ScarCruftとして知られる北朝鮮支援の高度持続的脅威(APT)グループは、攻撃手法を大きく進化させている。
従来の手法からの転換として、同グループは現在、高度なOLEベースのドロッパーを用いて、同グループ特有のマルウェアであるROKRATを配布している。
この新たなキャンペーンは、pCloudやYandexといった正規のクラウドサービスをコマンド&コントロール(C2)通信に悪用する能力を示しており、防御側にとって検知がますます困難になっている。
歴史的にScarCruftは、「DROKLINK」または「DROKBAT」と呼ばれる予測可能な攻撃チェーンに依存してきた。この手法は通常、LNK(ショートカット)ファイルを用い、BATスクリプトとシェルコードをドロップして最終的にペイロードを実行するものだった。しかし、最近の調査結果は戦術的な変化を示している。
同グループは現在、Hangul Word Processor(HWP)文書内のOLE(Object Linking and Embedding)オブジェクトに、ドロッパーおよびローダーを直接埋め込んでいる。
この移行は、ScarCruftがファイルベースのスクリプト実行から離れ、メモリと正規プログラムの悪用に大きく依存する実行手法へ移行し、アンチウイルス検知を回避しようとしていることを示唆している。
3つの異なる感染ケース
研究者は、この新しい攻撃チェーンの3つの具体的なバリエーションを特定した。動作はそれぞれ異なるものの、いずれも最終的な目的は、システムのメモリ上でROKRATを直接実行することにある。
- DLLサイドローダー(mpr.dll): 最初に観測されたケースでは、マルウェアはファイル名 mpr.dll を用いて偽装する。これは悪意のあるHWP文書内のOLEオブジェクトとして埋め込まれている。起動されると、DLLサイドローディングと呼ばれる手法を用いて、正規アプリケーションに悪意のあるコードを実行させる。ローダーはシェルコードを実行する前に、環境に対して安全性チェックを行う。
- クラウドダウンローダー(credui.dll): 2つ目のケースは「ダウンローダー」型マルウェアである。ペイロードを内包するのではなく、外部ソースから取得する。攻撃者が管理するDropboxリンクに接続し、ステガノグラフィで隠されたシェルコードをダウンロードする。この亜種は実行に ShellRunas.exe を悪用している可能性が高い。
- メモリ実行型(version.dll): 3つ目のケースは非常に回避性が高い。正確な配布経路は不明瞭だが、証拠はHWPのOLEオブジェクトに由来することを示唆している。この亜種は1バイトのXORキーを用いて内部ペイロードを復元し、直ちにメモリ上でROKRATを実行するため、ディスク上に残るフォレンジック痕跡はごくわずかである。
ROKRATの再来
これらすべての攻撃のペイロードはROKRATのままであり、ScarCruftが2017年以降使用しているリモートアクセス型トロイの木馬(RAT)兼情報窃取マルウェアである。
ROKRATは、攻撃者がファイルを窃取し、キーストロークを記録し、スクリーンショットを取得できるため危険である。
さらに見る
脆弱性スキャンサービス
セキュリティ意識向上トレーニング
不正検知ソフトウェア
新しい配布手法にもかかわらず、ScarCruftの根本的な「指紋」は依然として確認できる。3つのケースはいずれも、ROR13に基づくAPIハッシュアルゴリズムと、ペイロード復号に用いる特定の 0x29 XORキーを利用している。
さらにマルウェアは、YandexおよびpCloud向けの正規のAPIトークンを使用し、窃取データの通信を通常のクラウドストレージ活動に見せかけ続けている。
これらの攻撃の主要な侵入ベクターは、HWP文書の悪用である。セキュリティチームおよびユーザーは、特に不審なメールで受信したHWPファイルを扱う際には最大限の注意を払うべきである。
OLEオブジェクトは任意のコード実行を引き起こし得るため、組織は文書内に埋め込まれた異常なOLEオブジェクトを検知またはブロックできるよう、セキュリティポリシーを構成すべきである。
文書が外部オブジェクトやスクリプトの実行許可を求めてきた場合、別途正当性が確認できるまでは悪意のあるものとして扱うべきである。
翻訳元: https://gbhackers.com/ole-chain/
