Upcoming Webinar
Enable secure app access for all users (even 3rd parties) on any device (even BYOD) with complete visibility.
Icon Rounded Closed - BRIX Templates

テンプレートインジェクション攻撃:パンくず*を辿って北朝鮮へ

|

*パンくずは、Webサイトやソフトウェアでユーザーの履歴や階層関係を表示するもの

概要

2022年10月、Menlo Labsの研究チームは、10進数のIPアドレスを含んだり、不明瞭なURL形式を使用してリモートでホストされているテンプレートを読み込んだりする、カモフラージュされたテンプレートインジェクション文書について、その詳細を投稿しました。この記事は、武器化されたテンプレートインジェクション攻撃がどのように実行され、これらの攻撃を防ぐためにはどのようにしたら良いかを詳細に説明した記事のフォローアップでした。これらの武器化された文書は、FormBook、Snake Keylogger、SmokeLoaderなどのマルウェアを配信するために、RTFエクスプロイトテンプレートを使用していました。

これらの武器化された文書による攻撃で使用されたTTPは同じフットプリントを持っていたため、私たちはデータポイントのフィンガープリントを作成し、これらを単一の攻撃者に紐付けるために、IOCを詳細に調べました。攻撃の属性と発見したデータポイントの痕跡から、私たちはこの攻撃者が北朝鮮で活動しており、Lazarusグループと関連している可能性が高いと考えています。

攻撃の歴史と属性

分析中私たちは、私たちが過去のブログで指摘しIOCにも見られるTTPに類似したTTPを、北朝鮮の攻撃者が使用していることに気づきました。

2020年にFortinetが発表した記事では、北朝鮮の攻撃者が韓国のCovid-19対応に関する一見良性のWord文書(BabySharkマルウェアをダウンロードさせる悪質なマクロを含んでいた)を使い、如何にして被害者を騙したかが詳細に報告されています。また北朝鮮の攻撃者は、FedExになりすました悪意のあるメールを送信し、受信者にPDFを開くよう促しましたが、これは実際にはkbfvzoboss[.]bid/alien/fre.phpにデータを流出させるLokiBotの実行ファイルでした。このIOCは、2018年にもLokiBotによって非常に類似した攻撃で使われていたことが確認されています。

また、分析中にJoe Sandboxで以下のようなサンプルを発見しました。おかしなことにリソース言語は北朝鮮語で、上記のLokiBotのURLと、LokiBotのサンプルと同様のURL構造を持つhttp[://]sempersim[.]su/gj8/fre.phpの両方が含まれています。そしてこのサンプルは、上で紹介したMenlo Securityの2つのブログで分析したサンプルとも関連しています(これは、この感染チェーンで悪意のあるテンプレートがダウンロードする二次的なマルウェアです)。悪意のある文書の多くが、ほんの一握りの二次的なマルウェアをダウンロードする傾向があることがわかりました。

screenshot showing possible origin as north korea
screenshot showing resource country as north korea (from Joe Sandbox)
Joe Sandboxからのイメージ

悪意のある文書の内部では、テンプレートインジェクション攻撃に関するMenlo Labsの以前のブログで分析した57個のサンプルすべてで繰り返されたメタデータが確認されました。

screenshot of list of document properties and declared languages and language guesses (ar-sa and en-us)

メタデータは一致していましたが、ピリオドを使用してカモフラージュされたURLを使用しているサンプルと、そうでないサンプルがありました。また、分析したすべてのサンプルは、テンプレートインジェクションのTTPを使用し、CVE-2017-0199を悪用していました。

chart showing email attachment going to weaponized document, which leads to malware, an infected website, and/or a template

北朝鮮のAPTであるBlueNoroff(現在、暗号通貨企業を標的とすることに注力しています)が、これと同様のTTPを使用していることが確認されています。SnatchCryptoキャンペーンにより、BlueNoroffは成功している暗号通貨の新興企業を追跡・研究し、ビジネスコミュニケーションにおける信頼関係を悪用します。潜入したチームが個人間のやりとりのマップを作成し、関心のありそうなトピックを把握します。これにより、一見通常のやりとりのように見える高品質のソーシャルエンジニアリング攻撃を行うことが可能になります。BlueNoroffは、重要な人物を特定し、彼らが会話している内容を正確に把握することで、企業を侵害します。これにより、脅威はレーダーに引っかからずにいることができるのです。

このように信頼関係を操作することで、BlueNoroffはマクロが有効化された通常の文書や古いエクスプロイトに頼ることができるのです。彼らがこだわるエクスプロイトの1つがCVE-2017-0199です。この脆弱性は当初、武器化された文書にリンクされたリモートスクリプトの自動実行を可能にしていました。このエクスプロイトは、文書のメタファイルの1つに埋め込まれたURL経由でリモートコンテンツを取得します。そしてその文書が、別のマクロ有効化文書であるリモートテンプレートを取得します。最初の文書は、画像データとして宣言された2つのBase64エンコードされたバイナリオブジェクト(32ビットと64ビットのWindows用に1つずつ)を含んでいます。2番目の文書(リモートテンプレート)には、これらのオブジェクトの1つを抽出し、バイナリコードを注入して実行するために新しいプロセス(notepad.exe)を生成するVBAマクロが含まれています。そしてこのVBAマクロが、バイナリオブジェクトとリモートテンプレートへの参照を元の文書から削除して、それを同じファイルに保存することでクリーンアップを行い、実質的に文書を非武器化します。

chart from SecureList illustrating process for malicious document with remote template
SecureListからのイメージ

類似したTTP

類似したTTPが使われた別のキャンペーンでは、北朝鮮は求職者を装った悪意のあるメールを使用していました。この悪意のあるメールの中には、これまで紹介した他のサンプルと同様に、CVE-2017-0199を悪用したさらに悪質な文書が含まれていました。この文書は、悪意のあるDLLを実行し、被害者の情報を盗み、その情報を4つのコマンド&コントロール(C2)サーバーのうちの1つに流出させます。流出したデータは圧縮され、XOR暗号化された後、Base64符号化されてC2サーバーに送信されます。

上記のマルウェアが流出させる先の悪意のあるドメインの1つがshopandtravelusa[.]comです。このドメインは、おそらくフィッシングサイトと思われるWebメールのログインをホストしていました。このことから、このサイトが使用されていた当時は、複数から使用できるC2であった可能性があります。

screenshot of online webmail signup

これが本物のフィッシングサイトだとしても、北朝鮮が使った最初のものではないでしょう。

2022年6月27日、Twitterユーザーの「Phantom XSec」は、韓国内の「脱北者」を狙った北朝鮮のフィッシングサイト(naver[.] challengedrive[.]42web.io)を報告しています。このリンクには、Base64エンコードされたGoogleドライブのURLと被害者のメールが含まれています。

screenshot of redirects
screenshot of website asking to verify identity before downloading a document

このサイトでは、Google ドライブのリンクでホストされている悪意のある文書をダウンロードする前に、本人確認を求めています。これは、北朝鮮がよく使うTTPです。Googleドライブのリンクを分析した結果、以下の情報が見つかりました:

Document ID : 1YdiX8eN2O-fiJeauLnAM8TUq4SauCGeG

[+] Creation date : 2022/04/01 01:02:00 (UTC)

[+] Last edit date : 2022/04/01 01:02:12 (UTC)

Public permissions :

reader

[+] Owner found !

Name : SungJi Lee

Email : sungjilee327@gmail.com

Google ID : 05253374549522814493

[+] Custom profile picture !

=> https://lh3.googleusercontent.com/a/default-user=s64

まとめ

北朝鮮の攻撃者の活動は、老朽化したインフラを繰り返し再利用することで知られています。TTPが変化することは無いでしょう。新しいマルウェアやインフラが追加される可能性はありますが、同じTTPが繰り返し使われていることから、研究者はこの極悪非道な国家によるサイバー脅威を注視することができます。

IOC
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Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail