[レポート]The Lazarus Group’s Attack Operations Targeting Japan – CODE BLUE 2021 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

The Lazarus Group's Attack Operations Targeting Japan

これまでLazarusグループの活動は、日本国内ではフォーカスされることは少なかった。しかし、最近のわれわれのインシデントレスポンス対応において、国内の組織がLazarusグループのターゲットになることが多くなってきた。このプレゼンテーションでは、日本の組織がLazarusグループの標的となった事例について詳細に解説する。 本プレゼンテーションでははじめに、Lazarusグループの攻撃キャンペーンを整理し、われわれの解説する攻撃オペレーションと、他の公開情報を紐づける。そして、2020年に確認したLazarusグループの攻撃キャンペーンの中から、日本で確認された2つにフォーカスして、マルウェアの特徴や攻撃に使用するツールなど最新のTTPについて紹介する。 1つ目に解説するOperation Dream Jobは、防衛産業をターゲットにした攻撃キャンペーンで、世界各地で攻撃が確認されている。この攻撃キャンペーンで使用されたマルウェアは多数確認されており、それらの詳細を解説する。さらに攻撃者がネットワーク内で使用したツールやテクニックについても紹介し、ATT&CKでTTPを整理する。2つ目に解説するOperation JTrackは、日本の組織をターゲットにした攻撃キャンペーンで、複数の組織がターゲットとなった。この攻撃キャンペーン内でも、複数のマルウェアおよびツールが使用されており、その詳細を解説する。最後に、紹介した2つの攻撃キャンペーンのTTPを比較し、対策に活用できる情報を示す。このプレゼンテーションを通して、Lazarusグループの最新のTTPを理解し、今後の対策に活用することができる。

