MosaicRegressor:UEFIブートキットを通じてマルウェアを送り込む

サイバー犯罪者は、Hacking Teamから漏洩したツールを運用する高度なフレームワークを攻撃に使用しています。

当社の調査チームは最近、アジア、欧州、アフリカ地域の外交機関およびNGOを狙った高度な標的型攻撃を発見しました(英語記事)。判明している限りでは、被害を受けた組織は、外交や非営利活動など何らかの形で北朝鮮との関わりがありました。

この攻撃では高度なモジュラー型のサイバー諜報活動フレームワークが使われており、当社ではこのフレームワークを「MosaicRegressor」と呼んでいます。スピアフィッシングを通じてマルウェアの侵入が図られたケースがほとんどでしたが、改竄されたUEFIを通じてマルウェアが標的のコンピューターに侵入するという、実環境では極めて珍しいケースもいくつか見られました。

UEFI とは何か、ブートキットが危険であるのはなぜか

UEFIは、BIOSと同様にコンピューターが起動するときOSより先に実行するソフトウェアで、ハードディスク上ではなくマザーボード上のチップに保存されます。サイバー犯罪者は、このUEFIコードを書き換えることができれば、狙ったシステムへマルウェアを送り込むのに利用可能となります。

この攻撃で実行されたのは、まさにそれでした。それだけでなく、攻撃者独自のUEFIファームウェアの作成には、インターネット上に流出したHacking Teamのブートキット「VectorEDK」のソースコードが使われています。このソースコードが公になったのは2015年のことですが、サイバー犯罪者による利用を示す証拠としては、当社の見る限りこれが初めての事例です。

システムが起動すると、このブートキットは、システムのスタートアップフォルダー内に、悪意あるファイル「IntelUpdate.exe」を置きます。この実行ファイルは、MosaicRegressorの別のコンポーネントをコンピューター上にダウンロードしてインストールします。UEFIは比較的孤立しているため、悪意あるファイルを検知したとしても、削除することはほぼ不可能です。OSの削除や再起動でも、削除できません。この問題を修正する唯一の方法は、マザーボードのUEFIを書き直すことです。

MosaicRegressorはどのように危険なのか

コンピューターに(侵害されたUEFIまたはスピアフィッシングを通じて)侵入したMosaicRegressorコンポーネントは、指令サーバー(C&Cサーバー)に接続し、追加のモジュールをダウンロードし、これを実行します。次に、これらのモジュールを利用して、情報の盗み出しが行われます。たとえば、モジュールの一つは、最近開かれたドキュメントをサイバー犯罪者の元へ送信していました。

指令サーバーとの通信にはcURLライブラリ(HTTP/HTTPSの場合)、バックグラウンドインテリジェント転送サービス(Background Intelligent Transfer Service:BITS)、WinHTTPのほか、公共のメールサービス(POP3S、SMTPS、またはIMAPSを使用するもの)と、さまざまなメカニズムが使われています。

MosaicRegressorフレームワークの詳しい技術的分析と脅威存在痕跡(IOC)については、Securelistの記事(英語)をご覧ください。

MosaicRegressorから組織を守るには

最初に手を付けたいのは、高度な攻撃のきっかけとなるスピアフィッシングを無力化することです。高度なフィッシング対策機能を備えたセキュリティ製品を使用することに加え、こういった攻撃に対する従業員のセキュリティ意識向上を図ることをお勧めします。

当社のセキュリティソリューションは、データ窃取を目的とする悪意あるモジュールを検知します。

UEFIファームウェアの書き換えがどのように行われたのかについては、残念ながら正確には掴めていません。HackingTeamから漏洩した情報に基づいて考えると、攻撃者はコンピューターへ物理的にアクセスし、USBメモリを使って感染させる必要があったと推定されます。しかし、その他の感染手段の可能性を排除することはできません。

MosaicRegressorのUEFIブートキットからシステムを守るには、以下の手順を推奨します。

  • 使用しているコンピューターまたはマザーボードの公式サイトで、自分のハードウェアがIntel Boot Guardに対応しているかどうか確認する。Intel Boot Guardは、UEFIファームウェアへ不正な変更が加えられるのを防ぎます。
  • ブートキットがペイロードをインストールできないように、フルディスク暗号化を使用する。
  • こういった性質の脅威を特定可能な、信頼できるセキュリティソリューションを使用する。2019年以降、当社製品はROM BIOSやUEFIファームウェア内に潜む脅威を検知できています。今回の攻撃も、当社のアンチルートキットテクノロジーによって検知されました。
ヒント