※本記事は2016年3月25日に米国で掲載されたブログ記事の抄訳を基にしています。

 Unit 42の最新ニュースやサイバー脅威インテリジェンス、調査をいち早くご覧になりませんか?  
 今すぐご購読(英語サイト)ください。 

 Unit 42は現在、インド政府と軍の関係者を標的にした攻撃活動の調査を進めています。それによるとこの攻撃は、サウジアラビアとカザフスタンのインド大使館、そしてインド軍を標的にした一連の活動、Operation Transparent TribeおよびOperation C-Majorと共通性があるようです。

 私たちは、この活動に関与した攻撃者グループを「ProjectM」と名付けて追跡しています。調査の過程で、ProjectMが使ったインフラとパキスタン出身の個人との間につながりがあることを突き止めました。この個人がこの攻撃活動に関与しているかどうか明確には確認できていませんが、このブログで紹介する証拠から、脅威グループに何らかの形で関与している可能性が濃厚であることが窺えます。

 このブログでは、身元隠蔽への注意を怠った場合に個人がインターネットにどのような証拠を残していくかを紹介します。この攻撃者に関して収集した情報はすべて公のものであり、オープン ソースの調査でアクセス可能です。

Transparent Tribeの概要

 ProjectMの攻撃者は、スピア フィッシング メールと水飲み場型攻撃用サイトの両方を利用して、インド政府と軍を標的にした多種多様なツールを配信しています。ペイロードを配信するための水飲み場として使われたのは、インド軍に関係するテーマを取り上げた「India News Tribe」というタイトルのブログ(intribune.blogspot.com)です。このグループはほかにも、CVE-2010-3333またはCVE-2012-0158を悪用した悪意のあるRTFファイルを添付したスピアフィッシング メールと、ペイロードをダウンロードしてインストールする悪意のあるマクロが含まれたExcelファイルも使っていました。

 攻撃者は相当な量のトロイの木馬のツールセットを持っており、これを攻撃活動に使っています。たとえば、「Crimson and Peppy」と呼ばれるカスタム開発ツール、市販のリモート管理ツール(RAT)、ダウンローダー(DarkCometやBozok)などです。この活動でもう1つ興味深いのは、サイバー犯罪攻撃でおなじみの手法とトロイの木馬を併用している点です。たとえば、ツールセットの他のツールをダウンロードさせて実行するため、トロイの木馬「Andromeda」を攻撃の最初のペイロードとして使用しています。Crimson and Peppyやその関連インフラをはじめ、このグループが用いるさまざまなツールについては、ProofpointのDarien HussがOperation Transparent Tribeに関するレポートで極めて優れた分析を行っています。

登録の不手際

 調査の際、ProjectMが使ったAndromeda、トロイの木馬コマンド「Crimson and Preppy」、そしてコントロール ドメインの分析を行いました。ProjectMに関連するインフラの大半は、WHOIS情報保護サービスを使って登録されています。このサービスでは、ドメイン名の登録に使われた実際の登録者情報(名前、電子メールなど)は公開されません。しかし攻撃者は、トロイの木馬「Andromeda」用C2サーバのホストに使用したインフラの2つのドメインで、WHOIS情報保護サービスを使い忘れていたことが判明しました。これはどう見ても不注意としか考えられません。

 この2つの偽装されていないドメインは“winupdater[.]info”と“ordering-checks[.]com”でした。これらは、図1に示すように電子メール アドレス“mshoaib.yaseen [at] gmail.com”を使用して登録されていました。Andromedaサンプルは、これらの偽装されていないドメインを使用してトロイの木馬Peppyを配布し、トロイの木馬Peppyは、以前に観察された“bbmdroid.com”というProjectMドメインをC2サーバとして使用しました。これらのドメインを登録するために使用された電子メール アドレスおよび情報は、実在しており、ある攻撃者に関連付けられていると思われます。この点が、登録の際に偽の情報および使い捨て電子メール アカウントを使用する標的型攻撃で用いられる大部分のインフラストラクチャと異なっています。2014年8月5日に、“ordering-checks[.]com”ドメインはWHOIS保護によって更新されたため、その時点でこの攻撃者は自分の誤りを発見したと思われます。

図1 Whois保護が使用されていない2つのコマンド アンド コントロール ドメインのWHOIS情報
 

ProjectMに関与している人物

 図1に表示されているGmailアドレスは、Facebook、LinkedIn、Google+、およびSkypeアカウントに直接リンクしています。すべてのアカウントには、裏付けとなる経歴内容が含まれており、それによって、パキスタンのカラチ出身の26歳の攻撃者とみられる人物が特定されるように思われます。現時点では、ProjectM、Operation Transparent Tribe、またはOperation C-Major活動へのこの人物の関与を絶対的に確定することはできません。しかし、私たちは、この人物のオンライン上の存在が、脅威グループに関連するエンティティとつながっていることを示す強力な証拠を発見しました。これを図2に示します。加えて、ソーシャル ネットワーキング アカウントに投稿された内容から、この攻撃者が反インド感情を持っており、それがそのような攻撃活動にこの攻撃者が参加する動機となっている可能性があります。

