Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス

日本の製造業を狙う
Tickグループ

日本の製造業を狙うTickグループ

中国語圏を拠点とすると考えられている攻撃者グループTickは、活動歴史が長く2008年頃から活動しているとされています。弊社でもTickが国内で活動を継続しているのを観測しています。2020年1月には、国内でTickグループが関与している可能性があるとされるインシデント事案が報道されました。このように同グループによる攻撃が活発な状況から、改めて保有する情報を整理し公開する事でインシデント調査、対応の一助になれればと考え、本記事を記載します。

Tickとは?

Tickグループは、主に日本と韓国で活動が観測されており、これまで海洋工学、通信、電力、製造業等多くの業界をターゲットとした活動を行なっています。これまでの活動から、目的は、知的財産の窃取であると考えられています。Tickが初めて公で言及されたのは2016年で、同じ年にTickのツールの1つであるマルウェア”Daserf”についての解析レポートも公開されています。 2017年には、国内の資産管理ソフトウェアの脆弱性が悪用され、多くの組織で”XXMM”と呼ばれるマルウェアに感染する事案が発生しました。

2018年から2019年にかけても、複数のテクノロジー分野の業種をターゲットにしています。特に化学業界に対して活発な活動を行いました(図1)。

図1. 2018年、2019年に攻撃を観測した業種

2018年から観測されているTTPの変化

2018年から見られるTTPの変化の一つは、攻撃メールの配送先を国内から海外拠点へ変えている事です。配送先国の文化圏で興味を引きやすく実行される可能性が高いファイルが攻撃で使われるようになりました(図2)。これは、セキュリティが強化されている日本国内よりも海外拠点の方が内部侵入の可能性が高いと攻撃者が判断し、ターゲットを海外拠点へシフトしていると思われます。

図2. 配送されたファイル

弊社で観測しているTickの活動タイムラインは以下の通りです(図3)。

図3. Tickの活動タイムライン

もう一つの変化は、従来のバックドア(Daserf, XXMM, Datepr)の観測が少なくなり、新たなツール(RAT Loader, ABK Downloader等)が非常に多く使われ始めました。これらのツールは、検出回避のために精力的に改良が続けられています。

攻撃フロー

攻撃の起点は、主にスピアフィッシングメールで、CVE-2017-8759、CVE-2018-0798、CVE-2018-0802等の既知の脆弱性やアイコンをカモフラージュし、受信者に実行させるソーシャルエンジニアリングを悪用しています。

次のマルウェアをダウンロードするダウンローダは、当初は感染端末のCPUや稼働しているアンチウイルス製品の情報を外部サーバーへ送信し、新たなマルウェアを送り込む対象をフィルタしていました。従来から使われているバックドア型のDatperが送り込まれ、内部ネットワークの偵察の後に、2次、3 次RATを別端末に感染させ範囲を拡大させていきました。

2019年のダウンローダには、簡素な遠隔操作機能が追加されてきました。これは、感染端末からより多くの情報を入手し本当の標的にのみ次のマルウェアを配送することで、セキュリティ製品による検出回避やセキュリティベンダーによる検体の入手を阻害する事が目的ではないかと考えています。

図4. 攻撃フロー

継続的に改良されるダウンローダ

2019年11月に、オープンマルウェアリポジトリにTickのダウンローダ (SHA256: 80ffaea12a5ffb502d6ce110e251024e7ac517025bf95daa49e6ea6ddd0c7d5b)がアップロードされたのを観測しました。この検体にも、Tickが使う検体に残されている特徴的なpdbファイルのパスが残されていました。

C:\Users\jack\Desktop\test\ec_new\down_new\Release\down_new.pdb

アップロードされた日時は、2019年11月ですが、検体のコンパイル日時と通信先のパッシブDNS情報から、弊社はこの検体は2019年7月以前に使われたと考えています。

この検体は、ユーザが感染機器にログオンする際に自動実行されるように下記レジストリを追加して、自身をレジストリに登録するパスへコピーします。

reg add HKEY_CURRENT_USER\Environment /v UserInitMprLogonScript /t REG_SZ /d "C:\Users\<ユーザ名>\AppData\Local\Microsoft\Internet Explorer\wuauct.exe" /f

Tickの多くのダウンローダに実装されているアンチウイルス製品を停止する処理が、この検体にも実装されています。

図5. アンチウイルス製品を停止する処理

感染端末のMACアドレスとCドライブのシリアル番号をAESとbase64で暗号化して外部サーバへHTTP POSTでアップロードし、期待するフォーマットのレスポンスが返された場合に、新たなファイルをダウンロードします。通信先は、国内の正規サイトで攻撃者により改ざんされて悪用されていました。
AES鍵は、'!@#$%^$$#$%^%$#@'と'sdjfiejkflmvjfkd'の2つの文字列と乱数を使い、生成します。この検体は、外部サーバからファイルのダウンロードを試みて成否に関わらず終了します。

2019年9月の化学系企業の中国拠点に対する攻撃では、ダウンローダ“down_new”に改良が加えられたマルウェア
(SHA256: ec052815b350fc5b5a3873add2b1e14e2c153cd78a4f3cc16d52075db3f47f49)が使われました。
弊社では、このマルウェアに残されていたpdbのパスから”version RAT”と呼んでいます。

C:\Users\jack\Desktop\test\version\Release\version.pdb

このマルウェアは、DLLファイルでWindowsにインストールされているversion.dllと同じファイル名で、version.dllをロードする正規ファイルと同じ場所に設置し、正規のversion.dllではなくこのマルウェアをロードさせるようにしていました。(DLL Search Order Hijacking)
又、感染端末のOSを判別するのに特徴的な方法を使っています。
正規のversion.dllをロードし、特定のAPIがロードできるかを確認していきます。GetFileVersionInfoExA関数は、Windows10のversion.dllでエクスポートされており、それ以外のOSでは、ロードする事ができません。これによりWindows10以外のOSでは、動かない対策がされています。

図6. version.dll のエクスポート関数を
チェックする処理

大きな特徴は、この検体にはファイルダウンロード以外にリモートシェル、プロセス一覧表示等の簡素な遠隔操作機能が実装されている事です。

AESとbase64による通信の暗号化やアンチウイルス製品を停止する処理のコードが同じである事から、version RATは、down_newを改良したものと考えています。

これは、次のペイロードを送りこむ対象について情報を収集するためと考えています。

down_new version RAT
ファイルタイプ EXE DLL
アンチウイルス製品停止機能 あり あり
永続化方法 ログオンスクリプト Dll Search Order Hijacking
(正規ファイルによりロード)
動作環境 Windows 32bit/64bit Windows 10
常駐 なし あり
通信の暗号化 AES+base64 AES+base64
主機能 新たなファイルをダウンロード 遠隔操作(簡易)

表1 機能比較

また、この攻撃でも国内の正規サイトが改ざんされC&Cサーバとして悪用されていました。

TTPより考察する脅威の検出と緩和策

マルウェアの配送について

Tickのスピアフィッシングメールは、侵害した正規のメールアカウントを悪用、パスワード付き圧縮ファイル、海外拠点の文化を考慮したデコイファイルの作成等、セキュリティ製品による検知、人による気づきが非常に困難になっています。緩和策としては、海外拠点向けには、日本とは異なる現地文化を考慮したメール訓練や注意喚起が必要であると思われます。又、マルウェアの配送よりも後フェーズの攻撃、侵入拡大フェーズで使われるTickのテクニックが検知できるかの確認も有効と考えられます。弊社が観測しているTickが使うテクニックをMITRE ATT&CKフレームワークにマッピング(表2)しました。セキュリティベンダーが公開しているTickのテクニックと合わせてご確認頂ければと思います。

導入しているセキュリティ製品やセキュリティチームが想定通りに対応できるかを評価するためのソリューションとしてBAS(Breach and Attack Simulation)があります。それを使い平時に評価することも有効と思われます。

攻撃について

Officeのゼロデイ攻撃や新しい脆弱性を悪用した攻撃は観測されていませんが、攻撃者の侵入し易さをコントロールするという点で、日常的なパッチマネージメントは有効な緩和策になると思われます。特にインターネットからアクセス可能な機器の脆弱性は優先して対応する必要があります。

インストールされるRAT、
遠隔操作(C&Cについて)

最近観測されている攻撃では、従来観測されているXXMM, Datperが使われるケースが少なく、様々なダウンローダと公開ツールを悪用する事が多く、検出が困難になっています。C&CサーバからRAT機能のコードをダウンロードし、メモリ上でのみ悪性コードが動くタイプのローダーには、メモリスキャンによる検出が可能です。日本、韓国の正規サイトを改ざんしC&Cとして悪用するため、シグネチャベースのネットワークセンサーでは検出が困難になっています。但し、攻撃者の変更が難しい(もしくは注意が行き届いていない)と思われるケースもあり、固定のユーザエージェントを使う検体も存在します。その場合は、その特徴を踏まえたルールで検出が可能です。

