みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

COVID-19をテーマに政府や医療機関を狙ったサイバー攻撃の観測について

f:id:micro_keyword:20200415183327j:plain:w400

PaloAlto社の脅威インテリジェンスチームUnit42の提供するブログにて、新型コロナウィルスCOVID-19をテーマにしたサイバー攻撃に関する観測内容が公開されました。

unit42.paloaltonetworks.com

同記事では、ランサムウェア攻撃と情報窃取マルウェアAgentTeslaの攻撃について、紹介されています。

以前より、新型コロナウィルス関連のサイバー攻撃については記事にしてきましたが、実際の被害状況や注意喚起が目立つようになってきたことも踏まえ、まとめてみます。

以前に公開した記事としては以下の3点になりますので、ご参考まで。

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com


目次


公的機関による注意喚起とその背景

昨今の新型コロナウィルスの情勢を鑑みてか、BleepingComputerの独自調査などから、フィッシングとは違いますが、ランサムウェアの配布グループは病院などを狙わないとみられていました。

www.bleepingcomputer.com

ただ、Interpolの注意喚起にもあるように、世界中の病院や医療機関ランサムウェア攻撃のターゲットになっていることが確認されています。

www.interpol.int

また、FBIからもBEC(ビジネスメール詐欺)の観測を踏まえ、政府機関および医療機関に対して、注意喚起が発行されています。

www.fbi.gov

日本でも、「人命第一で自粛を」という意見と「経済活動を止めたら生きていけない」といった意見を多々目にします。

肩を持つつもりはないですが、金銭を目的としたハッカーにとっても、生きていくための必要な行動だと正当化されているのかもしれません。


ランサムウェアEDA2の亜種を用いた攻撃

今回、PaloAlto社は、カナダ政府の医療機関および医療研究を行う大学にて観測されたランサムウェアの攻撃が、EDA2と呼ばれるオープンソースランサムウェアの亜種であることを確認しました。

当該ランサムウェアは以下のGithubレポジトリにて公開されているのですが、Metasploitなどのペネトレーションテストツール同様、「勉強用途での使用に限る」と注意書きがなされています。

malware-1/Eda2 at master · m0n0ph1/malware-1 · GitHub

攻撃を防ぐために攻撃手法やツールを知ることは大切だと思う一方で、便利になればなるほど悪用も容易になってしまうジレンマですかね。

だからこそ、ホワイトハッカーと呼ばれる人がしっかり食べていけるよう雇用を守ることが、かえって攻撃の抑止になったりしないですかね。

では本題に戻ります。

まず、観測されたキャンペーンでは、3月の下旬「noreply@who[.]int」という、WHOを偽装したメールアドレスから、先述の通り、カナダの医療機関および医療研究を行う大学に向けて、悪意のあるRTFを含む文書ファイルが添付されて送られました。

  • メールの件名
    • Coronavirus disease COVID19
  • 添付ファイル名
    • 20200323-sitrep-63-covid-19.doc

当該ファイルはMicrosoft Office脆弱性CVE-2012-0158を悪用しており、実行後ランサムウェア本体を以下のパスに配置します。

C:\Users\<victim username>\AppData\Local\svchost.exe

ファイルは、隠しファイル属性をセットされており、Adobe Acrobatを装ったアイコンを呈しているとのことです。

ランサムウェアの実行後HTTP通信が発生し、RANSOM20.jpgを取得します。 当該イメージファイルは取得後、感染端末の壁紙に設定されます。

https://unit42.paloaltonetworks.com/wp-content/uploads/2020/04/Figure-3.-Ransomware-notification-image-1.png

感染後の挙動として、ユーザやホスト名に基づいて作成された鍵の交換をC2サーバと行ったのち、端末でのファイル暗号化を始めます。 対象となるファイルの拡張子は以下で、暗号化されると、拡張子が「.locked20」に変更されます。

“.abw”, “.aww”, “.chm”, “.dbx”, “.djvu”, “.doc”, “.docm”, “.docx”, “.dot”, “.dotm”, “.dotx”, “.epub”, “.gp4”, “.ind”, “.indd”, “.key”, “.keynote”, “.mht”, “.mpp”, “.odf”, “.ods”, “.odt”, “.ott”, “.oxps”, “.pages”, “.pdf”, “.pmd”, “.pot”, “.potx”, “.pps”, “.ppsx”, “.ppt”, “.pptm”, “.pptx”, “.prn”, “.prproj”, “.ps”, “.pub”, “.pwi”, “.rtf”, “.sdd”, “.sdw”, “.shs”, “.snp”, “.sxw”, “.tpl”, “.vsd”, “.wpd”, “.wps”, “.wri”, “.xps”, “.bak”, “.bbb”, “.bkf”, “.bkp”, “.dbk”, “.gho”, “.iso”, “.json”, “.mdbackup”, “.nba”, “.nbf”, “.nco”, “.nrg”, “.old”, “.rar”, “.sbf”, “.sbu”, “.spb”, “.spba”, “.tib”, “.wbcat”, “.zip”, “7z”, “.dll”, “.dbf

特徴的なのが、このランサムウェアが暗号化するのは、デスクトップ配下のファイルおよびフォルダに限定している点です。

なんでだろう。。。


AgentTeslaを用いた攻撃

一方、もう一つの攻撃として、情報窃取マルウェアAgentTeslaを用いた攻撃についても観測内容が紹介されています。

PaloAltoの観測によると、ターゲットとなったのは以下の国の組織です。

  • 米国の国防研究組織
  • トルコの公共事業を管理する政府機関(日本でいう国土交通省?)
  • カナダ、ドイツ、イギリスに本社を置くテクノロジーおよび通信系企業
  • 日本とカナダにある医療機関および医療研究施設

以下の画像は攻撃を試みた際の、メールの例です。

https://unit42.paloaltonetworks.com/wp-content/uploads/2020/04/covid-19-malspam-liquidroam.png

メールの添付ファイルを解凍すると、AgentTeslaであることが確認できるとのことです。

AgentTeslaは、ハッキングツールの売買を行うようなフォーラム上で取引されている情報窃取マルウェアで、米国のセキュリティリサーチャKrebs氏の記事によると、以下の値段設定にて、やり取りされていることが確認できます。

https://krebsonsecurity.com/wp-content/uploads/2018/10/agent-tesla-pricing.png

詳細については、以下の記事を参照していただくと勉強になるかと思います。

Who Is Agent Tesla? — Krebs on Security

攻撃者の用いているインフラ情報を確認すると、以下のドメインはいずれも、正規のドメインであると推測され、おそらく侵害されているのではないかと推測できます。


まとめ

通常の倫理観で考えると、現状医療機関を対象とした攻撃を行うことは、非常に冷酷な行為であるように思えます。

ただ、先述の通り攻撃者にも守るべき生活があると考えた場合、攻撃者なりの正当性もあったりするんだと思います。

もちろん、脅迫にしても窃盗にしても立派な犯罪であるのは明確ですが、正義感をもってその正当性を議論するのは不毛だなーと個人的に思っています。

もちろん、昨今の、自粛云々や休業補償などの話に対して、テレビやネットで感情的な意見交換をしているのに対しても。。。