2024年8月、日本のある組織がAPT-C-60という南北韓国系サイバーエスピオナージュグループによる攻撃を受けました。
サイバーエスピオナージュグループとは、サイバー空間を通じてスパイ活動を行う集団のことです。これらのグループは、国家機関、企業、個人から機密情報や知的財産を盗み出すことを目的としています。彼らは高度なハッキング技術やマルウェアを使用してターゲットシステムに侵入し、情報を収集します。
今回は求人応募を装ったメールを用いて、WPS Office for Windows のリモート コード実行の脆弱性 (CVE-2024-7262) を悪用し、次にSpyGlaceというバックドアマルウェアを配布することで、ターゲットシステムに侵入しました。この攻撃はGoogle Drive、Bitbucket、StatCounterといった合法的なサービスを悪用する巧妙な手法を使用しており、従来のセキュリティ対策を超える新たな脅威となっています。この記事では、APT-C-60による攻撃の詳細やその防御策について、初心者にも分かりやすく解説します。
日本の組織を標的にしたサイバー攻撃
2024年8月、日本のある組織を標的にしたサイバー攻撃が報告されました。先述したように、この攻撃はAPT-C-60という南北韓国系のサイバーエスピオナージュグループによって実行されたものです。APT-C-60は、東アジア諸国をターゲットにすることで知られており、今回は特に求人応募を装った攻撃手法を用いて、SpyGlaceバックドアを配布しました。
攻撃の手口
この攻撃の概要は、JPCERT/CCによる発見に基づいています。
JPCERT/CCは、日本のサイバーセキュリティインシデント対応の中心的な組織です。正式には「Japan Computer Emergency Response Team Coordination Center」の略で、サイバーセキュリティの脅威やインシデントに対して迅速かつ効果的に対応するために設立されました
攻撃者は、Google Drive、Bitbucket、およびStatCounterといった合法的なサービスを悪用しました。以下に、攻撃の流れを詳細に説明します。
フィッシングメールの送信:
攻撃者は、求人応募者を装ったメールをターゲット組織の採用担当者に送信しました。このメールには、Google Driveにホストされたファイルへのリンクが含まれていました。
VHDXファイルの使用:
メール内のリンクをクリックすると、仮想ハードディスクファイル(VHDX)がダウンロードされます。つまり、このマルウェアは仮想ディスク内に隠れ、通常のファイルシステムスキャンでは検出されにくくなっている状態というわけです。さらにこのファイルには、ダミードキュメントと「Self-Introduction.lnk」というWindowsショートカットが含まれており、あたかも普通の応募資料のように見えますが、ユーザー(今回の場合、採用担当者)がそのファイルをダブルクリックすると感染が始まります。
マルウェアのダウンロード:
ショートカットファイルが実行されると、「SecureBootUEFI.dat」というダウンローダーが起動します。これにより、StatCounterを利用して被害者のデバイスを特定するための一意の文字列が生成されます。この文字列はエンコード(暗号化)され、HTTPリファラー(参照元)フィールドに埋め込まれます。このフィールドを使用して、攻撃者は被害者のデバイスを特定し、さらなる攻撃を行うための基盤を築きます。
次のステージの取得:
ダウンローダーは、Bitbucketにアクセスして「Service.dat」というファイルを取得します。このファイルはさらに「cbmp.txt」と「icon.txt」という2つの追加ファイルを異なるBitbucketリポジトリからダウンロードし、それぞれ「cn.dat」と「sp.dat」として保存します。
バックドアの実行:
「Service.dat」は、COMハイジャックという手法を用いて「cn.dat」を持続させ、最終的に「sp.dat」として知られるSpyGlaceバックドアを実行します。
SpyGlaceバックドアの機能
SpyGlaceバックドアは、コマンド・アンド・コントロールサーバー(C2サーバー)と通信を確立し、さらなる指示を待ちます。
C2サーバーとは、ネットワーク上でコマンドを送信し、それに対する応答を受信するサーバーのことです。主にマルウェアやサイバー攻撃に関連して使用されます。
例えば、攻撃者がコンピューターに感染させたマルウェアを通じて、そのコンピューターからコマンドを送信し、その応答を受け取ることで、攻撃者がコンピューターを遠隔操作することができます。これにより、データの盗難やサービスの妨害などが行われることがあります。
ちなみに、今回の攻撃で使用されたC2サーバーのIPアドレスは「103.187.26[.]176」とされています。
他の報告事例
サイバーセキュリティ企業Chuangyu 404 LabとPositive Technologiesも同様のキャンペーンを報告しており、SpyGlaceマルウェアの配布を確認しています。これらの報告は、APT-C-60およびAPT-Q-12(別名Pseudo Hunter)がDarkHotelクラスター内のサブグループである可能性を示唆しています。
DarkHotelとは、サイバースパイ活動を行うハッカーグループの一つです。このグループは、主に高い地位にある政府関係者やビジネスリーダーをターゲットにしています。彼らは、高度な技術を駆使して、ホテルのWi-Fiネットワークを通じてターゲットのデバイスにアクセスし、情報を盗むことで知られています。
DarkHotelクラスターは、このグループによる攻撃の一部であり、特定のホテルや場所での攻撃を指します。このクラスターは、ターゲットが訪れるホテルのWi-Fiネットワークを利用して、マルウェアを配布し、デバイスを感染させる手法を使用しています。
攻撃の背景と考察
アジア地域からのグループは、被害者のデバイスにマルウェアを配布するために、非標準的な手法を使用し続けています。特に、今回の攻撃では、VHD/VHDXフォーマットの仮想ディスクを使用してオペレーティングシステムの保護機構を回避する手法が注目されます。
オペレーティングシステムは、VHDXファイルを物理的なディスクとしてではなく、仮想ディスクとして認識します。このため、通常のファイルスキャンやセキュリティチェックの対象外となることがあります。仮想ディスク内のファイルは通常のディスクとは異なる扱いを受けるため、セキュリティソフトウェアが見逃すことがあるというわけです。
こうした攻撃手法は、従来のセキュリティ対策を超えた新たな脅威として認識する必要があります。
まとめ
APT-C-60によるSpyGlaceマルウェアキャンペーンは、合法的なサービスを悪用する巧妙な手法を特徴としています。フィッシングメールやVHDXファイルを利用した攻撃チェーンは、従来のセキュリティ対策を回避するために設計されています。これらの新たな脅威に対処するためには、継続的な監視と高度なセキュリティ対策が求められます。
出典
JPCERT/CCによる調査報告: JPCERT/CC
The Hacker News:APT-C-60 Hackers Exploit StatCounter and Bitbucket in SpyGlace Malware Campaign
