A41APT:日本企業を標的とする情報窃取活動

日本企業を狙う、非常にステルス性の高い標的型攻撃「A41APT」とは。

毎年1月に開催されるセキュリティ実務者を対象とする技術カンファレンス、Japan Security Analyst Conference 2021(JSAC 2021)は、今年で第4回を数えました。昨今の時勢を受け、初めてのオンライン開催となった今回は、3つのトラックに分かれて数々の講演が行われました。

その中の一つが、日系企業および日系企業の海外拠点を標的とする標的型攻撃「A41APT」をテーマとする講演です。本講演は、TeamT5 チーフアナリスト チャールズ・リー氏、伊藤忠商事株式会社 ITCCERT 上級サイバーセキュリティ分析官 佐藤元彦氏、伊藤忠商事株式会社 ITCCERT サイバーセキュリティ分析官 丹羽祐介氏、マクニカネットワークス株式会社 セキュリティ研究センター所属 柳下元氏、カスペルスキー GReAT セキュリティリサーチャー 石丸傑による調査分析の結果を発表したものです。

A41APTは情報の窃取を目的とした攻撃で、2019年3月から2021年1月にかけて活動が見られました。ステルス性が高く検知と発見が困難であり、公になっている関連情報も非常に少ないのが現状です。

攻撃の流れ

標的型攻撃の初期侵入には、一般にスピアフィッシングが使用されます。A41APTの場合は事情が異なり、SSL-VPNの脆弱性を突いて(または、窃取した認証情報を使用して)侵入を図っていました。SSL-VPNセッションの乗っ取りに使われたホスト名「DESKTOP A41UVJV」が、この攻撃の名前の由来となっています。

ネットワーク内に侵入すると、RDPポートまたはSMBポートの空いているホストを探し出し、これを足がかりにRDPで横展開を進めます。特に侵害が多いサーバーのタイプは、ADサーバー、ファイルサーバー、AV管理サーバー、バックアップサーバーなどでした。その一方、A41APTは正規のツール(csvde.exeなど)を利用して、認証情報の窃取も進めます。

A41APTの侵害の流れ

A41APTの侵害の流れ(出典

A41APTの攻撃では、DESLoaderと呼ばれるマルウェアとそのペイロードが使用されます。攻撃では、DESLoaderを読み込む正規の実行ファイルを15分ごとに実行するタスクを登録することで、マルウェアの永続化を図っていました。タスク名は、侵害されたホストごとに異なっていました。また、活動の痕跡を隠蔽するため、指令サーバー(C2)との通信が終了するたび、PowerShellリモーティングによってイベントログを削除します。

使用されるマルウェアとその特徴

DESLoader (別名:SigLoader、Ecipekac)は、DLL Side-Loadingを使用して、暗号化された実行可能ファイルおよびシェルコードを段階的に復号し、最終的にはメモリー上でペイロードを実行します。使用される暗号化アルゴリズムの順序は検体によって異なり、解析を困難なものにしています。

DESLoaderのペイロードは以下のとおりです。いずれもファイルレス型です。

  • SodaMaster(別名:DelfsCake)
  • P8RAT(別名:GreetCake)
  • Stager Shellcode
  • FYAntiLoader

FYAntiLoaderはファイルレス型のローダーモジュールで、ConfuserExv1.0.0によってパックされた.NET型ローダーを内包しています。最終的なペイロードはxRAT(QuasarRAT)です。

通信先の指令サーバーはマルウェアごとに異なり、この点も高いステルス性につながっています。

カスペルスキー製品では、DESLoaderを以下の検知名で検知、ブロックします。

Trojan.Win64.Agentb.*

Trojan.Win64.Agent.*

Trojan.Win64. Ecipekac .*

A41APTの活動には、APT10およびBlackTechとの関連性がうかがわれます。APT10によるトルコに対する標的型攻撃活動で初期バージョンのSodaMasterの関与が観測されているほか、A41APT にて観測されたxRATと共通するTTPが確認されています。BlackTechの活動においては複数ホスト上でSodaMasterとTSCookieの2つが確認されており、両マルウェアの間にはコードの類似性が見られることから、何らかの関係性が推測されます。

特徴と対策

A41APTの主な特徴は、高いステルス性です。スピアフィッシング経由のマルウェア感染からではなくSSL-VPN経由で攻撃者がマニュアル操作でマルウェアを感染させること、マルウェアの設置先が主にサーバーであること、ガバナンスの異なる海外拠点を侵入口とすることなどから、EDR(Endpoint Detection and Response)やFSA(Forensic State Analysis)による検知の急所を突く形となっています。

その一方で、侵入した後には、RDPを多用する、イベントログの削除の痕跡に共通点が見られる、といったオペレーションの粗さも見られます。

講演は、次のような言葉で結ばれています。「小さな異常から攻撃を検出・防御できるよう、日々のセキュリティ運用の徹底、自組織の環境の穴を徹底的に見直して頂き、その際に本講演が対策検討の一助となれば幸いです」

A41APTへの対策の例

A41APTへの対策の例(出典

講演の詳細は、以下の公開資料をご覧ください。

https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_202_niwa-yanagishita_jp.pdf

ヒント