SprySOCKS Windowsバリアント、カーネルドライバーを悪用して検出を回避

中国のテクノロジー企業と関係が深い国家支援型脅威グループ「FishMonger」が、カーネルドライバーを利用して検出を回避するWindowsバックドアをツールセットに追加したことが明らかになりました。

ESETは、SprySOCKSの未公開バージョンを発見しました。SprySOCKSはLinuxバックドアで、2023年にFishMonger（別名：Earth Lusca、Aquatic Panda）の脅威活動で初めて確認されたものです。昨年、このサイバースパイグループは、中国共産党（PRC）に代わってi-Soonとの関連が明らかになりました。i-Soonは中国のテクノロジー企業であり、PRC（中華人民共和国）のためにサイバー作戦を実行していた企業です。

ESETの研究者たちは最近、VirusTotal上でSprySOCKSのWindowsバージョンのサンプルを発見しましたが、さらなるテレメトリ分析により、このマルウェアは2023年および2024年に実際の攻撃で使用されていたことが判明しました。本日公開されたESETのレポートによると、このWindowsバリアントは主にホンジュラス、台湾、タイ、パキスタンの政府機関を標的として展開されていたとされています。

FishMongerのアクターたちはSprySOCKSをWindowsに移植しただけでなく、悪意のあるカーネルドライバーを用いてバックドアを検出不可能な状態に保つ新機能も追加しています。この新たに発見されたバリアントは、このAPT（高度持続的脅威）グループのツール群がいかに充実しているかを示すとともに、カーネルドライバーがエンタープライズセキュリティにもたらす危険性を改めて浮き彫りにしています。

SprySOCKSを隠蔽するカーネルドライバー

ESETの研究者は分析において、Windowsバリアントに「WIN_DRV」と「WIN_PLUS」と内部的に呼ばれる2種類のタイプが存在することを確認しました。どちらも従来のSprySOCKSバックドアの中核機能を備えていますが、レポートによるとWIN_DRVバージョンは「高度なステルス性」を実現するためにカーネルドライバーを使用しています。

具体的には、WIN_DRVは2つの暗号化されたカーネルドライバーを使用しており、1つ目はfsdiskbit.sys、すなわちESETの研究者が「DriverLoader」と呼ぶものです。名前が示すとおり、このドライバーはSprySOCKSのローダーを介して配信され、「RawWNPF」と名付けられた2つ目のカーネルドライバーをターゲットシステムのメモリに直接ロードするという単一の目的を担っています。

RawWNPFドライバーはバックドアの悪意ある活動を隠蔽し、ドライバー固有のI/O制御コード（IOCTL）を通じて設定を変更することができます。このようなドライバーはWindowsカーネルへの特権アクセスを持つため、セキュリティプロセスの強制終了や、SprySOCKSの場合のように、特定のシステムコールをインターセプトして出力を改ざんすることでマルウェアのプロセスやファイルを隠蔽するために悪用される可能性があります。  

例えばWRawWNPFは、WindowsシステムコールであるNtQuerySystemInformationの実行にフックすることでプロセスを隠蔽します。「このAPI関数によって取得されたプロセスの中にドライバーの隠蔽プロセスリストと一致するものがあれば、ドライバーはそのプロセスを関数の出力から削除します」とESETの研究者はレポートに記述しています。

レポートはまた、DriverLoaderがGitHub上のオープンソースプロジェクト「PastDSE」に公開されたデジタル証明書で署名されており、ESETによれば「少なくとも一部の旧式またはセキュリティ設定が不適切なシステム」でのロードが可能であったとも指摘しています。このコード署名証明書がどれほど長期間公開されていたかは不明ですが、ESETのシニアマルウェア研究者であるMartin SmolárはDark Readingに対し、自身の知る限りまだ失効させられていないと述べています。

脅威アクターはEDRキラーのような悪意のあるツールに脆弱な正規ドライバーを悪用することが多く、そのようなドライバーをブロックするとシステムクラッシュを引き起こす可能性があるため、セキュリティチームにとっては頭の痛い問題です。しかしSmolárによると、SprySOCKSの場合はそうではないとのことです。 

「ここで悪用されているドライバーはすべて悪意のあるものであり、検出対象となるべきです」と同氏は述べています。

SprySOCKS Windowsバリアントの配信経路、依然として謎

攻撃においてFishMongerが被害者のネットワークへの初期アクセスをどのように獲得したかは不明ですが、ESETの研究者たちはこのAPTグループが過去に公開サーバーのNデイ脆弱性を悪用して足がかりを築いていたことを指摘しています。 

「今回のキャンペーンにおいてFishMongerが被害者のシステムに侵入した正確な手口は確認できませんでしたが、一部の被害デバイスにサーバーOSが存在することやFishMongerの典型的な modus operandi を踏まえると、攻撃者は設定ミスや未パッチの公開アプリケーションを通じて侵入した可能性が高いと考えられます」とESETは述べています。

さらにESETは、最近のSprySOCKS攻撃の一部にUEFIブートキットコンポーネントが関与していた可能性を示す「限られた兆候」がテレメトリに見られたとも指摘しており、CVE‑2023‑24932が悪用された可能性があるとしています。「UEFIブートキットが関与している可能性を示す限られた兆候を踏まえ、グループの活動に引き続き注目することをすべての方にお勧めします」とレポートは述べています。

ESETの研究チームは、Windowsバリアントはフィッシュモンガーのクロスプラットフォーム能力の「大幅な拡張」を示すものだと述べています。ただし、悪意のあるドライバーの追加がSprySOCKSに高度なステルス性をもたらす一方で、それが脅威アクターの高い技術力を必ずしも示すものではないとSmolárは言います。

「私にとって、ドライバーの数自体は高度な技術力を示す指標ではありません」と同氏は述べています。「また今回の場合、旧式または設定の不適切なシステムにしか通用しない漏洩した証明書に依存していることは、攻撃者のスキルについてほとんど何も示していません（なぜなら、より『安価な』手法が被害者に対して有効であれば、わざわざゼロデイを使い潰す必要などないからです）。」

初期アクセスベクターは依然として謎のままですが、ESETは防御側に向けて侵害の痕跡（IoC）を公開しました。その内容にはファイル名やマルウェアにハードコードされたコマンド＆コントロール（C2）サーバーのIPアドレスが含まれています。さらにESETは、悪意のあるドライバーのロードをブロックするWindowsのセキュリティ機能「Hypervisor-Protected Code Integrity（HVCI）」を有効化するよう、エンタープライズのセキュリティチームに推奨しています。