# 日本を標的としたPseudoGateキャンペーンによるSpelevo Exploit Kitを用いた攻撃について **[insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit](https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit)** Hiroki Hada 本日の記事は、SOC アナリスト 小池 倫太郎の記事です。 -- ----- Webサイトを閲覧しただけでマルウェアに感染してしまうDrive-by Download攻撃は、2017 年頃から急速に下火となっており、現在ではほとんど話題になることはありません。日本に おいても減少傾向にありましたが、Bottle Exploit Kitと呼ばれる日本のユーザのみを標的と したExploit Kit[1][2]が登場するなど、やや特殊な状況にあります。 日本を標的としたDrive-by Download攻撃キャンペーンはいくつか存在しており、ここ数年 の間で最も活発であると考えられているものはPseudoGateと呼ばれる攻撃キャンペーンで す。PseudoGateキャンペーンは2018年に存在が報告された[3]攻撃キャンペーンで、日本語 のWebサイトを用いてバンキングトロジャンを送り込みます。 PseudoGateキャンペーンはこれまでにいくつかのExploit Kitを使用してきました。登場初期 はRIG Exploit Kit[4]やGrandSoft Exploit Kit[5]を使用していましたが、その後Fallout Exploit Kit[6]に移行し、数年間攻撃を行っていました。しかし、2020年12月頃からFallout Exploit KitではなくSpelevo Exploit Kitを使用し始め、それは2021年2月でも継続しています。 Spelevo Exploit Kitは2019年3月に存在が報告された[7]Exploit Kitです。その後、HookAdsキ ャンペーン[8]やMakeMoney(あるいはMalcdnとも呼ばれる)キャンペーン[9]などで用いら れ、ShadeやMazeのようなランサムウェアやDridexやIcedIDのようなバンキングトロジャン を実行するために使用されてきました[10][11][12]。 日本においては、2019年3月にHookAdsキャンペーンで使用されたことを皮切りに、主に 2019年にSpelevo Exploit Kitを使用した攻撃が観測されていました。その後、2020年は海外 での観測報告は数件ありますが、日本国内含め、他のExploit Kitに比べて極めて目立たない 存在となっていました。 そのため、Spelevo Exploit Kitについて、これまで詳細な解析レポートが公開されたことは ほとんどありません。これまでに公開されてきたいくつかのレポートはトラフィック構造の 簡単な紹介のみがほとんどで、シェルコードの具体的な挙動などは1度も示されたことがあ りません。 そこで今回は、Spelevo Exploit Kitに移行したPseudoGateキャンペーンについて、具体的な コードを見ながら、実際にこれらがどのように攻撃が行われているのか、詳細に紹介しま す。 ## 攻撃の流れ 今回は2021年2月末に観測されたPseudoGateキャンペーンのトラフィックについて扱いま す。重要なトラフィックを抜粋した結果、攻撃は以下のような9つのトラフィックから構成 されていました。 ----- PseudoGateは広告ネットワークから誘導される、いわゆるMalvertisingキャンペーンです。 ユーザが一般のWebサイトを閲覧した際に読み込まれたWeb広告からリダイレクトを繰り返 し、最終的にPseudoGateのランディングページを読み込むことによって攻撃が行われま す。 ランディングページは日本語で、実在する料理店などの情報を記載したものです。一見する と、このWebサイトがPseudoGateキャンペーンによるものであるとは思えません。 ランディングページの中には以下のようなコードが存在しており、これによってtom.phpを 読み込みます。 tom.phpは以下のようなレスポンスを返します。これによって、さらにtom.phpに対して POSTリクエストが送信されます。そのレスポンスをPOSTリクエストで呼び出します。 ----- このときtom.phpは以下のようなデータを返します。 これはKeitaro TDSというTDS(Traffic Distribution System)で、リダイレクタとして動作し ます。その結果、Spelevo Exploit Kitのランディングページにリダイレクトが行われます。 ## Spelevo Exploit Kit Spelevo Exploit Kitは2つの脆弱性(CVE-2018-8174とCVE-2018-15982)を悪用することが 報告されていますが、PseudoGateによる攻撃ではCVE-2018-15982のみが観測されていま す。 