図2 この攻撃者とProjectMとのつながりの図
 

職業Webデザイナー

 私たちは、電子メール アドレス“mshoaib.yaseen [at] gmail.com”と関連付けられている人物が、一度は、そしておそらく現在もWebデザイン サービス、さらにGoogle AdSenseを使用した収益活動に従事していると確信しています。興味深いことに、その人物は、攻撃活動に使用された悪意のあるコンテンツをホストするためのWebデザイン作業中にサーバおよびドメインのセットアップを再利用したと思われます。

 “apnits[.]4t[.]com”でホストされているWebデザインおよびテクノロジ サービス会社は、その最高経営責任者およびそのサポート電話番号として“0345-2183117”を記載しています。この電話番号は、図1の登録情報のものと、国コード“+92”の部分を除いて同一です。このサイトには悪意のあるコンテンツは見つかりませんでしたが、それが2006年11月に最終更新されたことを示唆するコンテンツを見つけました。

 この人物によって作成された別のWebデザイン会社が“xtexhosts.com”で発見されています。その電話番号である“+92.3452183117”もWHOIS情報で見つかっており、それは“spid3rsoft [at] gmail.com”という電子メールを使用して登録されていました。xtexhosts.comで悪意のあるコンテンツがホストされている兆候はありませんが、その攻撃者がそれをXtex Studiosのために作成したと思われ、Xtex Studiosはその攻撃者が創業した別のWebデザイン会社であると思われます。

 私たちは、“easternkingsology[.]com”という3番目のドメインを見つけました。このドメインには、そのドメインが2015年12月に有効期限切れになるまで、“Xtex Studios”という名前と“mshoaib.yaseen [at] gmail.com”という登録電子メールの登録情報が含まれていました。“easternkingsology[.]com”ドメインは、hxxp://easternkingsology[.]com/det/dllbb.exe (SHA256: e4dfcf3db512260e1a4ff414907610d5d5279143fa9ade9219d8691be02e512f)にあるBozok RATサンプルをホストしており、それは、この悪意のある攻撃者がProjectM活動で使用するために、Xtex Studios関連のドメインでこのトロイの木馬をホストしたことを示唆します。図3は、接触するために“mshoaib.yaseen [at] gmail.com”および“karachian.gem [at] hotmail.com”を使用した、Xtex Studiosが提供するサービスの広告を示しています。

図 3 2つの電子メール アドレスを記載したXtex Studios Servicesの広告Webサイト
 

 PID3R[.]SOFTという別のWebデザイン企業の広告で、xtexhosts[.]comの登録電話番号と電子メール アドレスが見つかりました。図4の広告をホストしていたドメイン“sahirlodhi[.]com”もProjectMによりCrimsonツールのサンプルのダウンロード場所として使用されていました。当初、私たちはsahirlodhi[.]comがパキスタンのテレビ俳優Sahir Lodhiの公式サイトであるらしいことから、これは侵害を受けたサイトだと推測しました。2008年5月10日、ドメイン登録情報が更新され、“mshoaib.yaseen[at]gmail.com”という登録者の電子メールが含められました。このWebサイトの作成に悪意のある攻撃者が関わったことが示唆されています。このドメインの登録情報はしばらくそのままでしたが、2014年5月21日にWHOISプライバシー保護を含めるように更新されました。攻撃者は依然としてsahirlodhi[.]com Webサーバにアクセス可能であり、ProjectMのペイロードをホストするために使用したと思われます。攻撃者がドメインとサーバを再利用して本来の目的とは関連のないコンテンツやペイロードをホストしていたことが窺われます。

図 4 SPID3R.SOFT Webデザインの広告
 

 xtexhosts[.]comの他にも、ドメイン“thefriendsmedia[.]com”も電子メール“spid3rsoft[at]gmail.com”を使用して登録されていました。このドメインは、「アジア最大のエンターテインメントポータル」と称するマルチメディアWebサイトをホストしています。Unit 42によってこのドメインが複数のProjectMツールをホストしていることがわかりました。その中には、C2としてbbmdroid[.]comを使用して以前に観察されたものとそっくり同じAndromedaおよびPeppyサンプルも含まれていました(それぞれ“/est/estma.exe”および“/est/controller.exe”でホストされていました) 。

 “thefriendsmedia[.]com”サイトは、“thefriendsfm[.]com”(2010年10月に初めて電子メール“mshoaib.yaseen[at]gmail.com”を使用して登録されました)を参照しています。2014年3月24日、攻撃者は自分のFacebook (図5)とGoogle+アカウントのリンクを、“thefriendsfm[.]com”上にホストされた記事“MOD Assistant Director and Staff Grade NTS Results 2014”(現在もまだ“thefriendsmedia[.]com”ドメイン上にあります)と共有しました。このブログにはパキスタン防衛省(MOD)の求人応募のことが記載されていますが、当人が応募したのか、あるいはMODと何らかの関係があるのかについては明確な証拠はありません。

図 5 パキスタン防衛省の求人についての攻撃者のFacebookブログ
 

ソーシャル メディア アクティビティ

 Xtex Studiosの広告にあった電子メールアドレス“karachian.gem[at]hotmail.com”から、ProjectMに関わりがあるらしい個人が浮かび上がりました。Unit 42では図6にある当該人物のGoogle+プロファイルを見つけ、このプロファイルのいくつかのブログに以下のような、ProjectMに関連するペイロードをホストしているドメインやC2サーバが含まれていることに気付きました。

·    bbmdroid[.]com (Peppy、Bozok)

·    shobitech[.]com (Peppy、DarkComet、Andromeda)

·    mustache-styles[.]com (Andromeda)

·    messagerieneuf[.]com (Crimson)

·    sahirlodhi[.]com (Crimson)

図 6 ProjectMに関係しているらしき人物
 

 また、FacebookとGoogle+のブログには“excel file | Microsoft Excel Exploit | ShobiTechで実行ファイルをバインド” (図7)と書かれており、ProjectMで攻撃の際、ペイロードのダウンロードとインストールにマクロを含んだ悪意のあるExcelドキュメント配信を使用していたことを考えると、興味深いものがあります。

図 7 – 攻撃者が攻撃で用いた手法を語る
 

 “shobitech[.]com”ドメインも攻撃者のFacebookアカウントの1つに表示されていました。このFacebookアカウントには、特に写真セクションに攻撃者についての豊富な情報が記載されていました。攻撃者は2013年、Google AdSenseを使用してYouTubeで収益を上げる方法についてのトレーニングコース(図 8)の詳細をshobitech[.]comドメインを使用してホストしていました。

図8 トレーニングに関連して攻撃者が出していた広告
 

 また、写真から、攻撃者がudemy.comの運営するオンライン コース「Windows Exploit Development Megaprimer」の修了証書を得たことが分かりますし、Kali Linux上でMetasploitなどの様々な有害なセキュリティ ツールを使いながら攻撃者が撮ったスクリーンショットも分かります(図9)。Operation Transparent Tribeに関する報告では、Meterpreterサンプルがこの活動でペイロードとして使われていることを示唆していました。MeterpreterがMetasploit Frameworkの一部であり、Metasploit Frameworkを使用した経験がこの個人にあることが本人のFacebookアカウントにアップロードされた写真から分かりますので、これは注目に値することです。

図9 Metasploitを使っている個人のFacebookアカウントにアップロードされた写真
 

 さらに、この攻撃者が所有している別のFacebookは「shoaibyaseen[.]com」を指し示していますが、このドメインはこの個人の私的なブログを提供しているようです。ブログには2016年2月29日から2016年3月2日までで通算12個の記事があります。このブログに投稿された話題にはネットワーク ポート スキャンニング、データ収集技法、さらにはMetasploitおよびMeterpreterを使って実行するコマンドがあります。このコマンドは様々なタスクを遂行してシステムをエクスプロイトし、エクスプロイト後の行動をします。図9のMeterpreterの使用および図10の「shoaibyaseen[.]com」ブログにおける話題はこの個人の関与を直接示すものではありませんが、この個人にはProjectMで行われた攻撃的な活動に大いに役立つ腕前があることを強く示唆しています。

図10 Metasploitおよびエクスプロイト後の行動などを話題とする攻撃者のブログに投稿された最近の記事
 

 この攻撃者に関する興味深い観察結果をもうひとつ挙げると、いくつかのCrimsonツールのデバッグ シンボルのパスにこの人物の名前が現れていることです。Crimsonダウンローダーおよびリモート管理者ツールのサンプルのデバッグ シンボル パスに攻撃者の名前が現れています。これは攻撃者がこのトロイの木馬の開発に関わっていた可能性を示すものです。たとえば、次のものはCrimsonダウンローダーのデバッグ シンボル パスに現れている攻撃者の名前の例です(SHA256: dc8bd60695070152c94cbeb5f61eca6e4309b8966f1aa9fdc2dd0ab754ad3e4c)。

E:\Projects\m_project\main\mj shoaib\Thin Client\secure_scan\secure_scan\obj\x86\Debug\secure_scan.pdb

攻撃者の初期のブログ活動

 電子メールアドレス「karachian.gem[at]hotmail.com」からこの個人のブログ アカウントにたどり着くこともできます。このアドレスは2008年4月に作成されました。このブロガーのアカウントの「About Me」欄に、本人はパキスタンのKarachiに住みコンピューター サイエンスを学んでいると書かれています。このアカウントで他にブログがいくつか作成されていますが、その大部分は下記のものを除けば注目すべき内容がほとんどありません。

·    bbmdroid[.]blogspot[.]com

·    indian-attack[.]blogspot[.]com

·    Freeowlsofminerva[.]blogspot[.]com

図11 ブロガーのアカウントに関連する人物の写真
 

 注目すべき関連ブログの最初のものはbbmdroid[.]blogspot[.]comです。これには様々なProjectMツール用のC2サービスを提供する「bbmdroid[.]com」へのリンクが含まれています。indian-attack[.]blogspot[.]comには悪意のあるエクスプロイト コードも悪意のあるペイロードも含まれていませんが、インドにおけるテロリズムをテーマにしています。インドに関連するテーマのブログは、Crimsonペイロードを配信する目的でProjectMがOperation Transparent Tribeで利用したIndia News Tribe (intribune[.]blogspot[.]com)のブログに極めてよく似ています。

 「freeowlsofminerva[.]blogspot[.]com」のブログは2013年8月24日に作成され、MapleStoryというMMORPGのプレーヤー向けのサービスを提供しています。このブログにあるリンクは「microsoftexcel[.]united-host[.]us」が提供するExcelスプレッドシートを指し示しており、スプレッドシートの例として次のようなものがあります。

hxxp://microsoftexcel[.]united-host[.]us/Downloads/(Bera)%20FM%20Price%20List.xls

 このブログには、ページの下部に、(Bera) FM Price List.xlsxという名前のファイルのVirusTotalスキャンへのリンクが組み込まれています。これは、このファイルを悪意があるファイルとして検出したアンチウイルス ベンダーが存在しないことを意味します。スプレッドシートによってホストされているmicrosoftexcel[.]united-host[.]usにアクセスできないため、悪意があるかどうか確認できませんが、弊社はこのサーバでDarkCometペイロード(SHA256: cc488690ce442e9f98bac651218f4075ca36c355d8cd83f7a9f5230970d24157)がmicrosoftexcel[.]united-host[.]us/update.exeでホストされていることを確認しました。ペイロードがこのサーバでホストされているという事実から、VirusTotal分析へのリンクの組み込みは、被害者がリンクをクリックする可能性を高めるためのソーシャル エンジニアリングの試みと弊社は考えます。

図12 VirusTotalレポートの使用によって被害者がリンクをクリックする可能性を増やす
 

結論

 ProjectMは、インドの政府機関および軍事機関の関係者を対象にした標的型攻撃を執行する脅威グループです。Unit42によって、ProjectMのインフラ内のさまざまなドメインがパキスタン国内の、ある個人に結びついていることがわかっています。これは、Trend MicroのOperation C-Majorレポートの中でパキスタンと活動とのつながりを指摘したDavid SanchoとFeike Hacquebordの疑念と合致します。

 現時点では、この個人と標的型攻撃との関わりの程度について詳しく述べることはできません。しかし、この個人は、攻撃キャンペーンで配信されたさまざまなペイロードで使用されたインフラの一部の設定に関与したと想定されます。この個人のソーシャル メディア ページおよびブログから、ProjectMキャンペーンにおける攻撃活動を実行するだけの十分なスキルを有していることは明らかです。また、この個人の名前がCrimson Trojanのサンプル内に登場することから、マルウェアの作成にも関係していると思われます。

 Trend Microは、ProjectM関連のC2サーバのオープン ディレクトリで、ギガバイトにおよぶ量の個人情報(PII)を検出したとレポートしており、それらの大半はインドの軍事機関関係者の個人情報でした。それらのPIIが金銭的利益で使用されたとしても、ソーシャル メディアとブログでは、攻撃者の反インド感情を示す記述が散見されており、政治的な動機付けも想定されます。

 潜在的な攻撃者を特定し、その動機を知ることが、防御的な観点から必ずしも実践的に有効でないことは承知していますが、攻撃の裏には必ず人間が存在すること、そしてマルウェアやインフラの技術的側面だけを見れば、容易に攻撃者になり得ることは頭に入れておくべきでしょう。