[レポート]Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon」というセッションのレポートです。
2021.10.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

Operation Software Concepts: A Beautiful Envelope for Wrapping Weapon

2021年4月、われわれは新たな標的型攻撃キャンペーンを観測し、Operation Software Conceptsと名付けた。この攻撃キャンペーンはロシアやモンゴルなどを標的としており、未知のマルウェアを使って攻撃を行っていた。調査の結果、一部のマルウェアは過去にRoyal Road RTF Weaponizer関連の攻撃で使用されていたり、MofangのShimRATと関連したりしていたことがわかった。本講演では、Operation Software Conceptsの攻撃事例について、その全貌と使用されたマルウェアの詳細な解析結果、過去のさまざまな関連事象の詳細、さらに帰属について紹介する。

Presented by : 小池 倫太郎 - Rintaro Koike 林 匠悟 - Shogo Hayashi 田邉 龍一 - Ryuichi Tanabe

レポート

  • NTTセキュリティジャパンのセキュリティアナリスト
  • SOCで分析とレポートをしている
  • 日本を中心とした攻撃のリサーチ活動もしている
  • 今回はリサーチ活動で見つけた未知のマルウェアについて
  • モチベーションとゴール
    • Operation Software Conceptsについて
    • キャンペーンの全容
    • 詳細な解析結果の共有
      • SSVファミリーとWerNisRATに焦点を当てる
    • 関連する攻撃グループや帰属に関する考察
      • 2019年から行われた攻撃について振り返る
      • 残念ながらはっきりとはしなかったがこれについて議論したい
  • 攻撃の流れ
    • とあるマルウェアを起点に攻撃が行われた
    • SCRという拡張子が付けられたEXE
    • SSV Dropperとよんでいる
    • EXEとDLLで取得
    • EXEはシマンテックの正規のもので、DLLを差し替えて実行させた
    • DLLをSSV Downloaderとよんでいる
    • ダウンロードしたEXEをSSV RATと呼んでいる
    • SSV RATはC2と通信してコマンドを受け付けた
    • 更に高度なRATをダウンロードして実行した
    • このRATがWerNis RATと呼ぶ
    • 更にC2からMimikatzをダウンロードしてドメインコントローラーに対してZerologonを試みて、攻撃が成功しなかったためオペレーションが失敗した
  • 検知回避のテクニック
    • 起点は有効な電子署名
    • DLL Sideloading
      • シマンテックとマイクロソフトのEXEから実行
      • 見逃しやすい
    • WerNis RATはdllhost.exeとなる
    • Mimikatzはエンコードされて検知回避
  • オペレーションタイムライン
    • 実行されて10分ぐらいで調査
    • 攻撃時間であった
    • 比較的操作が早くなれていると思われる
    • 18時過ぎにオペレーション停止
    • 攻撃が不可能と考えたか、活動終了時刻だったか
  • マルウェア解析
    • Windows OSでのみ観測
    • SSV Dropper
      • 有効な電子署名が付与されていた
      • Apachaフォルダを作成しexeとdll作成
    • SSV Downloader
      • ssvagent.exeは電子署名付きだがdllを読み込める
      • 5bytes XORでのデコードして実行
      • 色んな所で5bytes XORしているので特徴的
    • SSV RAT
      • シンプルなRAT
      • トラフィックはRC4
      • 暗号鍵はハードコード
    • WerNis RAT
      • 3つのファイルで構成
      • EXE
        • 正規のブログラム
        • DLL Side Loadingが可能
      • DLL
      • エンコードされたデータ
        • DLLから読み込まれて5bytes XORでデコード
      • 情報を窃取する機能がある
        • スクリーンショットやキーログなど
      • HTTPS通信
      • 検知の難易度が高い
    • 攻撃者が利用したMimikatzは2つのファイルで構成されていた
  • 帰属
    • 関連攻撃のタイムライン
      • 2019年3月にモンゴルで利用されたSSVファミリーを観測
      • 少なくとも2019年3月時点でほぼ同様の実装であった
    • SSVファミリーを使用した事例
      • 2019年3月Royal Road RTFを利用している
      • AbleRepair.exeという名前を利用していることからも中国が関連している可能性がある
    • WerNis RATを使用した事例
      • 2021年3月ロシアの軍事系企業からいくつかのマルウェアがVirusTotalへ投稿された
      • 巨大なパディングデータが付いていた
      • アンチウイルスからの検知を逃れるテクニック
      • Lockdown Loader
        • 主にロシアに対する攻撃で観測されている
        • 巨大なパディングデータがついていることが多々ある
    • その他の重複
      • TopDNSをネームサーバーとして利用
      • APT31が思い浮かぶ
        • HanaLoader/RATが似ている
        • 標的組織やMimikatzの利用なども
      • Vicious Panda
        • 被害組織が同一
          • Royal Road RTF
          • SSV Dropper
    • 中国、特にTontoの可能性が高いと推測している
  • まとめ
    • Operation Software Concepts
    • 主にロシアとモンゴルの政府・軍事関連組織を標的としている
    • 複数のステージから成る
    • SSVファミリーは少なくとも2019年3月には使用されていた
    • TontoやAPT31,Mofangなどの攻撃グループとの関連が疑われる

感想

Operation Software Conceptsについて非常に具体的に理解できました。