされた認証情報を使用し、ポート465 の SMTPS を介して情報を流出させます。2021 年 6 月版の LEMPO では、TA456 が同じ Yahoo のメールアドレスを使用して、流出した情報の送受信を行っています。2020 年版の LEMPO では、TA456 は Yandex のアカウントから Tutanota のメールアカウントに送信しています。特に、2020 年版 LEMPO に組み込まれている Yandex のメールは、エネルギー業界をサポートする大規模なテクノロジー企業を装っていました。 LEMPO は情報を取得した後、30 秒間スリープし、その後 Logs.txt と Logs.zip の両方を削除します。
●マルセラ・フローレス
“マルセラ・フローレス/ Marcella (Marcy) Flores” は、少なくとも 2020 年 11 月以降、標的となった航空宇宙産業の従業員と会話をしており、少なくとも 2019 年以降はソーシャルメディア上で友達になっていました。マルセラは、マルウェア配信の試みに使われた Gmailアカウントの他に、現在は停止している Facebook のプロフィールを持っていました。
オープンソースの調査によると、「マルセラ」は 2019 年後半からソーシャルメディア上で TA456 が標的とした人物と交流していました。 公開されている「マルセラ」の最も古い Facebook のプロフィール写真は、2018 年 5 月 30 日にアップロードされたものです。プルーフポイントの分析によると、このプロフィールは、以前にイランの APT が諜報価値のあるターゲットをソーシャルエンジニアリングするために使用した架空のプロフィールと強い類似性があります。「マルセラ」のプロフィールは、防衛関連企業の従業員であることを公表している複数の個人と友達になっており、彼らの居住地と「マルセラ」の所在地とされる英国リバプールとは地理的に遠くにあるようでした。 2021 年 7 月 15 日、Facebook は、「マルセラ」を含む Facebook および Instagram のペルソナのネットワークを破壊したと発表しました。
●標的
TA456 は、ニュース関連のスパムを装った偵察キャンペーンを日常的に行い、航空宇宙・防衛関連企業に勤める個人を標的にしています。米国の防衛関連企業、特に中東での契約をサポートしている企業を標的にしていることは、過去のイランのサイバー活動と一致しています。 さらに、プルーフポイントは、TA456 が大規模な防衛関連企業の複数の下請け企業や子会社に勤務する個人を標的にしていることを確認しています。これは、ネットワーク環境を共有しているセキュリティレベルの低い下流の部品サプライヤーを経由して、業務を発注している本丸の企業を狙ったものである可能性があります。 オープンソースの調査によると、今回のキャンペーンで「マルセラ」が標的とした人物は、サプライチェーン・マネージャーとして働いていました。これは、標的となる組織内のビジネスおよび情報技術関連の人物を標的とする TA456 の TTP と一致しています。
●アトリビューション(攻撃者の特定/紐づけ)
プルーフポイントは、このキャンペーンをイラン系の攻撃グループある TA456 によるものと考えています。TA456 は、防衛産業基盤の従業員や請負業者、特に中東での活動を支援する業者に対するスパイ活動に重点を置いています。TA456 は、「Tortoiseshell」および「Imperial Kitten」としてアトリビューションされている攻撃者の活動と重複しています。 2021 年 7 月 15 日、FacebookはTortoiseshell の活動の一部を、IRGC と関係のあるイランの IT企業である Mahak Rayan Afraz(MRA)に関係すると発表しました。これまでのマルウェア分析や過去のオープンソース研究に基づき、プルーフポイントはこのアトリビューションに同意しています。
さらに、LEMPO は Tortoiseshell のマルウェアLiderc と複数の類似点を持っています。広範な機械による偵察、電子メールによる侵入、類似したフォーマットのハードコードされた電子メールアドレス、米国の防衛産業基盤に関連する企業や個人を標的とした全体的なパターンが一致しています。
●今後の見通し
TA456 は、防衛産業基盤内の高度に保護されたターゲット環境に LEMPO を配備して偵察を行うために、ターゲットの従業員との関係を何年にもわたって構築し、多大な運用投資を行っていました。 Facebook社の発表によると、TA456 は、サイバースパイ活動を可能にするために、これらのペルソナの広範なネットワークを構築していました。 Proofpoint では、TA456 の Syskit のようなリモートアクセス型トロイの木馬やコマンド&コントロールチャンネルの配信は確認していませんが、LEMPO が収集した情報は、様々な方法で運用することが可能です。 例えば、盗んだ VPN認証情報を利用したり、特定のソフトウェアの脆弱性を利用したり、「マルセラ」から配信されたものより高度なマルウェアにカスタマイズしたりすることが考えられます。
TA456 は、ソーシャル・エンジニアリングを駆使し、マルウェアを展開する前にターゲットを穏便に偵察し、クロスプラットフォームのキルチェーンを駆使することで、プルーフポイントが追跡するイラン系の脅威の中でも最も機知に富んだ脅威の一つとなっています。 「マルセラ・フローレス」というペルソナは、TA456 が使用している唯一のペルソナではない可能性が高いため、防衛産業基盤で働く人やそれに関連する人は、仕事や個人のアカウントを問わず、未知の人物と関わる際には警戒することが重要です。