ネットワーク検出観点でいうと、アノマリな通信を検出するNDR(Network Detection & Response)製品に効果が期待できます。

侵入拡大・目的実行

侵入後の攻撃者の内部活動の検出には、EDR製品が有効です。但し一般的なEDR群の製品が持つ脅威度の高い検知パターンとしては、MITER ATT&CK の攻撃の足場をつくる(Initial Access/Execution/Persistence/Privilege Escalation/Defense Evasion)フェーズが多く、攻撃者が足場づくりのフェーズを経て、遠隔操作で正規コマンドを使って内部での移動をし始めると、製品が持つ検知パターンでは攻撃の発見が難しくなる傾向があると思われます。特に標的型攻撃がEDR製品の導入前に始まっていたケースでは、足場をつくるフェーズが完了しているため、製品が持つ検知パターンでの検出漏れが懸念されます。EDR群の製品を導入した場合には、定期的に収集したログに含まれる正規コマンドの実行状況やそのコマンドがIT技術者以外の所有する端末によって頻繁に実行されていないかどうかといった視点で分析して、攻撃の検出漏れがないように注意して頂ければと思います。

Tactic Technique ID 備考
Initial Access Exploit Public-Facing Application T1190 国内資産管理ソフトの脆弱性を悪用
Spearphishing Attachment T1193 なりすまし、侵害したメールアカウントから配送
Supply Chain Compromise T1195 海外拠点へ攻撃メールを配送
Execution Exploitation for Client Execution T1203 Office製品脆弱性を悪用
User Execution T1204 アイコン偽装し、受信者に実行させる
Command-Line Interface T1059 ファイル削除のためにbatを起動
Service Execution T1035 サービスとして起動
Rundll32 T1085 DLLの単独実行に使用
Persistence New Service T1050 サービス登録
DLL Search Order Hijacking T1038 正規ファイルが使うDLLと同じ名前にし、同一フォルダに設置
Logon Scripts T1037 ログオン時に自動実行されるようにレジストリを追加
Registry Run Keys / Startup Folder T1060 感染機器再起動後に自動実行されるようにレジストリ追加/スタートアップディレクトリにコピー
Defense Evasion Binary Padding T1009 ドロップするファイルの肥大化
Deobfuscate/Decode Files or Information T1140 検体内部の文字列を難読化して検出回避を試みる
Code Signing T1116 窃取した署名を付与
Disabling Security Tools T1089 アンチウイルス製品を停止
Software Packing T1045 商用パッカーなどを利用
Process Hollowing T1093 svchost.exeを起動、インジェクション
File Deletion T1107 使い終わったファイルを削除
Hidden Files and Directories T1158 ドロップするファイルに隠し属性設定
DLL Side-Loading T1073 DLL(マルウェア)をロードする正規EXEを合わせて設置
Credential Access Credential Dumping T1003 Mimikatzを使用
Discovery System Information Discovery T1082 dirコマンドでファイル探索
Account Discovery T1087 net user コマンドでユーザを探索
Network Share Discovery T1135 net share, net view コマンドで探索
System Network Connection Discovery T1049 netstat コマンドでリモートデスクトップ等を探索
Process Discovery T1057 tasklist コマンドで探索
Lateral Movement Windows Admin Shares T1077 感染拡大にPsExecを使用
Remote File Copy T1105 Datper等のRATを使い、感染機器へファイルアップロード/ダウンロードを行う
Collection Data from Local System T1005 cmdを使い感染機器の情報を収集
Command And Control Commonly Used Port T1043 80, 443を使用
Custom Cryptographic Protocol T1024 AES, RC4, XOR等を使い暗号化
Data Encoding T1132 base64を使い通信をエンコード
Data Obfuscation T1001 マルウェアが埋め込まれた画像ファイルをダウンロード
Standard Application Layer Protocol T1071 HTTP, HTTPSでC&Cサーバと通信
Standard Cryptographic Protocol T1032 RC4, AESでHTTP送信データを暗号化
Web Service T1102 正規サイトを改ざんし、C&Cサーバとして使用
Exfiltration Exfiltration Over Command and Control Channel T1041 RATを使い、C&Cサーバへファイルをアップロード
Data Compressed T1002 zip, makecabコマンドでファイルを圧縮

