2020年10月15日

Kaspersky、データ隠ぺい技術のステガノグラフィーを用いる産業スパイ活動「MontysThree」を発見

このスパイ攻撃活動に使用されたツールセットは、検知を回避するため、データ隠ぺい技術のステガノグラフィーを用いて主要な攻撃モジュールを隠したり、指令サーバーとの通信をパブリッククラウドサービスでホストするなど、さまざまな方法を使用していました。

[本リリースは、2020年10月8日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT)は、2018年初めから2019年初めにかけて活動が行われたとみられる、製造業の企業を限定して標的にした一連の高度サイバー攻撃(APT)を発見しました。このスパイ攻撃活動に使用されたツールセットは、検知を回避するため、データ隠ぺい技術のステガノグラフィーを用いて主要な攻撃モジュールを隠したり、指令サーバーとの通信をパブリッククラウドサービスでホストするなど、さまざまな方法を使用していました。当社では最近も新たなマルウェアを検知しており、モジュールをコンパイルしたタイムスタンプが9月であることから、この攻撃活動は現在も開発を続けているとみています。

政府機関や外交関係、通信事業者などの個人や団体は、機密情報や政治的に影響のある情報を所持しているため、APT攻撃の標的となりやすい傾向があります。製造業の企業がスパイ攻撃の標的になることはそれに比べて限られていますが、企業に対するほかのサイバー攻撃と同様に、APT攻撃はビジネスに壊滅的な影響を与えることがあります。今回の攻撃活動に気付いたGReATのリサーチャーは、その理由からすぐに調査を開始し、マルウェアの作成者がこのツールセットを「MT3」と呼んでいたことから、その頭文字を利用してこの攻撃活動を「MontysThree」と名付けました。

「MontysThree」は、まず、特定の企業の特定の人物や社員を標的にするスピアフィッシングの手口で、従業員の名前や、技術文書、医療の分析結果などを装ったRAR SFXファイル(自己解凍型アーカイブ)を用いて、複数のモジュールを含むマルウェアツールセットをダウンロードさせます。モジュールに含まれているローダーは、感染先のシステム上でマルウェアが検知されることを回避するため、秘密の情報をほかの情報の中に埋め込み存在を隠ぺいするステガノグラフィーの技術を取り入れています。メインモジュールである悪意のあるペイロードは、ビットマップ(デジタル画像の保存形式)ファイルに偽装されており、正しいコマンドが入力されると、ローダーがカスタマイズされたアルゴリズムを使用してピクセル配列から内容を復号し、悪意のあるペイロードを実行します。

この悪意のあるペイロードは、検知を回避するために独自の暗号化技術を複数用いています。例えば、指令サーバーとの通信を暗号化し、割り振られた主要な実行タスクを復号するために、RSAアルゴリズムを使用します。タスクには、特定の拡張子の文書や指定した企業のディレクトリの資料の探索が含まれており、特にMicrosoftとAdobe Acrobatの文書を対象とするように設計されています。また、画面をキャプチャしたり、ネットワーク設定やホスト名などを取得するなどして、攻撃者にとって価値がある標的かどうかを確認します。

収集した情報や指令サーバーとそのほかの通信は、Google、MicrosoftやDropboxなどのパブリッククラウドサービスにホストされており、通信トラフィックが悪意のあるものとして検知されにくくなっています。さらに、これらのサービスをブロックするウイルス対策ソフトはないため、指令サーバーは妨害されずにコマンドを実行することができます。

また、「MontysThree」は感染したシステム上に存在し続けるために、Windowsツールバーのクイック起動に変更を加えます。例えば、クイック起動にブラウザなど正規のアプリケーションを登録していた場合は、ブラウザを立ち上げるたびにマルウェアのモジュールを気付かずに実行することになります。

「MontysThree」のマルウェアには日常で使用するロシア語の痕跡があり、また、ディレクトリを探索する設定は、キリル文字でローカライズされたWindowsにのみ存在していました。既知のAPT攻撃グループとの関連性は特定できていません。

KasperskyのGReAT シニアセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)は、次のように述べています。「MontysThreeは産業界を標的としていること、その戦術、技術、手順(TTPs)の組み合わせに、洗練されていながらどこかアマチュアらしさがある点で興味深い脅威です。攻撃のモジュールごとに精巧さが異なり、高度なAPT攻撃で使用されるモジュールとは比べものになりません。一方で、MontysThreeには強力な暗号標準が使用されており、カスタマイズしたステガノグラフィーなど、技術に精通した部分もあります。明らかなことは、攻撃者は攻撃ツールセットの開発に多大な労力を費やしているということです。確固とした目的があり、短期間で終わる攻撃を意図したものではないと考えられます」

「MontysThree」の詳細やIoCなど詳しくは、Securelistブログ「MontysThree: Industrial espionage with steganography and a Russian accent on both sides」(英語)をご覧ください。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。