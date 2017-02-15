IBM X-Forceのインシデント対応とインテリジェンス・サービス（IRIS）チームが執筆しました。
IBM X-Forceのインシデント対応とインテリジェンス・サービス（IRIS）チームの研究者は、湾岸諸国の組織に対する最近のShamoonマルウェア攻撃に関与する脅威アクターのオペレーションにおいて、ミッシング・リンクを特定しました。2016年11月と2017年1月に発生したこれらの攻撃は、サウジアラビアをはじめとする湾岸諸国の複数の官公庁・自治体や組織の数千台のコンピューターに影響を及ぼしたと報告されています。Shamoonは、データを人質に料金を要求するランサムウェアとは異なり、マスター・ブート・レコード（MBR）とデータを回復不能な状態に消去することで、コンピュータのハード・ドライブを破壊するように設計されています。
最近の調査を通じて、当社のフォレンジック・アナリストは、標的のインフラストラクチャー上での破壊的なShamoonマルウェアのデプロイメントにつながった最初の侵害ベクトルと侵害後のオペレーションを特定しました。X-ForceのIRISによれば、最初の侵害は、実際のShamoonのデプロイメントと有効化が開始される数週間前に発生した点には言及する価値があります。
Shamoonインシデントは標的型攻撃の侵入とエスカレーションの段階を特徴としているため、X-Force IRISの対応者は攻撃者の侵入口を探しました。調査結果から、攻撃者が使用した最初の侵害ポイントと思われるものが明らかになりました。それは、実行が承認されるとPowerShellを介した攻撃者のサーバーとリモート・シェルへのC2通信を可能にする、悪意のあるマクロを含むドキュメントでした。
該当のドキュメントは、最近の一連の攻撃で発見された唯一のものではありませんでした。X-Force IRISの研究者は、履歴書や人事関連文書として扱われるPowerShellを搭載した同様の悪意のあるドキュメントに関連する以前の活動を追跡しており、その中にはサウジアラビアの組織に関連するものもありました。この研究では、過去数か月間に発生した複数の攻撃活動が特定され、攻撃者がWebサーバーから悪意のあるドキュメントやその他のマルウェア実行ファイルをターゲットに送り、ネットワークに初期の足場を築くという類似したオペレーション手法が明らかになりました。
Shamoonについては以前にも研究ブログで報告されていますが、報告されたケースでは、攻撃につながる具体的なネットワーク侵害の手法は依然として不明です。X-Force IRISの研究者はShamoonの攻撃ライフサイクルを研究し、サウジアラビアを拠点とする組織や民間企業におけるその活動を観察しました。この研究により、最近の攻撃でShamoonを使用した攻撃者は、最初のネットワーク足場とその後の作戦を確立するためにPowerShellを活用して構築された武器化されたドキュメントに大きく依存していると考えられるようになりました。
図1：Shamoon攻撃 — イベントの論理的なフロー
X-Force IRISは、以下の悪意あるドキュメントを特定しました。
当社の研究者は、最初の悪意のあるファイルmol.com-ho[.]meをホストしていたドメインを調査しました。ドメインのWHOIS記録によると、匿名化された登録者が2016年10月にcom-ho[.]meを登録し、それを使って同様のマクロ有効化機能を備えた悪意のあるドキュメントを提供していました。そこに含まれていたドキュメントのリストは以下のとおりです。
これらのファイルは、従業員を引き寄せ、知らず知らずのうちに悪意のあるペイロードを起動させるために、スピア・フィッシングを介して配信された可能性が高いです。
ファイル名を詳しく調べると、「IT Worx」と「MCI」であることが分かりました。IT Warxという名前を検索すると、エジプトに本社を置く世界的なソフトウェア・プロフェッショナル・サービス組織が表示されます。MCIは、サウジアラビアの商取引および投資省です。これらの名前がスピア・フィッシングEメールに使用されたのは、サウジアラビアに拠点を置く従業員にとって善良に映り、添付ファイルを開くように誘導する目的があった可能性があります。
さらに、X-Force IRISの研究者は、悪意のあるドキュメントの背後にいる脅威アクターが、briefl[.]ink/{a-z0-9}[5]というパターンのURL短縮スキームを使用して悪意のあるドキュメントの多くを提供していることを特定しました。
次の図は、Shamoon攻撃に伴い送られてきた悪意のあるWordファイルを従業員が開いたときに遭遇するであろう問題を視覚的に示しています。
図2：Shamoonマルウェア攻撃に伴い配信される悪意あるWordドキュメント（出典：X-Force IRIS）
Shamoon攻撃に関連する通信ドメインのパッシブDNSの成果は、関連するネットワーク・インフラストラクチャーを特定し、脅威アクターが使用する追加ドメインを識別しました。
X-Force IRISは、脅威アクターがntg-sa[.]comでホストされているサーバー上で少なくとも1つの悪意のある実行ファイルをホストしていることを発見しました。このファイルは、同じC2通信にPowerShellを呼び出すためのWindowsバッチをドロップするFlash Playerインストーラーであるとターゲットを騙して信じ込ませます。
脅威アクターのドキュメントの1つを分析したところ、マクロが実行されると2つの別々のPowerShellスクリプトが起動されることが判明しました。1つ目は、hxxp://139.59.46.154:3485/eiloShaegae1から提供されるPowerShellスクリプトを実行します。このホストは、一般公開されているクロスプラットフォームのリモートアクセス・ツールであるPupy RATを利用した攻撃に関連している可能性があります。
2番目のスクリプトでは、VirtualAllocを呼び出してバッファーを作成し、memsetを使用してMetasploit関連のシェルコードをそのバッファーにロードし、CreateThreadを通じて実行します。Metasploitは、リモート・ターゲット・マシンに対してエクスプロイト・コードを開発・実行するためのツールとして人気のあるオープンソース・フレームワークです。シェルコードはシェルコードの開始点からオフセットで4バイトのDWORD XORを実行し、コードを変更してループを作り、XORが0x57回次に進むようにします。
この実行が成功すると、VirtualAllocを使用してバッファーを作成し、すべてのファイル・コンテンツがhxxp://45.76.128.165:4443/0w0O6から取得されるまで、ループでInternetReadFileを呼び出します。これは文字列としてPowerShellに返され、PowerShellはそれに対してinvoke-expression（iex）を呼び出し、期待されるペイロードがPowerShellであることを示します。
注目すべきは、マクロにはURLDownloadToFileAを使用するDownloadFile()関数が含まれていましたが、これは実際には使用されなかったことです。
悪意のあるドキュメントに関連する観察に基づいて、MetasploitのMeterpreterと関連する可能性のある後続するシェル・セッションを確認しました。このセッションにより、3つのShamoon関連ファイル（ntertmgr32.exe、nttmgr64.exe、vdsk911.sys.）の展開に先立ち、追加ツールおよびマルウェアの展開が可能となりました。
Shamoonの犠牲者の完全なリストは公開されていませんが、Bloombergは、あるケースではサウジ民間航空総局の本部で数千台のコンピューターが破壊された結果、重大なデータが消去され、オペレーションが数日間停止したと報じました。
X-Force IRISが調べている最近のShamoon攻撃者の活動は、これまでに2つの波で検知されていますが、2016年後半以降、この事件に世間の注目が集まっていることを受け、後退していく可能性が高いと考えられます。
サウジアラビアは、Shamoonマルウェアについて国内組織に警告を発し、潜在的な攻撃について注意を喚起し、組織に備えるよう勧告しました。Shamoonに関する分析と警告によって標的側の準備が進められており、次の攻撃の波が来るまで攻撃者は姿を消したり、対策を変えたりする可能性があります。
この調査および関連する侵害の指標に関する技術的な詳細については、X-Force ExchangeのX-Force Advisoryをご覧ください。