テンプレートインジェクション攻撃：パンくず*を辿って北朝鮮へ

*パンくずは、Webサイトやソフトウェアでユーザーの履歴や階層関係を表示するもの

概要

2022年10月、Menlo Labsの研究チームは、10進数のIPアドレスを含んだり、不明瞭なURL形式を使用してリモートでホストされているテンプレートを読み込んだりする、カモフラージュされたテンプレートインジェクション文書について、その詳細を投稿しました。この記事は、武器化されたテンプレートインジェクション攻撃がどのように実行され、これらの攻撃を防ぐためにはどのようにしたら良いかを詳細に説明した記事のフォローアップでした。これらの武器化された文書は、FormBook、Snake Keylogger、SmokeLoaderなどのマルウェアを配信するために、RTFエクスプロイトテンプレートを使用していました。

これらの武器化された文書による攻撃で使用されたTTPは同じフットプリントを持っていたため、私たちはデータポイントのフィンガープリントを作成し、これらを単一の攻撃者に紐付けるために、IOCを詳細に調べました。攻撃の属性と発見したデータポイントの痕跡から、私たちはこの攻撃者が北朝鮮で活動しており、Lazarusグループと関連している可能性が高いと考えています。

攻撃の歴史と属性

分析中私たちは、私たちが過去のブログで指摘しIOCにも見られるTTPに類似したTTPを、北朝鮮の攻撃者が使用していることに気づきました。

2020年にFortinetが発表した記事では、北朝鮮の攻撃者が韓国のCovid-19対応に関する一見良性のWord文書（BabySharkマルウェアをダウンロードさせる悪質なマクロを含んでいた）を使い、如何にして被害者を騙したかが詳細に報告されています。また北朝鮮の攻撃者は、FedExになりすました悪意のあるメールを送信し、受信者にPDFを開くよう促しましたが、これは実際にはkbfvzoboss[.]bid/alien/fre.phpにデータを流出させるLokiBotの実行ファイルでした。このIOCは、2018年にもLokiBotによって非常に類似した攻撃で使われていたことが確認されています。

また、分析中にJoe Sandboxで以下のようなサンプルを発見しました。おかしなことにリソース言語は北朝鮮語で、上記のLokiBotのURLと、LokiBotのサンプルと同様のURL構造を持つhttp[://]sempersim[.]su/gj8/fre.phpの両方が含まれています。そしてこのサンプルは、上で紹介したMenlo Securityの2つのブログで分析したサンプルとも関連しています（これは、この感染チェーンで悪意のあるテンプレートがダウンロードする二次的なマルウェアです）。悪意のある文書の多くが、ほんの一握りの二次的なマルウェアをダウンロードする傾向があることがわかりました。

悪意のある文書の内部では、テンプレートインジェクション攻撃に関するMenlo Labsの以前のブログで分析した57個のサンプルすべてで繰り返されたメタデータが確認されました。

‍

メタデータは一致していましたが、ピリオドを使用してカモフラージュされたURLを使用しているサンプルと、そうでないサンプルがありました。また、分析したすべてのサンプルは、テンプレートインジェクションのTTPを使用し、CVE-2017-0199を悪用していました。

北朝鮮のAPTであるBlueNoroff（現在、暗号通貨企業を標的とすることに注力しています）が、これと同様のTTPを使用していることが確認されています。SnatchCryptoキャンペーンにより、BlueNoroffは成功している暗号通貨の新興企業を追跡・研究し、ビジネスコミュニケーションにおける信頼関係を悪用します。潜入したチームが個人間のやりとりのマップを作成し、関心のありそうなトピックを把握します。これにより、一見通常のやりとりのように見える高品質のソーシャルエンジニアリング攻撃を行うことが可能になります。BlueNoroffは、重要な人物を特定し、彼らが会話している内容を正確に把握することで、企業を侵害します。これにより、脅威はレーダーに引っかからずにいることができるのです。

このように信頼関係を操作することで、BlueNoroffはマクロが有効化された通常の文書や古いエクスプロイトに頼ることができるのです。彼らがこだわるエクスプロイトの1つがCVE-2017-0199です。この脆弱性は当初、武器化された文書にリンクされたリモートスクリプトの自動実行を可能にしていました。このエクスプロイトは、文書のメタファイルの1つに埋め込まれたURL経由でリモートコンテンツを取得します。そしてその文書が、別のマクロ有効化文書であるリモートテンプレートを取得します。最初の文書は、画像データとして宣言された2つのBase64エンコードされたバイナリオブジェクト（32ビットと64ビットのWindows用に1つずつ）を含んでいます。2番目の文書（リモートテンプレート）には、これらのオブジェクトの1つを抽出し、バイナリコードを注入して実行するために新しいプロセス（notepad.exe）を生成するVBAマクロが含まれています。そしてこのVBAマクロが、バイナリオブジェクトとリモートテンプレートへの参照を元の文書から削除して、それを同じファイルに保存することでクリーンアップを行い、実質的に文書を非武器化します。

類似したTTP

類似したTTPが使われた別のキャンペーンでは、北朝鮮は求職者を装った悪意のあるメールを使用していました。この悪意のあるメールの中には、これまで紹介した他のサンプルと同様に、CVE-2017-0199を悪用したさらに悪質な文書が含まれていました。この文書は、悪意のあるDLLを実行し、被害者の情報を盗み、その情報を4つのコマンド＆コントロール（C2）サーバーのうちの1つに流出させます。流出したデータは圧縮され、XOR暗号化された後、Base64符号化されてC2サーバーに送信されます。

上記のマルウェアが流出させる先の悪意のあるドメインの1つがshopandtravelusa[.]comです。このドメインは、おそらくフィッシングサイトと思われるWebメールのログインをホストしていました。このことから、このサイトが使用されていた当時は、複数から使用できるC2であった可能性があります。

これが本物のフィッシングサイトだとしても、北朝鮮が使った最初のものではないでしょう。

2022年6月27日、Twitterユーザーの「Phantom XSec」は、韓国内の「脱北者」を狙った北朝鮮のフィッシングサイト（naver[.] challengedrive[.]42web.io）を報告しています。このリンクには、Base64エンコードされたGoogleドライブのURLと被害者のメールが含まれています。

このサイトでは、Google ドライブのリンクでホストされている悪意のある文書をダウンロードする前に、本人確認を求めています。これは、北朝鮮がよく使うTTPです。Googleドライブのリンクを分析した結果、以下の情報が見つかりました：

Document ID : 1YdiX8eN2O-fiJeauLnAM8TUq4SauCGeG

[+] Creation date : 2022/04/01 01:02:00 (UTC)

[+] Last edit date : 2022/04/01 01:02:12 (UTC)

Public permissions :

reader

[+] Owner found !

Name : SungJi Lee

Email : sungjilee327@gmail.com

Google ID : 05253374549522814493

[+] Custom profile picture !

=> https://lh3.googleusercontent.com/a/default-user=s64

まとめ

北朝鮮の攻撃者の活動は、老朽化したインフラを繰り返し再利用することで知られています。TTPが変化することは無いでしょう。新しいマルウェアやインフラが追加される可能性はありますが、同じTTPが繰り返し使われていることから、研究者はこの極悪非道な国家によるサイバー脅威を注視することができます。

IOC