Presented by : 朝長 秀誠 - Shusei Tomonaga 喜野 孝太: - Kota Kino 佐々木 勇人 - Hayato Sasaki

レポート

• 2020年の日本向けキャンペーンについて
• モチベーション
  • Lazarusグループによる攻撃オペレーションは多数の国で確認されている
  • 公表されていない活動やTTPが複数存在する
  • 各アナリストが確認して公表していく
• Lazarusとは
  • すべての道はLazarusに通ず
    • 非常に沢山の事例がある
    • これらすべてをLazarusとしていいか
    • 適切な分類が必要
  • 単一の攻撃グループではなくなった
    • シマンテックのレポートがある
    • 各ベンダーのレポートを並べてもピースが埋まらない
    • レポート間の重複が多いので全体を把握することが難しい
  • Lazarusと他の攻撃グループには重複点がある
  • 攻撃インフラやTTPの重複があることが当然
  • フォーカスするキャンペーン
    • 防衛セクター
    • 同じインフラが利用されている
• Operation Dream Job
  • 2020年5月と9月に観測
  • 国内に限らず防衛関係企業が継続的にターゲットになっている
  • Linkedinのアカウントを悪用してコンタクト
  • ターゲット国
    • 日本以外にアメリカ韓国オーストラリアなども
  • タイムライン
    • HRアカウントからのコンタクト
    • 別のコミュニケーションツールに変更
    • ドキュメントファイルをダウンロードするためのbitly URLシェア
    • maldocをダウンロード
    • 開封でマルウェア感染
  • 攻撃に利用されたLinkedinアカウント
    • 防衛関係のもの
  • MalDoc
    • マクロありWord
    • マクロ実行でマルウェア展開
  • デコイファイル
    • 多くの種類があった
  • MalDoc
    • x86/64両方対応
    • 復号用のキーを持っている
  • 2つのマルウェア
    • LazarusMTB
    • Torisma
      • 外部の設定ファイルで管理
      • XORデコードキーがないと実行できない
      • 先頭12byteがシグネチャでこれが一致しないと読み込めない
      • HTTP POSTで通信
      • C2から特徴的なレスポンスが返ってくる
      • 2回目のやり取りでBase64 + VEST32で暗号化
    • VEST暗号化
      • マイナーな暗号化手法
      • あえてこれを使っているところは興味深い
    • モジュール
      • ヘッダにサイズ情報など
      • 3つほどモジュールが観測されている
        • 感染ホスト情報
        • ファイル作成
        • など
    • C2サーバー
      • オープンディレクトリ
  • 侵入後に利用するマルウェア
    • LCPDot
      • モジュールのダウンロードと実行
      • 通信はPOST
      • Cookieにエンコードしたデータ
      • 2回目のリクエストの後にモジュールがダウンロードされる
    • BLINDINGCAN_RC4
      • ローダーとエンコードされたマルウェア、設定情報で動作
      • C/ProgramData配下に設置
      • 観戦環境を理解しないと解析が難しい
      • カスタムRC4
        • キーストリームの値が0xC00に変わっている
      • ファイル削除のコマンドなどもある
    • BLINDINGCAN_AES
      • VMProtectで難読化
      • 150MBなどのファイルサイズになっている
      • 内部の文字列ほぼ全てがAESで暗号化
      • 32バイトのキーはワイド文字なので16バイトのみ使用
      • 4桁の認証キーがレスポンスにある場合に次の動作をする
      • モジュールではUPXでパッキングされている
      • RC4の方とだいたい同じ機能を持っている
    • 他にもAdFindやSMBMapなどのツールが利用されている
    • SMBMapを使ってリモートホストでマルウェア実行も
    • オリジナルのSMBスキャナもある
• Operation JTrack
  • 2020年に観測
  • 日本限定
  • 日本のMSP経由
  • 日本の組織のみ被害が確認できている
    • WindowsとLinux向けがある
    • Windowsから
    • VSingle
      • リモートから任意のコマンドとプラグイン
      • HTTPリクエストでやりとり
      • レスポンスのSet-Cookieに暗号化されている
      • 機能は少ない
      • プラグインは4つ確認
      • スクリプトやシェルコードの実行
      • %TEMP%に保存されるので痕跡が残る
    • ValeforBeta
      • VSingleよりもシンプル
      • Delphiで作成
      • 攻撃者自身が名前をつけている
      • HTTPで通信
      • CookieヘッダにBase64して乗せる
      • BMPに偽装する
    • Linux向け
    • ELF_VSingle
      • VSingleのELFバージョン
      • プラグイン実行はない
    • Kaos
      • 攻撃者が命名
      • Golangで実装
      • シンプル
      • RC4で暗号化
      • 更にBase64
      • 7,000bytesを超えたらPNGデータに偽装される
      • 送信データの一部にドイツ語のメッセージがある
      • 原因は不明
    • 他のツール
      • smbexec
      • 3Proxy
      • Plink
      • Stunnel
      • など
      • Stunnel + 3Proxy + SSH
        • サーバーに接続するため
        • マルウェア感染ホスト上で確認されている
        • 通信をHTTPに変更して通す
      • オリジナルシンプルcurl
      • ログファイルも端末上に保存された
    • Windowsのコマンド
      • ipconfig
      • PowerShellも利用された
      • Microsoftのページのコマンドまま
      • 攻撃者は勉強して使っていると思われる
  • VSingleとDtrackの比較
    • パッカーを比較すると同一のものを使用していることがわかる
    • JTrackとDtrackとStoneflyでは類似点が見受けられる
    • 同じC2サーバーを利用する別のグループもあるので断定はできない
    • Dtrackのグループの派生ではないかと考えている
• Lazarus TTPの解説
  • Dream JobとJTrackはツールの共通点は少ない
  • ATT&CKでのマッピング
    • Dream JobではReconでLinkedinを調査が特徴的
  • ATT&CKでのマッピングの比較
    • 頻度が高いTTP
    • 侵害したサーバーをC2として使用
    • 独自のマルウェアを使う
      • 3つも4つも準備している
      • 攻撃のフェーズで使い分ける
    • 他の攻撃グループと同じような特徴も
      • クレデンシャル取得
      • SMBから横展開
      • WinRARで持ち出し
  • TTPへの対策
    • D3FENDにあてたもの
    • ネットワークベースではなくホストベースの対策が必要
  • 攻撃ケース - SNS -
    • 攻撃者がプライベートで使用するSNSからマルウェア感染させる
    • 仕事で使用する端末でSNSを使うことで感染
    • VPN経由でネットワークに侵入
  • 攻撃ケース - 合併 -
    • 感染しているネットワークと統合するときに横展開される
    • 海外の事業者と統合する時に多い
  • C2サーバーの特徴
    • 正規のWebサーバーをC2サーバーとする
    • これを楽にするためにビジネスに使用されているクラウドチャットサービスに侵入する
    • 外部の業者に委託している場合、チャットサービスから認証情報を取得
    • 多数のサイトの侵害につながる
    • PHPバックドア
      • C2として利用されたサーバーは利用され続ける
• 詳細は後ほどGithubに上がる予定

感想

いろんな攻撃経路がありますね。委託先をどのように管理するかもよく考えなければいけないですね。

仕事端末でのSNSは控えようね(白目