BlueNoroff Windowsのセキュリティ保護を回避する新たな感染手法使用

韓国語話者のAPT攻撃グループBlueNoroffが、WindowsのMark-of-the-Webをバイパスする方法を使用していることを確認しました。

韓国語話者のAPT攻撃グループBlueNoroffが、WindowsのMark-of-the-Webをバイパスする方法を使用していることを確認しました。

通常、メールに添付されたWord文書を開いたり、Webサイトから文書をダウンロードしようとすると、それらのファイルは、保護モードで開封されます。このとき使われるのは、Windowsデフォルトの保護メカニズムの1つであるMark-of-the-Web(MOTW)という機能です。この機能は、ユーザーが文書ファイルをインターネットからダウンロードするときに、その文書に印をつけ、アプリケーションがファイルの出所を把握し、潜在的なセキュリティリスクを確認してユーザーに注意喚起するものです。ユーザーにとって便利な機能ですが、最近になって、攻撃者がこのMOTWを回避する方法を使うケースが増えていることが明らかになりました。例えば、カスペルスキーの専門家が、BlueNoroff(ブルーノロフ、Lazarusの派生グループ)が使用したツールを調べたところ、このグループがオペレーティングシステムを欺く新しい手法を導入していることを発見しました。

BlueNoroffがMOTWメカニズムを回避する方法

MOTWは、次のように機能します。ユーザー、またはプログラムが、インターネット上のファイルをダウンロードすると、すぐにNTFSファイルシステムによって、ファイルが「インターネットから」ダウンロードされたことを示す属性が追加されます。しかしながら、この属性は必ずしも追加されるわけではありません。アーカイブをダウンロードすると、アーカイブにあるすべてのファイルにこの属性が追加されますが、ファイルを転送する際に必ずしもアーカイブを使うとは限らないからです。

BlueNoroffは、新しいファイルタイプを使って、悪意のある文書を標的に送り付ける攻撃を実験的に開始しました。彼らは、時折.iso形式ファイル(ISOイメージファイル)を採用していることが確認されています。ISOファイル形式は、一般的に光学ディスクイメージを保存するために使用されます。他に使用されたファイル形式は.vhdで、通常仮想ハードドライブが含まれます。別の言い方をしますと、実際の攻撃のペイロード(おとり文書や悪意のあるスクリプト)をイメージドライブや仮想ドライブの中に隠して、標的を感染させようとしています。

BlueNoroffが使用する最新のツールや方法に関するより詳しい技術的な説明、そして侵害を示す兆候については、カスペルスキーの専門家によるSecurelistブログの記事をご参照ください。

BlueNoroffの正体と目的

BlueNoroffは、バングラデシュ中央銀行強盗や複数の暗号資産の窃取などの首謀者と考えられています。また、当社が2022年に確認した暗号通貨の窃盗を目的としたSnatchCrypto攻撃の背後にも、BlueNoroffがいる可能性が高いとみています。いずれの攻撃キャンペーンも、感染したコンピューターにバックドアをインストールするという、同様の最終ステップが確認されています。

BlueNoroffは、強い金銭的動機に基づいて攻撃活動を行っており、最近では、主に暗号資産ビジネス、フィンテック企業、そしてNFT業界を標的にしています。2022年10月、カスペルスキーの専門家は、ベンチャーキャピタルや投資企業に加え、みずほフィナンシャルグループなど、大手金融機関を模倣した多数の偽ドメインを作成、登録していることを確認しました。日本の大手銀行の名前が使われたり、攻撃者が使用するおとりの文書が日本企業に関連していることなどから、このグループは、日本語を話す団体に大きな関心を持っているとみられています。しかし、このグループに攻撃された企業の中には、アメリカやベトナムの企業を偽装したり、アラブ首長国連邦(UAE)の企業も含まれています。

攻撃を防ぐには?

まず第一に、OSにデフォルトで組み込まれている保護メカニズムは、企業を安全に保つのに十分ではないということを覚えておいてください。MOTWだけでは、添付ファイルやウェブサイトからダウンロードされる文書に含まれる悪意のあるスクリプトが実行されるのを防ぎきることはできません。BlueNororffや同じ手法を試す類似のAPTグループの犠牲者にならないように、カスペルスキーは以下の対策を推奨します。


 

ヒント