CVE-2018-15982はAdobe Flash PlayerのRCEの脆弱性です。Adobe Flash Playerは2020年 12月31日でサポートを終了していますが、現在でも古いバージョンを使用するユーザが一 定数存在することから、CVE-2018-15982が悪用されているのだと推測されます。 Spelevo Exploit KitがCVE-2018-8174を悪用する設定だった場合でも、SWF LoaderとSWF Exploitの代わりにCVE-2018-8174を悪用するExploitコードが読み込まれるだけで、それ以 外の挙動は同じです。 まずユーザがランディングページにアクセスすると、Adobe Flash Playerの情報を取得する コードが読み込まれます。それによって、ユーザのブラウザがAdobe Flash Playerをインス トールしているか、インストールしている場合はバージョン情報が取得されます。 インストールされているAdobe Flash Playerのバージョンが21以上31.0.0.153以下であるか チェックを行います。これはCVE-2018-15982を悪用することができるか[13]確認するため です。チェックを通過した場合、iframeを用いてSWFのローダが読み込まれます。 ----- SWFのローダはシンプルなHTMLで構成されています。後に使用されるFlashVarsパラメー タの値にセットされたlinkという変数の値をチェックしておきましょう。これはマルウェア を取得する際に使用されます。こうしてSWFファイルが実行されます。 SWFはパックされています。リソースとして保存された画像ファイルのRGBデータを使っ てデータを取得し、それを動的に実行していきます。具体的には、まず2800x2800のサイズ の画像ファイルを読み込み、左上から順にRGBAデータを読み込みます。 読み込んだデータの先頭から36番目までのデータを削除し、以降のデータからアルファチャ ンネルの部分を削除します。 その後、得られたデータに対してXOR 0x22することで、データを復号します。 ----- さらに、loaderInfo.parametersを使用して、SWFが読み込まれる際に指定されたlinkパラメ ータの値を取得します。そのデータを復号後のデータの0xcceに埋め込みます。最後に、得 られたデータを動的に読み込んで実行します。 こうして実行されたデータはCVE-2018-15982を悪用するためのSWFファイルです。GitHub などで公開されている典型的なPoCと極めて類似した構造で、それらをコピーペーストして 作成されたと考えられます。 CVE-2018-15982の技術的な詳細はここでは省略しますが、Exploitに成功すると、最終的に シェルコードを実行します。シェルコードはSWF内にバイナリオブジェクトとして埋め込 まれており、先程linkパラメータの値を書き込んだエリアに存在します。つまり、シェルコ ード内にlinkパラメータを埋め込んだということです。 シェルコードはまずror9AddHash32でAPIを解決した後、先程埋め込まれたlinkパラメータの URLに対してリクエストを送信します。そのレスポンスデータは一見するとノイズだらけの 画像ファイルのように見えますが、実際にはマルウェアがエンコードされて埋め込まれてい ます。 シェルコードはレスポンスデータの0x1100からデータを読み始めます。0x1104を鍵とし て、0x1106以降のデータをXORすることで、マルウェアが得られます。 ----- ----- その後、復号したマルウェアを%TEMP%\Low以下に保存し、wmicコマンドを使用して実行 します。 最後に、マルウェアの実行に成功したことを通知するためか、再度リクエストを飛ばして Spelevo Exploit Kitによる攻撃は終了します。 ## マルウェア PseudoGateキャンペーンによって実行されるマルウェアは様々ありますが、最終的にはバ ンキングトロジャンが実行されます。過去にはRamnitやKronos、Zloaderなどが使用されま したが、昨今ではUrsnifが多用されています。また、最近ではUrsnifを単体で使用すること はなく、その前段階としてSmokeLoaderが好んで使われています。 日本を標的としたDrive-by Download攻撃は、Bottle Exploit Kitなど他にもありますが、それ らの多くがバンキングトロジャンを使用して銀行等の情報を窃取することが目的です。同一 のアクターによるものの可能性も考えられますが、日本はそうしたバンキングトロジャンを ----- 用いた攻撃に狙われる傾向があると言えます。 ## さいごに 今回はSpelevo Exploit Kitを用いたPseudoGateキャンペーンによるDrive-by Download攻撃 について、実際のコードを解析しながら攻撃の流れを詳細に紹介しました。Drive-by Download攻撃自体は下火になっていますが、現在でも根強く攻撃を行っているアクターが います。それらのうち、日本を標的とした攻撃キャンペーンは、日本語のWebサイトを用い たり、日本に特化した特徴を持つなど、より注意が必要となります。こうした攻撃は今後も 継続していくと考えられるため、引き続き警戒が必要でしょう。 また、今回Spelevo Exploit KitはAdobe Flash Playerの脆弱性を悪用しました。Adobe Flash Playerは既にサポートが終了しており、アンインストールすることが推奨[14]されていま す。さらに、Spelevo Exploit Kitは他にもCVE-2018-8174を使用することがありますが、こ れはパッチが適用されていないInternet Explorerを使用していることで攻撃に晒されます。 こうしたことから、既にサポートが終了しているAdobe Flash Playerや、最新のパッチが適 用されていないInternet Explorerの使用を中止することが強く推奨されます。 ## IOC ### Spelevo Exploit Kit 37[.]18.90.119 37[.]18.90.44 ## 参考文献 [1] [nao_sec, Say hello to Bottle Exploit Kit targeting Japan](https://nao-sec.org/2019/12/say-hello-to-bottle-exploit-kit.html) [2] [NTTセキュリティ・ジャパン, When you gaze into the Bottle,...](https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_103_koike-takai_jp.pdf) [3] アクティブディフェンス研究所, 日本を標的とした新たなDrive-by Download攻撃キャン ペーンPseudoGate [4] [NTTセキュリティ・ジャパン, RIGエクスプロイトキット解析レポート](https://www.nttsecurity.com/docs/librariesprovider3/default-document-library/jp-rigek-analysis-report) [5] [nao_sec, Analyzing GrandSoft Exploit Kit](https://nao-sec.org/2018/02/analyzing-grandsoft-exploit-kit.html) [6] [nao_sec, Hello "Fallout Exploit Kit"](https://nao-sec.org/2018/09/hello-fallout-exploit-kit.html) [7] [Twitter, @kafeine](https://twitter.com/kafeine/status/1103649040800145409) [8] [Malwarebytes, The HookAds malvertising campaign](https://blog.malwarebytes.com/cybercrime/exploits/2016/11/the-hookads-malvertising-campaign/) [9] [Twitter, @adrian__luca](https://twitter.com/adrian__luca/status/1141615568883191808) [10] [Malware-Traffic-Analysis, 2019-03-16 - Spelevo EK examples](https://www.malware-traffic-analysis.net/2019/03/16/index.html) [11] [Cisco Talos, Welcome Spelevo: New exploit kit full of old tricks](https://blog.talosintelligence.com/2019/06/spelevo-exploit-kit.html) [12] [Cybereason, Exploit Kits “Shade” Into New Territory](https://www.cybereason.com/blog/exploit-kits-shade-into-new-territory) [13] [IPA, Adobe Flash Player の脆弱性対策について(APSB18-42)(CVE-2018-15982等)](https://www.ipa.go.jp/security/ciadr/vul/20181206-adobeflashplayer.html) [14] [Adobe, Adobe Flash Playerサポート終了](https://www.adobe.com/jp/products/flashplayer/end-of-life.html) -----