Dharmaランサムウェアを利用し、日本を含む国々を標的にしたイランのハッカーグループの活動について
シンガポールを拠点に活動する、ロシアのセキュリティベンダGroup-IBのブログにて、イランのハッカーグループに関する活動観測が公開されました。
https://www.group-ib.com/media/iran-cybercriminals/
本記事では、その概要と関連情報について、まとめます。
目次
攻撃者の目的
Group-IBは2020年の6月ごろ、イランのハッカーグループによる攻撃を観測し、それらの攻撃が金銭目的であることを確認しました。
ただ、攻撃の痕跡や利用したツールを見る限り、国家の介入が推定されるイランの他のAPTグループとは異なり、初歩的なレベルの集団であると、Group-IBは結論づけています。
なお、攻撃の痕跡として、ペルシャ語を話すことや地理情報の痕跡も確認できているとのことです。
侵入に成功し、最終的にはDharmaランサムウェアを用いて、1~5BTCの身代金を要求するとのことです。
ちなみに、2020年8月25日現在、1BTCは約12万4300円で取引されています。
標的となった国
今回標的となった国々は以下です。
- ロシア
- 日本
- 中国
- インド
これらが標的になったと確認される根拠として、攻撃者のスキャン活動が、上記国々の属するホストの範囲に行われたことを挙げています。
そして、これらのホストが、「グローバルにRDPのポートを公開していないか」、「資格情報が脆弱でないか」という観点でスキャンが行われたことが推測されます。
なお、用いられたソフトウェアはMasscanというTCPポートスキャナーであることも判明しています。
Masscanの参考として、IIJの記事を掲載しておきます。
そしてこの手法は、昨年、TrendMicro、McAfee、Symantec等への不正アクセスを成功させたハッカーグループFxmspの用いる手法と類似していると、Group-IBは述べています。
ハッカーグループFxmspについても、参考記事を掲載します。
攻撃の手法
ホストへのスキャン活動により、脆弱なホストを特定した攻撃者はNLBruteというツールを用いて、ブルートフォース攻撃を行い、他のアクセス可能なホストから有効な認証情報を取得します。
RDPを悪用する際、NLBruteがよく使われているという内容は、2017年末のSophosの記事でも紹介されていました。
一部の攻撃では、CVE-2017-0213の悪用による権限昇格への試みも見られたとのことです。
他には、横展開の際に、ウィルス対策ソフト無効化のために「Defender Control」、「Your Uninstaller」を用いていたことが確認されています。
そして、Your Installerをダウンロードする際に、Chromeでペルシャ語を用いた検索クエリを使ったことも確認されています。
それだけではなく、攻撃者がペルシャ語のTelegramチャンネルからその他のツールをダウンロードしていたことも確認されています。
また、公開ツールであるAdvanced Port Scannerをもちいて、侵入後のスキャン活動を行いRDPにて、次の端末に侵入。
最終的に、Dharmaランサムウェアをダウンロードしたのち、手動で実行していたとのことでした。
Dharmaランサムウェアとは
今回の攻撃において、攻撃者はDharmaランサムウェアと他の公開されているツールを組み合わせることで攻撃を実現しました。
Dharmaランサムウェアは、Crysisという名でも知られており、今回のような脆弱な資格情報を持ったRDPを悪用した攻撃でよく用いられます。
あまり、詳しい日本語の記事がないのが残念ですが、JPCERT/CCの「ランサムウエアの脅威動向および被害実態調査報告書 1.0版」では、Crysisとしての解説が記載されているので、参考にしていただけるとよいかと思います。
この調査でも、「日本を含む世界各地での活発な感染活動」と述べられていますね。
https://www.jpcert.or.jp/research/Ransom-survey.pdf
なお、英語版の記事だと、Malwarebytesの記事が参考になるかと思います。
2019年5月当初でも、検出の増加傾向が確認できますね。
まとめ
Group-IBの執筆者はイランの攻撃グループについての新たな傾向として、以下のように述べています。
Dharmaのソースコードが広く利用可能になったことで、それを展開するオペレーターの数も増加しました。 イランは伝統的に国家の後援を受けつつ、潜入活動や破壊活動を行っていたので、単に金銭目的でのためにDharmaを使用し、スクリプトキディ(興味本位で被害を与えるクラッカー)の手に落ちたのは驚くべきことです。
イランのハッキンググループだと、以前に紹介したCharming Kitten(APT35)や
OilRig(APT34)が有名ですかね。
FireEyeもまとめているので、参考にしてください。
中華系、ロシア系、朝鮮系がどうしても印象的ですが、徐々にイランのハッカーも勢力を広げてきているのかもしれません。