表2 MITRE ATT&CK Technique

赤字のテクニックは、弊社で多く観測し確認を重視した方が良いと考えているものです。

以下Tickに関連するインディケータは、大半が過去弊社レポートに含まれているものですが、インシデント調査、対応にてご活用頂ければと考え改めて記載します。

インディケータ タイプ 備考
a04d2668b1853051dd5db78721b7deae7490dbd60cef96d55cc91ff8c5d4730d SHA256 XXMM
d91894e366bb1a8362f62c243b8d6e4055a465a7f59327089fa041fe8e65ce30 SHA256 Datper
706a6833b4204a89455f14387dbfc4903d18134c4e37c184644df48009bc5419 SHA256 Datper
fdd4a4b3d56217579f4cd11df65cf4bd4c60cac428aa649d93227604fbb8b49e SHA256 Exploit ppsx
569ceec6ff588ef343d6cb667acf0379b8bc2d510eda11416a9d3589ff184189 SHA256 Datper
e38d3a7a86a72517b6ebea89cfd312db0f433385a33d87f2ec8bf83a62396bb3 SHA256 Datper
6530f94ac6d5b7b1da6b881aeb5df078fcc3ebffd3e2ba37585a37b881cde7d3 SHA256 Datper
569ceec6ff588ef343d6cb667acf0379b8bc2d510eda11416a9d3589ff184189 SHA256 Datper
0542ecabb7654c6fd6fc4e12fe7f5ff266df153746492462f7832728d92a5890 SHA256 RAT Loader
d705734d64b5e8d61687db797d7ad3211e99e4160c30ba209931188f15ced451 SHA256 RAT Loader
3f5a5819d3fe0860e688a08c1ad1af7208fe73fd9b577a7f16bcebf2426fbdaf SHA256 RAT Loader
911fbd95e39db95dbfa36ff05d7f55fc84686bbe05373fc2f351eb76a15d9d74 SHA256 Downloader
337d610ebcc9c0834124f3215e0fe3da6d7efe5b14fa4d829d5fc698deca227d SHA256 Downloader
706a6833b4204a89455f14387dbfc4903d18134c4e37c184644df48009bc5419 SHA256 Downloader
58b06982c19f595e51f0dc5531f6d60e6b55f775fa0e1b12ffd89d71ce896688 SHA256 Downloader
1fdd9bd494776e72837b76da13021ad4c1b3a47c8a49ca06b41dab0982a47c7e SHA256 Dropped Word Plugin DLL
fb0d86dd4ed621b67dced1665b5db576247a10d43b40752c1236be783ac11049 SHA256 Downloader
d1307937bd2397d92bb200b29eeaace562b10474ff19f0013335e37a80265be6 SHA256 Downloader
32dbfc069a6871b2f6cc54484c86b21e2f13956e3666d08077afa97d410185d2 SHA256 Downloader
80ffaea12a5ffb502d6ce110e251024e7ac517025bf95daa49e6ea6ddd0c7d5b SHA256 down_new
ec052815b350fc5b5a3873add2b1e14e2c153cd78a4f3cc16d52075db3f47f49 SHA256 version RAT
http://www[.]cheapraybanoutletonline[.]com/fooler.php C2 XXMM
http://www[.]<redacted>[.]co[.]jp/halftime/other/goods.php C2 Datper
www[.]aromatictree[.]co[.]kr C2 Datper
http://211.233.81[.]242/hp.php C2 Datper
robot[.]softsrobot[.]com:443 C2 RAT Loader
www[.]runinngboys[.]com:443 C2 RAT Loader
dns[.]safedexperiences[.]com C2 RAT Loader
google[.]safedexperiences[.]com C2 RAT Loader
web[.]birthhappiness[.]com C2 RAT Loader
www[.]birthhappiness[.]com C2 RAT Loader
www[.]efficitivesubject[.]com C2 RAT Loader
www[.]korlearn[.]com C2 RAT Loader
www[.]miniiants[.]com C2 RAT Loader
www[.]safedexperiences[.]com C2 RAT Loader
dndns8866[.]com C2 RAT Loader
efficitivesubjectapp[.]com C2 RAT Loader
korlearn2030[.]com C2 RAT Loader
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1) User-Agent XXMM
Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko User-Agent Datper
d4fy3ykdk2ddssr Mutex Datper

表3 痕跡情報(IOC)

他攻撃者グループBlackTechやEmdivi のTTPは下記レポートに記載してありますので、ご参照下さい。

各種レポートのダウンロードはこちら

標的型攻撃の実態と対策アプローチ 第3版 24.8MB/25P PDF 標的型攻撃の実態と対策アプローチ 第2版 36.2MB/35P PDF 標的型攻撃の実態と対策アプローチ 第1版 10.1MB/38P PDF 日本を狙うサイバーエスピオナージ(標的型攻撃)の動向 2018年上半期 2.41MB/31P PDF