SAS
当社のエキスパートは、工業系企業に対して諜報活動を行う、新たなサイバー犯罪者グループの活動の痕跡を発見しました。この犯罪者グループは少なくとも2018年から活動していると見られます。彼らが標的型攻撃に使用するツールを、当社のエキスパートは「MontysThree」と名付けました。
MontysThreeはどのようにコンピューターに感染するか
MontysThreeは、PDF形式やDOC形式の文書に見せかけた実行ファイルが添付されたメールを工業系企業の従業員宛てに送りつけるという、昔ながらのスピアフィッシングでコンピューターへ侵入します。これらのファイルには「Corporate data update(企業データのアップデート)」「Technical specification(技術仕様書)」「List of employee phone numbers 2019(2019年従業員電話番号表)」などのファイル名が付けられています。医療関連文書に見せかけようとする事例もあり、「Medical analysis results(医学分析結果)」「Invitro-106650152-1.pdf」というファイル名が使われていました(※Invitroはロシアの大手医療研究所)。
攻撃者が狙うもの
MontysThreeは、さまざまなディレクトリおよび外付けメディアの内部にある、Microsoft Officeの文書とAdobe Acrobatの文書を狙います。感染すると、このマルウェアは感染先コンピューターを詳細に調べ、システムのバージョン、プロセスのリスト、デスクトップのスナップショットを指令サーバーへ送ります。このほか、USERPROFILEディレクトリおよびAPPDATAディレクトリ内にある最近開かれたファイル(拡張子が.doc、.docx、.xls、.xlsx、.rtf、 .pdf、.odt、 .psw、.pwdのもの)のリストも、サーバーへ送信します。
MontysThreeのその他機能
このマルウェアには、かなり独特なメカニズムがいくつか実装されています。たとえば、感染後にダウンローダーモジュールがメインのモジュールを抽出してデコードしますが、このメインのモジュールはステガノグラフィーを用いてビットマップ画像の中に暗号化されています。当社のエキスパートは、攻撃者はステガノグラフィーのアルゴリズムをオープンソースのサンプルからただコピーしたのではなく、一から自分たちで記述したと考えています。
マルウェアはGoogle、Microsoft、Dropbox、WebDAVといった一般のクラウドサービスを使用して指令サーバーと通信します。これに加え、通信モジュールはRDPおよびCitrixを通じたリクエストが可能です。また、マルウェア内に通信プロトコルは埋め込まれておらず、通信には正規のプログラム(RDP、Citrixクライアント、 Internet Explorer)を利用するようになっていました。
感染先のシステムにできるだけ長く留まれるように、MontysThreeのある補助モジュールは、Windowsの[クイック起動]内のショートカットに変更を加えます。変更されたショートカット(たとえばブラウザーのショートカット)をユーザーがクリックすると、MontyThreeのローダーモジュールも同時に実行されます。
背後にいる攻撃者は誰か
MontysThreeを過去の攻撃と結び付ける証拠は、見つかっていません。見たところまったく新しいサイバー犯罪グループであり、コード内のテキストから判断するに、作者の母国語はロシア語です。同様に、この犯罪グループの主な標的はロシア語話者の企業である可能性が高いと考えられます。マルウェアが探索対象とするディレクトリの一部は、キリル語バージョンのシステムにしか存在しないものでした。
MontysThreeの技術的詳細および脅威存在痕跡(IoC)については、Securelistの記事(英語)をご覧ください。
対策
手始めに、標的型攻撃が1本のメールから始まることが多いことを、従業員へ改めて周知することをお勧めします。併せて、メールの添付ファイルを開く際には最新の注意を払うこと、特に予期しないイレギュラーなメールに関しては注意が必要であることを伝えるとよいでしょう。
高度な標的型攻撃を防ぐには、従業員のセキュリティ意識を高めることに加え、適切なソリューションの配備が重要です。ワークステーション保護、EDR、攻撃の分析と無力化のためのツールを備えた、総合的なセキュリティソリューションの導入をお勧めします。
ヒント