航空宇宙や通信分野の企業を標的に使用されるマルウェアを調査しているセキュリティ企業Cyberreasonが、少なくとも2018年からサイバースパイ攻撃を行っている新たな攻撃者を発見しました。
ShellClientと名付けられたこのマルウェアは、これまで文書化されていなかったリモートアクセストロイの木馬(RAT)であり、ステルス性が高く、”高度に標的化されたサイバースパイ活動 “のために構築されたものです。
研究者は、ShellClientが中東、米国、ロシア、ヨーロッパのターゲットから偵察活動や機密データの窃取に使用されており、これまで未公開の攻撃者であるMalKamakによるものであるとしています。
ShellClient RATは、現在Operation GhostShellと呼ばれているサイバースパイ活動を明らかにしたインシデントレスポンスエンゲージメントの中で、7月に研究者のレポートに登場しました。
Cybereason Nocturnusチームとインシデントレスポンスチームがこのマルウェアを分析したところ、「RuntimeBroker.exe」に偽装して感染したマシン上で実行されていることが確認されました。このプロセスは、Microsoft Storeのアプリの権限管理を支援する正規のプロセスです。
Operation GhostShellに使用されたShellClientの亜種は、コンパイル日が2021年5月22日であり、バージョン4.0.1と呼ばれています。
2018年以降のShellClientの進化
研究者は、その進化が少なくとも2018年11月以降に開始されていることを発見しました。
シンプルなスタンドアロンのリバースシェルから、ステルス性のあるモジュール式のスパイツールへ進化しています
発見された6つのイテレーションごとに、このマルウェアはその機能性を高め、データ流出のための複数のプロトコルや手法(FTPクライアント、Dropboxアカウントなど)を切り替えていました。
- 2018年11月にコンパイルされた最も古い亜種 – あまり洗練されておらず、単純なリバースシェルとして動作する
- 2018年11月にコンパイルされたVariant V1 – クライアントとサーバーの両方の機能を持ち、Windows Defenderアップデートサービスとして隠れる新しいサービス永続化方法を追加
- 2018年12月にコンパイルされたVariant V2.1 – FTPおよびTelnetクライアント、AES暗号化、セルフアップデート機能を追加
- 2019年1月にコンパイルされたVariant V3.1 – 細かい修正、サーバーコンポーネントの削除
- 2021年8月にコンパイルされたVariant V4.0.0 – Costuraパッカーによるコード難読化と保護の改善、2018年から使用されているC2ドメインの削除、Dropboxクライアントの追加など、重要な変更が行われています。
Cybereasonは調査の中で、ShellClientを既知の攻撃者と結びつけるような詳細を調査し、このマルウェアはMalKamakと名付けた新たな国家グループによって運用されており、コードスタイルの重複、命名規則、テクニックなどからイランのハッカーと関係している可能性が高いと結論づけました。
既知のイラン系攻撃グループとの関連性がいくつか確認されたものの、我々の結論は、MalKamakは他の既知のイラン系攻撃グループとは異なる独自の特徴を持つ、新しく明確な活動グループであるということです – Cybereason
研究者は、MalKamakは高度に標的化されたサイバースパイ活動に重点を置いているとしており、この説は2018年以降、実世界で発見されたサンプルやテレメトリーデータの数が少ないことで裏付けられています。
さらに、一部のShellClientsサンプルで利用可能なデバッグファイルのパスは、このマルウェアが軍や諜報機関の機密プロジェクトの一部であることを示唆しています。
Cybereasonは、MalKamakの実行方法、その能力、インフラストラクチャー、興味を持っている被害者のタイプについて簡単なまとめを作成しました。
Cybereasonは、発見したShellClientのすべてのバージョンとサンプル、コマンド&コントロールサーバー、ユーザーエージェント、暗号化キー、および関連ファイルについて、侵害の指標を公開しています。
また、別のテクニカルドキュメントでは、インシデントレスポンスで発見したすべての亜種の完全な分析結果を提供しています。
調査概要
2021年7月、Cybereason Nocturnusおよびインシデント・レスポンス・チームは、主に中東の航空宇宙および通信業界を対象とし、米国、ロシア、ヨーロッパにも被害者がいる、高度に標的化されたサイバースパイ攻撃であるOperation GhostShellに対応しました。
「Operation GhostShell」は、重要な資産、組織のインフラ、技術に関する機密情報を盗むことを目的としています。調査の結果、Nocturnusチームは、これまで文書化されていなかったステルス性の高いRAT(リモートアクセストロイの木馬)「ShellClient」を発見し、これを主要なスパイツールとして使用していました。
Nocturnusチームは、ShellClient RATが少なくとも2018年から継続的に開発されており、ウイルス対策ツールを回避して検出されず、一般には知られていない状態を維持しながら、新しい機能を導入するためにいくつかの追加開発を行っていた証拠を発見しました。
ShellClientの運営者や作者の身元を調査した結果、少なくとも2018年から活動しており、これまでのところ公には知られていないMalKamakと名付けられた新しいイランの攻撃グループが確認されました。
さらに、当社の調査では、Chafer APT(APT39)やAgrius APTなど、他のイランの国家支援型APT脅威グループとのつながりの可能性を指摘しています。しかし、MalKamakは、他のイランのグループとは異なる特徴を持っていると評価しています。
主な調査結果
新たなイランの脅威アクターMalKamak
新たに発見されたMalKamakと名付けられたイランの脅威グループは、少なくとも2018年から活動しており、これまでは不明のままでした。また、調査では、Chafer APT(APT39)やAgrius APTを含む他のイランの国家支援型脅威グループとの関連性の可能性を引き出しています。
新たなShellClient RATの発見
Cybereason Nocturnusチームは、高度に標的化されたサイバースパイ活動に使用されるShellClientと名付けられた、洗練された、これまで文書化されていなかったRAT(リモートアクセストロイの木馬)を発見しました。
航空宇宙および通信会社を標的としています。遠隔測定によると、この脅威は主に中東地域で観測されていますが、航空宇宙および通信業界に焦点を当てて、米国、ロシア、ヨーロッパの組織を標的にしていることも観測されています。
2018年以降の継続的な展開 当社の調査によると、この脅威は2018年に初めて運用が開始され、それ以降は新バージョンが出るたびに機能やステルス性が追加されるなど、活発な開発が行われています。この脅威は2021年9月時点でも活動中です。
C2のためのクラウドサービスの悪用
最新のShellClientのバージョンでは、正規のネットワークトラフィックに紛れ込むことで検知されないように、コマンド&コントロール(C2)のためのクラウドベースのストレージサービス(この場合は人気のDropboxサービス)を悪用していることが確認されました。
ステルス性を重視した設計 ShellClientの開発者は、ウイルス対策ツールやその他のセキュリティ ツールによる検出を回避するために、複数の難読化技術を活用してステルス性を高めることに多大な労力を費やし、最近ではコマンド アンド コントロール(C2)用のDropboxクライアントを実装して、検出を非常に困難にしています。
Comments