標的型攻撃
サイバー攻撃者が使用するツールセットは、常に進化しています。その直近の例が、当社エキスパートが最近発見したMATAフレームワークです。世界各地の企業インフラに対する攻撃に使用されていたMATAフレームワークは、さまざまなOS上で機能するだけでなく、悪意あるツールを幅広く備えています。
MATAはさまざまな犯罪目的に使用可能です。当社で解析した複数事例の場合、標的となる企業のインフラから顧客データベースを探し出してデータを盗むために利用されていました。少なくとも1つの事例では、ランサムウェアの拡散にも利用されていました(本件については、別の記事で紹介予定です)。
攻撃者が関心を寄せる対象は、かなり広範です。MATAの攻撃を受けたことが判明しているのはソフトウェア開発企業、インターネットサービスプロバイダー、eコマース企業などです。攻撃の地理的な広がりも広域に及び、ポーランド、ドイツ、トルコ、韓国、日本、インドでの活動の痕跡が確認されています。
MATAを「フレームワーク」と呼ぶ理由
MATAは単なる多機能マルウェアではありません。ローダー、オーケストレーター(マルウェアの設定データやプラグインの読み込みを行い、指令サーバーとのやりとりを行う)、プラグインといったさまざまなコンポーネントで構成され、最も広く利用されているOSであるWindows、Linux、macOSが稼働するコンピューターを攻撃する能力を持っています。
Windowsバージョン
当社エキスパートが最初に検知したのは、Windowsコンピューターを標的とするMATAの攻撃でした。攻撃は複数段階で行われます。最初の段階では、感染先コンピューター上でローダーが実行し、オーケストレーターをダウンロードします。このオーケストレーターは、さまざまな悪意ある機能を備えた各種プラグインをダウンロードします。これらプラグインの機能は、それぞれ以下のとおりです。
- パラメーターを指定して「exe /c」または「powershell.exe」を実行し、コマンドに対する応答を収集
- プロセスの操作(削除、作成など)
- 特定のIPアドレス(またはアドレス範囲)を伴うTCP接続の確認
- 着信TCP接続を待機するHTTPプロキシサーバーの作成
- ファイルの操作(データの書き込み、ファイルの送信、コンテンツの削除など)
- 実行中プロセスへのDLLファイルの注入
- リモートサーバーへの接続
プラグインを読み込む方法としては、HTTP(または HTTPS)サーバーからダウンロードする方法、ハードディスク上の暗号化されたファイルから読み込む方法、MataNet(攻撃者のインフラ)からTLS 1.2接続を通じてダウンロードする方法の3つがあります。
LinuxおよびmacOSバージョン
調査を進めたところ、Linux向けの同じようなツールセットが発見されました。この中には、Linuxバージョンのオーケストレーターとプラグインのほか、正規のコマンドラインツールであるsocatと、Atlassian Confluence Serverの脆弱性(CVE-2019-3396)を悪用するスクリプトも含まれていました(リンク先は英語)。
Linux向けには、Windows向けにはなかったプラグインが存在します。ポート8291(RouterOSが稼働するデバイスの管理に使用)およびポート8292(Bloomberg Professionalソフトウェアで使用)を使ってTCP接続を確立する際に使われるプラグインで、接続の確立に成功した場合にログを指令サーバーへ送ります。おそらくは、標的の選定に利用されるものと思われます。
macOS向けには、オープンソースソフトウェアを基にした、トロイの木馬化されたアプリケーションが見つかりました。機能面は、Linuxバージョンとほぼ同じでした。
MATAフレームワークの技術的詳細およびIoCについては、Securelistの記事(英語)をご覧ください。
防御の対策
当社のエキスパートは、MATAがLazarusと関係すると見ており、このフレームワークを使って行われた攻撃は標的型であったと考えています。エキスパートの見立てでは、MATAは今後も進化を続けます。したがって、大規模企業はもとより、規模の小さい企業でも、不特定多数を狙う攻撃だけでなく、より複雑な攻撃に対しても備えを進めることをお勧めします。当社では、エンドポイント保護プラットフォーム(EPP)とエンドポイントでの検知及び対応(EDR)の機能を組み合わせた総合的ソリューションを提供しています。詳しくはこちらのページをご覧ください。
ヒント