ウクライナとロシアの戦争が激化する中、サイバー攻撃は、実弾による両国の戦争の前哨戦となっている。 研究者によると、ロシアのハッカーグループ「ACTINIUM」は、サイバー攻撃のシグネチャ検知を回避し、より高度なマルウェアを展開するための新しい難読化機能を開発した。 また、ACTINIUMは大量のドメイン、IPアドレス、ワードリストを使用してIoCs情報に基づく検出を回避しているため、研究者が脅威を分析、特定することが困難になっている。
研究者の解説
現代における戦争では、サイバー攻撃は重要な軍事攻撃の一つとなっている。今回の攻撃は、ACTINIUMが急速に進化するサイバー攻撃の技術を駆使し、従来の侵入検知システムの効果を低下させ、マルウェアによってサイバー攻撃をしかけてきたものだ。この攻撃行動から、一般的なマルウェア対策だけでは対応することが困難になっていることが分かる。そのため、当局は敵対国のサイバー活動に特に注意を払い、脅威対策においては、シグネチャ検出だけに頼らないよう対策をとる必要がある。
1,概要
国境など地理的制限なく活動できるサイバー攻撃は、現代の軍事活動において無視できない主要な軍事攻撃の一つとなっている。 ロシアとウクライナの戦争が激化する中、ウクライナ政府は、ロシア連邦保安庁(FSB)傘下のハッカー集団「ACTINIUM」が、ウクライナ国内の政府機関、軍事機関、司法当局、法執行機関、非政府団体、非営利団体など、主要組織を標的にしていることを発表した。ハッカー集団の目的は、ウクライナ側から機密情報を盗み出すことだ。
2,技術分析
ACTINIUMは、まず、フィッシングメールでスピアフィッシング攻撃を行い、最初の感染を実行する。 攻撃者はドメイン名で正当な事業者になりすましており、被害者は攻撃されていることをすぐに認識することが難しい。 更に注意すべきは、攻撃者はメールの内容にスクリプトを埋め込んでいるため、被害者がメールを開いたかどうかを確認することが可能である点だ。
偽のドメイン名を使ったフィッシングメール
被害者が悪意のある電子メールの添付ファイルを開くと、ファイルはリモートファイルテンプレートをロードし、「PowerPunch」などの次の段階で使用されるマルウェアをダウンロードする。 (添付ファイル自体にはマルウェアのペイロードが含まれていないため、静的ファイル分析でこの侵入方法を検出することは困難である。)
次に、Base64 でエンコードされたマルウェア PowerPunch をマイクロソフトの PowerShell で実行すると、「Volume Serial Number」を暗号化キーとして使用し、次の段階のマルウェア「Pterodo」をドロップする。その後、攻撃者は Pterodo を展開し、標的のネットワークにアクセスし、オープンソースのリモートデスクトップ遠隔操作ソフト「UltraVNC」を使用して接続する。 最後に、攻撃者は別の悪意のあるプログラム「QuietSieve」を通じてデータを盗むのだ。
PowerPunch の仕組み
Pterodoは、内部で使用するアプリケーション・プログラミング・インターフェース(API)関数名のハッシュ値を独自に作成して格納している。API関数をコールするとき、OSにロードされているAPI関数名のハッシュ値を計算し、ハッシュ値が一致することで使用したいAPI関数であると判定し、そのAPI関数のアドレスのオフセット値を格納することで、API関数のハッシュ値とアドレスのオフセット値のマップを作成する。また、実際のAPIコール時には、DLLのハンドルを取得するために使用するDLL名を復号化するが、ハンドルを取得すると即座に復号化されたDLL名が格納されたメモリを解放する。このため、解析者はマルウェアがどのAPI関数を呼び出しているかを知ることが困難になるのだ。
Pterodoで作成した関数のハッシュ値の一覧
Pterodoが実行した関数
3,予防措置
この種の攻撃はフィッシングメールから始まるため、インシデントを防ぐためには、検証されていないソースからファイルをダウンロードあるいは実行したりしないよう、ユーザーの意識を高めていくことが重要だ。検証されているソースは、DKIM、SMIMEを使用したメールを検証している場合を指す。その場合は、インシデントの可能性は低くなる。
4,参考資料
- Microsoft. "ACTINIUM targets Ukrainian organizations" Accessed March 4, 2022.
- Security Service of Ukraine. “Gamaredon/ Armageddon Group” Accessed March 4, 2022.
- BROADCOM SOFTWARE. “Shuckworm Continues Cyber-Espionage Attacks Against Ukraine” Accessed March 4, 2022.
- Unit 42. “Russia’s Gamaredon aka Primitive Bear APT Group Actively Targeting Ukraine (Updated Feb. 16)” Accessed March 4, 2022.
IoCs情報
| IoC Value |
IoC Type |
Comment |
| Jolotras[.]ru |
Domain name |
QuietSieve, associated with multiple malware samples |
| Moolin[.]ru |
Domain name |
QuietSieve, associated with multiple malware samples |
| 0afce2247ffb53783259b7dc5a0afe04d918767c991db2da906277898fd80be5 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s)
|
| f211e0eb49990edbb5de2bcf2f573ea6a0b6f3549e772fd16bf7cc214d924824 |
SHA-256 |
QuietSieve, communicates with jolotras[.]ru domain(s) |
| 6d4b97e74abf499fa983b73a1e6957eadb2ec6a83e206fff1ab863448e4262c6 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| eb1724d14397de8f9dca4720dada0195ebb99d72427703cabcb47b174a3bfea2 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| b92dcbacbaaf0a05c805d31762cd4e45c912ba940c57b982939d79731cf97217 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| b3d68268bd4bb14b6d412cef2b12ae4f2a385c36600676c1a9988cf1e9256877 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| a6867e9086a8f713a962238204a3266185de2cc3c662fba8d79f0e9b22ce8dd6 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| a01e12988448a5b26d1d1adecc2dda539b5842f6a7044f8803a52c8bb714cdb0 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| 8a8c1a292eeb404407a9fe90430663a6d17767e49d52107b60bc229c090a0ae9 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| 15099fc6aea1961164954033b397d773ebf4b3ef7a5567feb064329be6236a01 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| 137bfe2977b719d92b87699d93c0f140d659e990b482bbc5301085003c2bd58c |
SHA-256 |
QuietSieve, communicates with jolotras[.]ru domain(s) |
| 0e5b4e578788760701630a810d1920d510015367bf90c1eab4373d0c48a921d9 |
SHA-256 |
QuietSieve, communicates with moolin[.]ru domain(s) |
| gorigan[.]ru |
Domain name |
Pterodo |
| teroba[.]ru |
Domain name |
Pterodo |
| krashand[.]ru |
Domain name |
Pterodo, associated with multiple malware samples |
| 51b9e03db53b2d583f66e47af56bb0146630f8a175d4a439369045038d6d2a45 |
SHA-256 |
Pterodo, communicates with krashand[.]ru domain(s) |
| 2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 |
SHA-256 |
Pterodo, communicates with gorigan[.]ru domain(s) |
| 425ee82f20eb87e07a0d4f77adb72bf3377051365be203ee6ded37b399094f20 |
SHA-256 |
Pterodo, communicates with krashand[.]ru domain(s) |
| fe068e324cd4175f857dfee4c23512ed01f3abbf8b6138b715caa1ba5e9486c0 |
SHA-256 |
Pterodo, communicates with krashand[.]ru domain(s) |
| 798cd714cf9e352c1e9de3d48971a366b09eeffb3513950fd64737d882c25a38 |
SHA-256 |
Pterodo, communicates with krashand[.]ru domain(s) |
| ef9b39705decbb85269518705053e7f4087758eea6bab4ba9135bf1ae922b2ea |
SHA-256 |
Pterodo, communicates with krashand[.]ru domain(s) |
| a87e9d5e03db793a0c7b8e8e197d14745265422f05e6e50867cdfbd150d0c016 |
SHA-256 |
Pterodo, communicates with krashand[.]ru domain(s) |
| 2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 |
SHA-256 |
Pterodo, communicates with gorigan[.]ru domain(s) |
| c68eb2fa929373cac727764d2cc5ca94f19a0ec7fd8c0876b98f946e72d9fa03 |
SHA-256 |
Pterodo, communicates with gorigan[.]ru domain(s) |
| 3b6445cf6f8e9e70cb0fff35d723fec8203375d67cbd67c9a672cddc02a7ff99 |
SHA-256 |
Pterodo |
| c6e092316f61d2fc9c84299dd224a6e419e74c98c51a44023f8f72530ac28fdc |
SHA-256 |
Pterodo, communicates with teroba[.]ru domain(s) |
| cb0d151d930b17f6376c18aa15fd976eac53d6f07d065fc27c40b466e3bc49aa |
SHA-256 |
Pterodo, communicates with teroba[.]ru domain(s) |
| %windir%¥System32¥schtasks.exe” /CREATE /sc minute /mo 12 /tn “deepness” /tr “wscript.exe “%PUBLIC%¥Pictures¥deepness.fly” //e:VBScript //b” /F |
SHA-256 |
Pterodo |
| a87e9d5e03db793a0c7b8e8e197d14745265422f05e6e50867cdfbd150d0c016 |
Command line |
DessertDown artifact (note generated word used – deepness, this will vary) |
| wscript.exe C:¥Users¥[username]¥continue.wav //e:VBScript //b |
Command line |
DinoTrain artifact (note generated words used – [username] and continue, these will vary) |
| alacritas[.]ru |
Domain name |
PowerPunch |
| libellus[.]ru |
Domain name |
PowerPunch |
| brontaga[.]ru |
Domain name |
DessertDown |
| gortomalo[.]ru |
Domain name |
DessertDown and possibly other ACTINIUM capabilities |
| corolain[.]ru |
Domain name |
Used for PowerShell cmdlets |
| goloser[.]ru |
Domain name |
Used for PowerShell cmdlets |
| delicacy[.]delicate[.]maizuko[.]ru |
Domain name |
DinoTrain |
| 0f9d723c3023a6af3e5522f63f649c7d6a8cb2727ec092e0b38ee76cd1bbf1c4 |
SHA-256 |
DessertDown, communicates with brontaga[.]ru domain(s) |
| bf90d5db47e6ba3a1840976b6bb88a8d0dfe97dfe02c9ca31b7be4018816d232 |
SHA-256 |
DessertDown, communicates with gloritapa[.]ru and gortomalo[.]ru domains |
| b9b41fbbd646f11d148cface520a5d4e0ec502ba85c67b00668e239082a302e3 |
SHA-256 |
DinoTrain, communicates with delicacy[.]delicate[.]maizuko[.]ru |
| c05f4c5a6bb940e94782e07cf276fc103a6acca365ba28e7b4db09b5bbc01e58 |
SHA-256 |
DilongTrash, communicates with privigna[.]ru |
| 3cbe7d544ef4c8ff8e5c1e101dbdf5316d0cfbe32658d8b9209f922309162bcf |
SHA-256 |
ObfuBerry |
| 3bab73a7ba6b84d9c070bb7f71daab5b40fcb6ee0387b67be51e978a47c25439 |
SHA-256 |
ObfuMerry |
