macOSも視野に入れた、仮想通貨取引所への攻撃

2018年8月30日

Kaspersky Labのエキスパートは先日、北朝鮮との関わりが指摘される犯罪集団Lazarusによる新たな活動を検知しました(いずれもリンク先は英語記事)。この攻撃活動は「AppleJeus(アップルジュース)」と名付けられました。Lazarusは、Sony Pictures Entertainmentや数々の金融機関に対する攻撃で悪名を馳せたグループで、バングラデシュ中央銀行から8,100万ドルを強奪した話はよく知られています。

 

今回の攻撃で、彼らが狙いを定めたのは仮想通貨でした。標的とする仮想通貨ウォレットにアクセスするため、彼らは多数の仮想通貨取引所の企業ネットワークにマルウェアを投下しました。人的ミスを当てにした犯罪グループの狙いは、的中しました。

仮想通貨取引ソフトと悪意ある更新プログラム

ネットワークへの侵入は、1通のメールで始まりました。仮想通貨取引所の従業員の少なくとも1人が、Celas Limited製の仮想通貨取引ソフトウェア「Celas Trade Pro」のインストールを勧めるメールを受け取りました。この取引所の事業概要から察するに、このようなプログラムは有用だったのでしょう。

メールには、開発元の公式Webサイトへのリンクが記載されていました。このWebサイトは見たところ問題はなさそうで、有数の認証局であるComodo CAが発行した正規のSSL証明書もついていました。

Celas Trade ProにはWindows版とMac版の2つのバージョンがあり、Linux版も近日中にダウンロード可能となる旨が記されていました。

 

この仮想通貨取引ソフトウェアは有効なデジタル証明書付きであり(これも正規製品らしい特徴の1つ)、コードに有害なコンポーネントは含まれていませんでした。

この従業員のコンピューターへインストールされると、Celas Trade Proはすぐに更新を開始しました。更新プロセスの一環として開発元のサーバーへアクセスしましたが、これも怪しいふるまいではありません。しかし、ここでダウンロードされたのは、更新プログラムではなく、バックドア型のトロイの木馬「Fallchill」でした。

Fallchill:非常に危険なマルウェア

バックドアとは仮想的な「通用口」で、犯罪者はここからシステムに侵入できます。Lazarusは過去にFallchillを何度か利用しており、最近使用を再開したと見られています。Fallchillは感染したデバイスをほぼ無制限にコントロール可能とすることができ、以下に挙げるのはその機能の一部です。

  • ファイルを検索し、読み取り、指令サーバー(Celas Trade Proが更新プログラムのダウンロードに使用したのと同じもの)へアップロードする
  • 特定のファイル(.exeファイルや支払い指図書など)にデータを記録する
  • ファイルを消去する
  • 追加のツールをダウンロードし、実行する

感染したプログラムとその開発元の詳細

先に説明したとおり、仮想通貨取引ソフトウェアとその開発元は、攻撃の過程で実にまともなふるまいを見せていました。少なくとも、バックドアがインストールされるまでは、おかしなところはなかったように見えます。しかし、詳しく調べると細部に疑わしい点が浮かび上がってきます。

まず、更新プログラムのローダーは、GIF画像を装ったファイルの形でシステム情報をサーバーに送信し、同様の方法でコマンドを受信していました。正規のソフトウェアがアップデートの際に画像ファイルをやりとりすることは、普通ありません。

Webサイトを詳しく調べてみると、使われていたドメイン証明書が信頼性の低い証明書であり、このドメインが「Celas Limited」という名の組織によって所有されている事実を確認しているにすぎないことが判明しました。この会社や会社所有者に関する情報は、一切含まれていませんでした(もっと上位レベルの証明書では、このような情報が含まれています)。ドメイン登録に使用されている住所を当社アナリストがGoogleマップで確認したところ、そこにはラーメン店の入った1階建てのビルがあるだけでした。

 

この小さなラーメン店の主人が片手間にプログラミングをしているとは考えにくく、この住所は偽物であると結論付けるのが理にかなっています。念のため、Celas Trading Proのデジタル証明書に指定されたもう1つの住所も確認してみましたが、そこは空き地であることが分かりました。

この会社は、ドメインの使用料をビットコインで支払っているようでした。匿名性が大切な取引には、仮想通貨が好まれます。

しかしながら現時点では、Celas Limitedが目的を持って設立された偽会社なのか、サイバー犯罪の犠牲者なのか、確かなところは分かりません。Lazarusは過去に何度か、正規の会社のセキュリティを侵害し、その会社のパートナーや顧客を攻撃しています。

このLazarus APTの活動「AppleJeus」については、Securelistで詳しく解説しています(英語記事)。

AppleJeusが示すもの

仮想通貨市場は最近、特にサイバー犯罪の標的となっています。さまざまなタイプの仮想通貨マイナーを開発する者、世界中を対象に犯罪に及ぶプロ集団など、さまざまな犯罪者が仮想通貨界隈に目を向けています。

AppleJeusはサプライチェーン攻撃のようにも見えますが、Celas Limitedの実体は不明であり、攻撃者によって作り上げられた偽の会社である可能性もあります。

今回見つかった攻撃の気になる特徴は、WindowsだけでなくmacOSも標的としている点です。一般にサイバー攻撃の標的となる割合が低いと考えられているApple製品ですが、攻撃者のスコープ内に入っている事実は重く受け止めるべきでしょう。