エグゼクティブサマリー

2018年8月、DarkMatterは「In the Trails of WINDSHIFT」という報告書でBahamutのものと非常によく似たTTP(戦略)を持つ攻撃者を明らかにしました。続いてObjective-Seeが2つの追加記事(こことここ)を公表し､Mac OS Xのシステムを標的としたいくつかの検証済みWINDSHIFTサンプルの分析を提供しました。

Unit 42は、特定のファイル属性とインフラストラクチャの指標をもとに､同攻撃者による追加の活動を特定して相関させました｡この結果得られた､中東の政府機関で展開された標的型WINDSHIFT攻撃の詳細を本稿では説明します。

WINDSHIFT攻撃者グループの活動を集約した概要

次のタイムラインは、2018年6月までに検証済みのWINDSHIFTによる活動をまとめたものです。

図1: 主要な開示済み情報をもとにしたWINDSHIFTの既知の活動

上のタイムラインが示すとおり､Unit 42はWINDSHIFTの活動を2018年の1月から5月の間にかけて観測しています。

中東政府機関攻撃のタイムライン

以下は、中東の政府機関を標的とした観測されたWINDSHIFT活動の概要です。

図2: Unit 42が観測したWINDSHIFTのサンプル

最初の攻撃は、2018年1月上旬に､リモートIPアドレス109.235.51[.]110から､政府機関内のある特定内部IPアドレスにむけて､あるWINDTAILのサンプル(WINDSHIFT攻撃グループが使用するバックドア マルウェア ファミリ)がついた状態で着信しました｡図2のタイムラインが示すように、このイベントが発生した時点で、IPアドレス109.235.51[.]110は、既知のWINDSHIFTドメインであるドメインflux2key[.]comに関連付けられていました。

さらに分析した結果、Unit 42はこのサンプルに対応するC2サーバーのIPアドレスが109.235.51[.]153であることを特定しました。このイベントが発生した時点で、同IPはドメインstring2me[.]comに関連付けられていました。このドメインは既知のWINDSHIFTドメインです。このケースでUnit 42はどのような感染方法がとられたのかについての実態は把握していませんが、本攻撃者のTTPからはほぼ確実にスピアフィッシングが関与したことが示唆されます。

最初の感染試行の後、同じ外部IPアドレス109.235.51[.]110からいくつかの追加WINDTAILサンプルが、2018年1月から5月まで同じ内部IPアドレスに送信されていました(詳細については図2を参照)。関連するすべてのWINDTAILサンプルは、zipアーカイブ内のMac OSXアプリバンドルで、これはWINDSHIFTのTTPに合致しています。

とくに「mcworker.zip」という名前のサンプル(SHA256: e0fdcb5e0215f9fae485fbfcd615c79b85806827e461bca2e1c00c82e83281dc)は注目に値します。さらに分析した結果、Unit 42は、C2サーバーのIPアドレスが185.25.50[.]189であることを突き止めました。OSINTによると活動時点ではIPアドレス185.25.50[.]189は「domforworld[.]com」という単一のドメインに解決されていました。

結論

この攻撃を詳細に分析することで、Unit 42は既知の脅威攻撃者グループのTTPの実情についての貴重な洞察を得られました。とくに重要なのは次の調査結果です。

• Unit 42は、高い確度でIPアドレス「185.25.50[.]189」とドメイン「domforworld[.]com」の両方が､WINDSHIFTの活動に関連していると見ています｡さらに、以前に検証済みのWINDSHIFTドメイン「flux2key[.]com」および「string2me[.]com」にそれぞれ対応するIPアドレス「109.235.51[.]110」および「109.235.51[.]153」もこの攻撃キャンペーン中に使用されていました｡
• 攻撃者が所有するIPアドレス「109.235.50[.]191」は､その後Norman Securityが識別しています(報告書)｡また､IPアドレス「109.235.51[.]110」と「109.235.50[.]191」は、WHOIS情報に登録された登録者名「XENEUROPE」が共通していました。Norman Securityの報告によれば、この登録者名はHangoverに関連するインフラストラクチャの多数のIPアドレスに関連付けられています。以上をまとめると､この証拠は､ほかのセキュリティ研究者も示唆しているHangoverとWINDSHIFTの活動が関連しているという疑いをより強くするものです。
• 先述の特定内部IPアドレス宛に複数回インバウンドWINDTAILサンプルが向けられた様子を観測していることから､Unit 42は中程度の確度で攻撃者が標的とした環境内で永続性を確立できなかったものと見ています。Unit 42ではこれらのサンプルがどのような攻撃ベクトルを使って配信を試行したのかを確実に判断することはできませんが、WINDTAILのTTPからは､標準的なスピアフィッシング詐欺であった可能性が高いと見られます。
• DarkMatterによる先の報告書で､WINDTAILサンプルに関連付けられていた2つのMac OSX開発者証明書のうちの1つ､Caren Van(4F9G49SUXB)は､本稿のWINDTAILサンプルにも関連付けられていました。さらに、新たに識別された証明書warren portman(95RKE2AA8F)は､WINDSHIFTマルウェアに直接関連していることも分かりました。

パロアルトネットワークスのお客様は、次のようにしてこの脅威から保護されています。

• AutoFocus をお使いのお客様は、これらのサンプルをWindshift タグで追跡できます。
• WildFireは本稿に記載したすべてのファイルをMalicious(マルウェア)と判定します。

IOC

インフラストラクチャ:

ファイルハッシュ:

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org