みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて

f:id:micro_keyword:20200221015158j:plain:w400

セキュリティベンダーのトレンドマイクロより、ハッカー集団DRBControlに関するレポートが公開されました。

www.trendmicro.com

https://documents.trendmicro.com/assets/white_papers/wp-uncovering-DRBcontrol.pdf

トレンドマイクロがDRBControlと名付けたこのグループは、調査の結果、中華系の標的型攻撃グループとして有名なWinntiおよびAPT27との関連が見られるとのことで、本レポートでは言及されていました。

当該内容に触れつつ、まとめた内容を記載します。


目次


DRBControlの概要

今回、DRBControlが注目された大きな理由は、確認された2種類の新しいマルウェアだとされています。 当該検体は、標的型攻撃を受けたフィリピンの企業から見つかったもので、TrendMicroのインシデントレスポンス対応の結果判明したとのことでした。

さらに、トレンドマイクロの観測によると、DRBControlの主な狙いは、東南アジアにある、ギャンブルなどとの関連が深い企業だそうで、ヨーロッパや中東も狙われている可能性があるとのことでした。

そんな、攻撃グループですが、日本も全くの無関係ではないと推測されます。

その一因として、過去に日本への標的型攻撃を行った中華系の攻撃グループWinntiとの関連や同じく中華系の標的型攻撃グループAPT27との関連が疑われるからです。

詳細については、次の章以降で記載します。

なお、攻撃者の侵入経路としては、メールに添付されたドキュメントファイルが起点となるもので、以下の3種類が確認されているとのことです。

  • そのドキュメントファイルに含まれる、スクリーンショットをダブルクリックさせることで実行される
  • ドキュメントファイルに紐づいたBATファイルがダウンローダとして動作し検体を落としてくる
  • ドキュメントファイルに含まれるPowershellの実行により検体を落としてくる

Winntiとのつながり

Winntiについては、最近の攻撃への言及で記事を書いたので、そちらを参考にしていただくといいかと思います。

micro-keyword.hatenablog.com

そして、今回の攻撃グループとの関連の根拠は以下だと述べられています。

  • 以下の検体が持つ、Mutexの値がWinntiグループとの関与を連想させる
    • 今回の攻撃で利用が確認された、Trochilus RAT(別名Redleaves)をドロップするカスタムインストーラ
    • Winntiグループのインフラに属するドメイン名につながるBbsRat

こちらに関しては、攻撃インフラの類似性もあることから、関連性は高いであろうと、推測されています。


APT27とのつながり

結論から言うと、今回のレポートでは、APT27との関連は、攻撃で使われたツールの一つである、HyperBroがもともとAPT27の独自マルウェアとされていたことが関係していて、その事実のみが根拠だとのことでした。

ただそれだけでは物足りなく感じたのと、私自身、APT27については、あまり知らなかったので、簡単に調べてみました。

すると、以下のような記事と関連がありました。

https://www.cybereason.co.jp/blog/cyberattack/3694/

こちらについては、昨年、私のブログでもまとめてみたものがあるので、参考にしていただければと思います。

micro-keyword.hatenablog.com

この時のサイバーリーズンの記事からは、以下のことがわかります。

  • China ChopperがAPT27やAPT40で使われていたこと
  • HTRANがAPT3やAPT27、DragonOKで利用されていたこと
  • そして、このOperation Soft Cell自体が、APT10との関連が疑われること

APT27自体は、Cyber Espionageとも言われる諜報活動を行うことで知られているとのことです。

もしすると、中華系の標的型攻撃グループ同士はツールを共有するような風潮があるのかもしれないですし、これらすべてが一つの大きな傘の下に属しているかもしれないです。

真相はわかりませんが、さらに事実を並べることで色々見えてくるかもしれません。

そういった意味では、先日某電機企業を狙ったと報道された、中華系の標的型攻撃グループTickやBlacktechとの関連も見えてきたりするのかも。。。


DRBControlが使う新しいマルウェア

レポートの中ではいくつかのマルウェアが紹介されていましたが、まず、新たに発見された2つのバックドアについて紹介します。

いずれのマルウェアについても、攻撃者の用意するC2サーバへのアクセス方法については共通しており、以下の特徴があるとのことです。

それでは、詳細な特徴を簡単にまとめたもの記載します。

新マルウェア-タイプ1

  • Microsoftが署名したMsMpEng.exeによるDLLサイドローディング
  • Windows Defenderのプロセス名を模倣
  • 9つのバージョンあり
  • 2019年の5月から10月で開発
  • すべてのバージョンでDropboxをC2サーバとして利用し、盗んだ情報を蓄積。

新マルウェア-タイプ2

  • Microsoftが署名したMsMpEng.exeによるDLLサイドローディング
  • C2ドメインとポートを含む設定ファイルを利用
  • 当該設定ファイルには、マルウェアのコピーを作成するディレクトリおよびファイル名も含まれる。
  • 永続化機能あり。
    • 最初の実行時に難読化された構成ファイルをレジストリキーに隠しておく

その他のマルウェア

  • PlugX
  • Trochilus RAT(Redleaves)
  • HyperBro(APT27専用のもの)
  • CobaltStrike

潜入後に利用するツール

  • Clipboard stealer
  • EarthWorm network traffic tunnel
  • Public IP address retriever
  • NBTScan tool
  • Brute-force tool
  • Elevation of privilege vulnerability tool
  • Password dumpers
  • UAC bypass tools
  • Code loaders

まとめ

レポートにはこの記事で紹介した内容以外にも、侵入後のコマンドではどんなものが使われたかなど記載してあるので、参考にしてみるとよいかと思います。

冒頭で述べたように、他の攻撃グループとの関連は確固たる証拠にはならないものの何かしらの関係性はあるように見えます。

今後も何か新たに分かったことがあれば随時、記事を書いていこうかと思います。