• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

WINDSHIFT攻撃、中東政府を標的に

Adrian McCabe 2 22, 2019 at 12:00 午後

本ブログは米国で2019年02月21日に公開されたUnit 42ブログ「Shifting in the Wind: WINDSHIFT Attacks Target Middle Eastern Governments」の日本語翻訳です。

 

エグゼクティブサマリー

2018年8月、DarkMatterは「In the Trails of WINDSHIFT」という報告書でBahamutのものと非常によく似たTTP(戦略)を持つ攻撃者を明らかにしました。続いてObjective-Seeが2つの追加記事(こことここ)を公表し、Mac OS Xのシステムを標的としたいくつかの検証済みWINDSHIFTサンプルの分析を提供しました。

Unit 42は、特定のファイル属性とインフラストラクチャの指標をもとに、同攻撃者による追加の活動を特定して相関させました。この結果得られた、中東の政府機関で展開された標的型WINDSHIFT攻撃の詳細を本稿では説明します。

 

WINDSHIFT攻撃者グループの活動を集約した概要

次のタイムラインは、2018年6月までに検証済みのWINDSHIFTによる活動をまとめたものです。

図1: 主要な開示済み情報をもとにしたWINDSHIFTの既知の活動

図1: 主要な開示済み情報をもとにしたWINDSHIFTの既知の活動

上のタイムラインが示すとおり、Unit 42はWINDSHIFTの活動を2018年の1月から5月の間にかけて観測しています。


中東政府機関攻撃のタイムライン

以下は、中東の政府機関を標的とした観測されたWINDSHIFT活動の概要です。

図2: Unit 42が観測したWINDSHIFTのサンプル

図2: Unit 42が観測したWINDSHIFTのサンプル

最初の攻撃は、2018年1月上旬に、リモートIPアドレス109.235.51[.]110から、政府機関内のある特定内部IPアドレスにむけて、あるWINDTAILのサンプル(WINDSHIFT攻撃グループが使用するバックドア マルウェア ファミリ)がついた状態で着信しました。図2のタイムラインが示すように、このイベントが発生した時点で、IPアドレス109.235.51[.]110は、既知のWINDSHIFTドメインであるドメインflux2key[.]comに関連付けられていました。

さらに分析した結果、Unit 42はこのサンプルに対応するC2サーバーのIPアドレスが109.235.51[.]153であることを特定しました。このイベントが発生した時点で、同IPはドメインstring2me[.]comに関連付けられていました。このドメインは既知のWINDSHIFTドメインです。このケースでUnit 42はどのような感染方法がとられたのかについての実態は把握していませんが、本攻撃者のTTPからはほぼ確実にスピアフィッシングが関与したことが示唆されます。

最初の感染試行の後、同じ外部IPアドレス109.235.51[.]110からいくつかの追加WINDTAILサンプルが、2018年1月から5月まで同じ内部IPアドレスに送信されていました(詳細については図2を参照)。関連するすべてのWINDTAILサンプルは、zipアーカイブ内のMac OSXアプリバンドルで、これはWINDSHIFTのTTPに合致しています。

とくに「mcworker.zip」という名前のサンプル(SHA256: e0fdcb5e0215f9fae485fbfcd615c79b85806827e461bca2e1c00c82e83281dc)は注目に値します。さらに分析した結果、Unit 42は、C2サーバーのIPアドレスが185.25.50[.]189であることを突き止めました。OSINTによると活動時点ではIPアドレス185.25.50[.]189は「domforworld[.]com」という単一のドメインに解決されていました。


結論

この攻撃を詳細に分析することで、Unit 42は既知の脅威攻撃者グループのTTPの実情についての貴重な洞察を得られました。とくに重要なのは次の調査結果です。

  • Unit 42は、高い確度でIPアドレス「185.25.50[.]189」とドメイン「domforworld[.]com」の両方が、WINDSHIFTの活動に関連していると見ています。さらに、以前に検証済みのWINDSHIFTドメイン「flux2key[.]com」および「string2me[.]com」にそれぞれ対応するIPアドレス「109.235.51[.]110」および「109.235.51[.]153」もこの攻撃キャンペーン中に使用されていました。
  • 攻撃者が所有するIPアドレス「109.235.50[.]191」は、その後Norman Securityが識別しています(報告書)。また、IPアドレス「109.235.51[.]110」と「109.235.50[.]191」は、WHOIS情報に登録された登録者名「XENEUROPE」が共通していました。Norman Securityの報告によれば、この登録者名はHangoverに関連するインフラストラクチャの多数のIPアドレスに関連付けられています。以上をまとめると、この証拠は、ほかのセキュリティ研究者も示唆しているHangoverとWINDSHIFTの活動が関連しているという疑いをより強くするものです。
  • 先述の特定内部IPアドレス宛に複数回インバウンドWINDTAILサンプルが向けられた様子を観測していることから、Unit 42は中程度の確度で攻撃者が標的とした環境内で永続性を確立できなかったものと見ています。Unit 42ではこれらのサンプルがどのような攻撃ベクトルを使って配信を試行したのかを確実に判断することはできませんが、WINDTAILのTTPからは、標準的なスピアフィッシング詐欺であった可能性が高いと見られます。
  • DarkMatterによる先の報告書で、WINDTAILサンプルに関連付けられていた2つのMac OSX開発者証明書のうちの1つ、Caren Van(4F9G49SUXB)は、本稿のWINDTAILサンプルにも関連付けられていました。さらに、新たに識別された証明書warren portman(95RKE2AA8F)は、WINDSHIFTマルウェアに直接関連していることも分かりました。

パロアルトネットワークスのお客様は、次のようにしてこの脅威から保護されています。

  • AutoFocus をお使いのお客様は、これらのサンプルをWindshift タグで追跡できます。
  • WildFireは本稿に記載したすべてのファイルをMalicious(マルウェア)と判定します。

IOC

インフラストラクチャ:

ドメイン IPアドレス
flux2key[.]com 109.235.51[.]110
string2me[.]com 109.235.51[.]153
domforworld[.]com 185.25.50[.]189

ファイルハッシュ:

 

ファイル名 Appleデベロッパ証明書  SHA-256
trusted.zip Caren Van (4F9G49SUXB) ce8e01373499b539f4746c0e68c850357476abe36b12834f507f9ba19af3d4f9
mcworker.zip Caren Van (4F9G49SUXB) e0fdcb5e0215f9fae485fbfcd615c79b85806827e461bca2e1c00c82e83281dc
keybaged.zip Caren Van (4F9G49SUXB) 1fbfbaefd50627796e7f16b8cc2b81ffbc5effcb33b64cc8e349e44b5d5d3ee8
trustb.zip Caren Van (4F9G49SUXB) 1de218e45cdf069c10d1a8735d82688b8964261a5efe3b6560e0fdcfa3c44c1d
frd.zip Caren Van (4F9G49SUXB) dd0e0883392ffe8c72c4b13f58e5861fc2f4bc518a6abea4f81ae3a44b2eda1c
smdd.zip Caren Van (4F9G49SUXB) e2a5663584727efa396c319f7f99a12205bb05c9c678ffae130e9f86667505a6
logd.zip Caren Van (4F9G49SUXB) ffae55894f0f31d99105b5b7bbbca79e9c1019b37b7a5a20368f50c173352fd1
logd.zip Caren Van (4F9G49SUXB) cb3068ee887fc2f66d3df886421d5e5fa5e31ec4ee0079a7dcf9628bd2730de0
lsd.zip Caren Van (4F9G49SUXB) 0c0fce879c8ca00a6f9feeaccf6cba64374e508cacd664682e794a4a4cc64ffb
tootoo.zip warren portman (95RKE2AA8F) 8c8b53f4d4836bd7d4574fe80039caf9f2bd4d75740f2e8e22619064c830c6d9

 

 

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved