特別編集号 # サイバー救急センターレポート #### - 脅威管理とインシデント対応をする人へ ### 仮想通貨を狙うサイバー攻撃の背後にある影 ###### 2019 年6 月19 日 ###### 01 ----- 特別編集号 ### サイバー救急センターレポート 特別編集号 ##### 目 次 ###### 03 はじめに 04 仮想通貨を狙う攻撃のタイムライン - HYDSEVEN の活動概要 ###### 05 攻撃の概要 - 3 つの攻撃手口「VBA マクロ」「ソフトウェアの脆弱性」「偽のインストーラ」 ###### 30 攻撃マルウェア - 2 つのマルウェア「NetWire」と「Ekoms(Mokes)」の特徴 ###### 38 C2 インフラ - 攻撃に使用される海外サーバ ###### 39 攻撃者グループの背景 - 2 つの足跡「デコイ文書ファイル」「コードサイニング証明書」 ###### 44 検出または緩和策 47 おわりに 48 Indicator-of-Compromise(IOC) サイバー救急センターレポート(以下、本文書)は、情報提供を目的としており、記述を利用した結果生じるいかなる損失についても、株式会社ラックは 責任を負いかねます。 本文書に記載された情報は初回掲載時のものであり、閲覧・提供される時点では変更されている可能性があることをご了承ください。 LAC、ラック、サイバー救急センター、サイバー119 は、株式会社ラックの商標または登録商標です。 この他、本文書に記載した会社名・製品名は各社の商標または登録商標です。 表紙、裏表紙の写真は、永安佑希允の著作物です。 本文書を引用する際は出典元を必ず明記してください。 本文書の一部または全部を著作権法が定める範囲を超えて複製・転載することを禁じます。 Ⓒ 2019 LAC Co., Ltd. All Rights Reserved. ###### 02 ----- 特別編集号 ### はじめに 昨今、仮想通貨(暗号通貨)への関心がますます高まるなか、仮想通貨を狙うサイバー攻撃も活 発に行われています。仮想通貨を狙う攻撃手法は、仮想通貨取引所から直接窃取する、仮想通貨所 有者のウォレットから窃取する、ならびにPC やサーバのリソースを不正に利用したマイニング(発掘)など があります。このように様々な攻撃がある中で、仮想通貨取引所からの仮想通貨流出は、仮想通貨自 体の信頼性や安全性にも関わる問題となり注目を集めています。サイバーセキュリティ企業のGroup-IB 社の調査[1]によれば、2017 年以降のサイバー攻撃による取引所の被害は合計8 億8 千2 百万ドルに まで拡大しているとしており、巨額の仮想通貨が不正に流出していることがわかります。2019 年になって も仮想通貨を狙う攻撃は続いており、今後も増加していくことが予想されます。 本レポートは、仮想通貨の窃取を目的とした攻撃者グループ「HYDSEVEN」の活動に関して、 2016 年から2019 年の期間に彼らが利用したTTPs(Tactics, Techniques and Procedures) を明らかにしたものです。当社で確認する限り、2019 年6 月現在でこのHYDSEVEN の活動について 言及された情報は少ないですが、日本やポーランドを含む様々な国で活動を行っていることがわかっていま す。仮想通貨を狙うHYDSEVEN への対策を考える上で、組織内や業界内での注意喚起やセキュリ ティ対策、攻撃の検知等に本レポートを役立てて頂けますと幸甚です。 サイバー救急センター 脅威分析チーム 石川 芳浩 1 [https://www.group-ib.com/media/gib-crypto-summary/](https://www.group-ib.com/media/gib-crypto-summary/) ###### 03 ----- 特別編集号 ### 仮想通貨を狙う攻撃のタイムライン 図1 は、2016 年8月から2019 年3月までに確認できた、仮想通貨を標的とする攻撃者グループ 「HYDSEVEN」の活動概要です。私どもサイバー救急センター 脅威分析チームの調査では2016 年、 2017年に多くの攻撃を確認し、2019年に入っても攻撃は継続しています。これらの攻撃の始まりの多く はスピアフィッシングメールであり、HYDSEVEN は、大学関係者または研究者を装い、特定の組織や人 に対して攻撃を行っています。Office 文書ファイルのVBA マクロの悪用、ソフトウェアの脆弱性悪用(エ クスプロイト)、リンク型スピアフィッシングによる正規ソフトウェアのインストールを偽装する手口など様々な 手段で攻撃を行います。また、HYDSEVEN は、攻撃マルウェアとして、主にNetWire と Ekoms (Mokes)を使用します。これらのマルウェアについては、第4 章で紹介し、次の第3 章では、 HYDSEVEN の攻撃手口に焦点を当て、その特徴を紹介します。 **図1** HYDSEVEN の活動タイムライン ###### 04 ----- 特別編集号 ### 攻撃の概要 HYDSEVEN は、Office 文書ファイルに埋め込んだVBA マクロ、ソフトウェアの脆弱性の悪用、 そして、正規ソフトウェアのインストーラの偽装といった3 つの攻撃手口で仮想通貨を窃取します。こ の章では、これらについて紹介します。 #### Office 文書ファイルのVBA マクロを悪用する手口 VBA マクロを悪用した攻撃は、2016 年8 月および同12 月に確認しており、図2 は、これらの時期 に行われた攻撃の流れを図示したものです。2016 年8 月の攻撃で使用されたOffice 文書ファイルは、 図3 に示すような London School of Economics and Political Science(LSE)との協業案内 またはアラブ首長国連邦(UAE)銀行の口座開設を装うものです。Office 文書ファイルを見てみると、 上部に”セキュリティの警告”のメッセージバー[2]が表示されており、VBA やアドイン等の2 種類以上のアク ティブコンテンツが含まれていることが確認できます。 **図2** VBA マクロを悪用する攻撃手口の概要図 2 [https://support.office.com/en-us/article/active-content-types-in-your-files-b7ff2e8a-4055-47d4-8c7d-541e19f62bea](https://support.office.com/en-us/article/active-content-types-in-your-files-b7ff2e8a-4055-47d4-8c7d-541e19f62bea) ###### 05 ----- 特別編集号 **図3 VBA マクロを悪用するOffice 文書ファイルの例** 図4 は、Office 文書ファイルに含まれたVBA マクロを一部抜粋したものであり、赤線枠で示すように Shell 関数[3]を利用して、図5 に示すようなPowerShell コマンドを実行します。これにより、C2 サーバか らNetWire またはEkoms(Mokes)がダウンロードされ、実行されます。 3 [https://docs.microsoft.com/ja-jp/office/vba/language/reference/user-interface-help/shell-function](https://docs.microsoft.com/ja-jp/office/vba/language/reference/user-interface-help/shell-function) ###### 06 ----- 特別編集号 ','%TEMP%/g32dc.exe');Start-P rocess '%TEMP%/g32dc.exe'; **図4 Office 文書ファイルに含まれるVBA マクロ(一部抜粋)** **図5 VBA マクロによって実行されるPowerShell コマンド例** また、VBA マクロ内には、図6 で示すようなパスワード用のランダムな文字列を作成する特徴的なコー ドが含まれています。このコードは、2011 年11 月にWeb プログラミングの開発者フォーラム (DreamInCode.net)[4]で類似するコードが公開(図7)されており、攻撃者はこの公開されたコー ドを流用した可能性が高いと考えます。 4 [https://www.dreamincode.net/forums/topic/257344-snippet-my-random-password-generator/](https://www.dreamincode.net/forums/topic/257344-snippet-my-random-password-generator/) ###### 07 ----- 特別編集号 **図6 VBA マクロに含まれるパスワード生成コード例** **図7 Web サイトに投稿されたパスワード生成コード** ###### 08 ----- 特別編集号 #### ソフトウェアの脆弱性を悪用する手口 ソフトウェアの脆弱性を悪用する攻撃は、2017 年2 月と同9 月、2019 年3 月に確認しています。 図8 は、各時期に行われた攻撃の流れを図示したものであり、それぞれ時期によって異なるソフトウェアの 脆弱性が悪用されています。 **図8 脆弱性を悪用する攻撃手口の概要図** ###### (1)2017 年2 月の事例 この時期の攻撃は、CVE-2015-2545[5]およびCVE-2016-7255[6]の脆弱性を悪用して、ユーザの PC にNetWire を感染させます。まず、この2 つの脆弱性について簡単に紹介します。 CVE-2015-2545 の脆弱性は、Microsoft Office におけるEPS ファイルの取り扱いに起因し、任意の コード実行が可能な問題です。また、CVE-2016-7255 の脆弱性は、Microsoft Windows のカーネ ルモードドライバ(win32k.sys)におけるメモリオブジェクトの取り扱いに起因し、権限昇格が可能な問 題です。 5 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2545](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2545) 6 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7255](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7255) ###### 09 ----- 特別編集号 図9 は、攻撃に使用されたOffice 文書ファイルであり、内容は、London School of Economics and Political Science(LSE)からのBanking Technology Awards への参加許可を騙るもの[7]で す。 **図9 CVE-2015-2545 およびCVE-2016-7255 を悪用するOffice 文書ファイルの例** このOffice 文書ファイルを7-ZIP を利用してファイルを確認すると、赤線枠で囲ったようにEPS ファイル (imgage1.eps)があることがわかります(図10)。このEPS ファイルには、2 つの脆弱性を悪用する コードに加えて、ペイロードとして、図11の赤線枠で示す実行ファイルNetWireが含まれています。図12 は、CVE-2016-7255 の脆弱性を悪用し、権限昇格を行うコードの一部です。 7 この他、London School of Economics and Political Science(LSE)からのAWC Awards への参加を許可することを騙る Office 文書ファイルも確認しています。 ###### 10 ----- 特別編集号 **図10 Office 文書ファイル内に含まれるEPS ファイル例** **図11 EPS ファイル内に含まれる32bit 環境のNetWire(一部抜粋)** ###### 11 ----- 特別編集号 **図12 CVE-2016-7255 の脆弱性を悪用するコード(一部抜粋)** ###### (2)2017 年9 月の事例 この時期の攻撃は、CVE-2017-0199[8]の脆弱性を悪用して、ユーザのPC にNetWire を感染させ ます。CVE-2017-0199 の脆弱性は、Microsoft OLE[9]におけるURL Moniker[10]でのHTA データの 処理に起因し、任意のコード実行が可能な問題です。 図13 は、攻撃に使用されたOffice 文書ファイルです。手前の画面がファイルを開いた際に表示される もので、奥の画面はリンクされたデータが更新された後に表示されるものです。確認する限りでは、脆弱性 悪用後にユーザに表示される画面は、可読性のあるデコイ文書ファイルではなく、バイト文字列が表示さ れるものでした。このファイルは、攻撃者が意図的に用意したものなのか、あるいは設計上のミスであるかは 不明です。 8 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199) 9 Windows の複数のアプリケーションでデータを連携し、共有を行うための技術 10 指定した URL リソースを他のコンポ―ネントでも使用できるようにするサービスを提供する COM オブジェクト ###### 12 ----- 特別編集号 **図13 CVE-2017-0199 を悪用するOffice 文書ファイルの例** このOffice 文書ファイルは、RTF 形式のファイルであり、埋め込みオブジェクト({/object キーワード) が含まれています(図14)。赤線枠内の文字列”d0 cf 11 e0 a1 b1 1a e1”は、埋め込みオブジェ クトが OLE 形式であることを示します。また、赤矢印が示す下の画面は、このOLE オブジェクトを取り出 し、一部コードを確認したものです。外部サイトからHTML アプリケーション(HTA ファイル)をダウンロー ドすることがわかります。 ###### 13 ----- 特別編集号 **図14 Office 文書ファイルに含まれるOLE オブジェクト(一部抜粋)** 次に、ダウンロードされたHTA ファイルを見ていきます。HTA ファイルは、図15 に示す通り、VBScript で作られており、コードを眺めてみると、コードの書き方や実装、変数名などに特徴があることに気が付きま す。このVBScript スクリプトは、Microsoft Word Intruder (MWI)で作成されたものです。MWI は、Microsoft Office 製品の脆弱性を悪用するファイルを作成可能なツールキットであり、ハンドルネー ム"Objekt"によってロシアで開発され、2013 年頃からアンダーグラウンド市場で販売[11]されていました。 図16 は、アンダーグラウンドのフォーラムに掲載されたMWI 販売広告の一部です。なお、MWI に CVE-2017-0199の脆弱性を悪用するコードが組み込まれたのは、2017年5月に販売されたバージョ ンからであると、proofpoint 社[12]のブログで報告されています。 11 [https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-microsoft-word-intrud](https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-microsoft-word-intruder-revealed.pdf?la=en) [er-revealed.pdf?la=en](https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-microsoft-word-intruder-revealed.pdf?la=en) 12 [https://www.proofpoint.com/us/threat-insight/post/microsoft-word-intruder-integrates-cve-2017-019](https://www.proofpoint.com/us/threat-insight/post/microsoft-word-intruder-integrates-cve-2017-0199-utilized-cobalt-group-target) [9-utilized-cobalt-group-target](https://www.proofpoint.com/us/threat-insight/post/microsoft-word-intruder-integrates-cve-2017-0199-utilized-cobalt-group-target) ###### 14 ----- 特別編集号 **図15 ダウンロードされたHTA ファイル(一部抜粋)** **図16 アンダーグラウンドのフォーラムに掲載された広告例(一部抜粋)** ###### 15 ----- 特別編集号 再度、今回の攻撃で悪用されたHTA ファイルを見ていくと、VBscript は、図15 の赤線枠に示すC2 サイトからDLL ファイルとユーザに表示させるデコイ文書ファイルをbitsadmin コマンド[13]を利用してダウン ロードし、実行することがわかります(図17)。また、システム情報、PC で利用するウイルス対策ソフトの 情報、実行中のプロセスなどの情報がBase64 でエンコードされて、図15 の青線枠に示すMWI パネル (MWISTAT)へ送信されます。図18 は、MWISTAT へ送信されたデータをBase64 デコードしたも のです。 **図17 bitsadmin コマンドを利用してC2 サーバからファイルをダウンロード** **図18 MWI パネルに送信される情報を復号した例(一部抜粋)** 13 [https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/bitsadmin](https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/bitsadmin) ###### 16 ----- 特別編集号 最後に、ダウンロードされたDLL ファイルは、図19 に示すように、C2 サーバから新たなマルウェアをダウ ンロードし、実行するダウンローダです。このダウンローダがダウンロードするマルウェアは、NetWire であるこ とを確認しました。このDLLファイルのオリジナルファイル名は、DLLファイル内でエクスポートされるエントリー 名より、”DownloaderDLL.dll”であったと考えられます(図20)。 **図19 DLL ファイルに含まれるダウンローダ機能** **図20 DLL ファイル内でエクスポートされるDLL ファイル** また、この攻撃で使用されたC2 サーバには、Ekoms(Mokes)も置かれており、この攻撃キャンペー ンとは異なる攻撃キャンペーンでも悪用されていた可能性があります。図21 は、2017 年9 月頃にC2 サーバとして悪用されたIP アドレスに置かれたマルウェアをマッピングしたもので、ハイライトしているものが、 Ekoms(Mokes)です。 ###### 17 ----- 特別編集号 **図21 2017 年9 月頃のC2 サーバに置かれたマルウェア** ###### (3)2019 年3 月の事例 この時期の攻撃は、CVE-2018-20250[14]の脆弱性を悪用して、ユーザのPC にVBScript ファイルを ドロップします。その後、VBScript ファイルによって、NetWire がダウンロードされます。 CVE-2018-20250 の脆弱性は、unacev2.dll[15]における、絶対パスの処理に起因して、パストラバー サルが可能な問題であり、攻撃者は、不正なファイルを任意のパスに配置することができます。 図22 は、攻撃に使用されたACE アーカイバをWinRAR で開いたものであり、赤線枠のようにスタート アップフォルダへの絶対パスが含まれていることが確認できます。 **図22 この脆弱性を悪用するACE アーカイバの中身** 14 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20250](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20250) 15 ACE 形式のアーカイブを解凍する際に使用されるライブラリであり、WinRAR やLhaplus などのファイル圧縮・解凍ソフトウェアで利用 されています ###### 18 ----- 特別編集号 WinRAR を利用して、このACE ファイルを解凍すると、図23 に示すCouncil on Social Work Education(CSWE)からの連絡通知の内容の文書ファイルが指定した解凍ディレクトリに作成される と同時に、スタートアップフォルダにVBScript ファイルがドロップされます。これにより、Windows 起動時に Wscript によってVBScript ファイルが実行されます。 **図23 CSWE を装うデコイ文書ファイル(一部抜粋)** 作成されたVBScriptファイルは、表1 のようなコマンド機能を実装するボットです。このVBScript ボッ トは、C2 サーバとコネクションを数回行った後、”Pr”コマンドを介して、指定されたC2 サーバから NetWire をダウンロードします。 ###### 19 ----- 特別編集号 |Col1|表1 VBScript ボットの命令を授受するコード| |---|---| |命令コマンド|説明| |d|VBScript ファイルの削除| |Pr|指定されたURL からファイルのダウンロード、実行| |Hw|OS バージョンの取得| |av|下記ウイルス対策ソフトウェアベンダの製品の有無の調査 "VIPRE","Trend Micro","Panda Security","Norton Security", "Malwarebytes", "Kaspersky Lab", "G DATA", "F-Secure", "Emsisoft Anti-Malware", "DrWeb","COMODO", "BullGuard Ltd", "Bitdefender", "Avira", "AVG", "AVAST Software", "AhnLab", "360"| このVBScript ボットは、興味深いことに、C2 サーバとのやり取りにAuthorization ヘッダを使用しま す。図24 の赤線枠のようにSetRequestHeader 関数を利用して、C2 サーバへ送信するHTTP リク エストにAuthorization ヘッダを付与し、GetResponseHeader 関数を利用してC2 サーバからの HTTP レスポンスに含まれるAuthorization ヘッダを取得していることが確認できます。また、青線枠の2 つの関数は、Authorization ヘッダのパラメータ値をBase64 エンコードおよびデコードします。 **図24 C2 サーバへのリクエストを送信する関数** ###### 20 ----- 特別編集号 図25 は、C2 サーバから”av”コマンドを受信し、VBScript ボットがC2 サーバへコマンド結果を送信す る際のHTTP リクエストおよびレスポンスです。赤矢印先の文字列は、Authorization ヘッダのパラメータ 値をBase64 デコードしたものです。デコード結果に含まれるID は、感染端末固有の識別子であり、コン ピュータ名、プロセスID、ユーザ名を組み合わせて計算した値です。なお、この攻撃については、2019 年 3 月のFireEye 社のブログでも報告[16]されています。 ID:85000080af0e, AV:Not found ok ok **図25 C2 サーバへのリクエストおよびレスポンス** 16 [https://www.fireeye.com/blog/threat-research/2019/03/winrar-zero-day-abused-in-multiple-campaigns.html](https://www.fireeye.com/blog/threat-research/2019/03/winrar-zero-day-abused-in-multiple-campaigns.html) ###### 21 ID:85000080af0e, AV:Not found ok ok ----- 特別編集号 #### 正規ソフトウェアのインストーラを偽装する手口 リンク型スピアフィッシングによる正規ソフトウェアのインストーラを偽装する攻撃は、2016 年11 月、 2017 年10 月、2019 年2 月に当センターで確認しています。これらの攻撃では、偽のインストーラとし て、Vast Conference 社が提供するWeb ミーティングソフトウェア(WebMeeting)または StataCorp 社が提供する統計分析ソフトウェア(Stata)が悪用されています。図26 は、これら偽のイ ンストーラを使用した攻撃の流れを図示したものです。 **図26 正規ソフトウェアのインストーラを偽装する攻撃手口の概要図** ###### (1)2016 年11 月および2019 月2 月の事例 これらの時期の攻撃は、リンク型スピアフィッシングを使用して、偽の統計分析ソフトウェアのインストーラ をダウンロードさせます。メール本文には、海外の大学の正規Web サイトから偽のインストーラをダウンロー ドさせるURL が3 種類の OS(Windows, MacOS, Linux)に応じて含まれています。HYDSEVEN は、大学のWeb サーバを攻撃の踏み台として悪用するために、何らかの方法で侵害し、サーバ管理者が 意図しないファイルを設置したと考えられます。以降では、2019 年2 月の事例で確認したWindows ###### 22 ----- 特別編集号 環境の偽のインストーラを使用した攻撃を紹介します。なお、2016 年11 月の攻撃については、Exatel 社が2016 年12 月に関連事象をレポートで報告[17]しています。 図27 は、偽の統計分析ソフトウェアのインストーラと正規のStataCorp 社が提供する統計分析ソフ トウェアのコードサイニング証明書を確認したものです。偽の統計分析ソフトウェアには、正規ソフトウェアの 署名とは異なる、”SANJ CONSULTING LTD”という会社の署名が付与されていることが確認できま す。 **図27 統計分析ソフトウェアのコードサイニング証明書の確認(上: 偽 /下:正規)** 図28 は、正規の統計分析ソフトウェアと偽の統計分析ソフトウェアのインストーラを実行後に作成され たファイルの比較です。両方のフォルダに存在する、”StataSE-64.exe”が正規の統計分析ソフトウェア のプログラムです。偽のインストーラによって展開された左側の画面のディレクトリには、右側のディレクトリに 17 [https://exatel.pl/paranoicy/](https://exatel.pl/paranoicy/) ###### 23 ----- 特別編集号 は存在しない、赤線枠の実行ファイルや青線枠の正規DLL ファイル(Qt[18]ライブラリやSSL ライブラリなど) が存在することが確認できます。この中の赤線枠の実行ファイルがマルウェアであり、偽の統計分析インス トーラを実行した際に、実行されます。 **図28 インストーラによって作成されたファイルの確認(左: 偽 /右:正規)** それでは、偽の統計分析インストーラによって作成された”StataSE.exe”を見ていきます。図29 に示 すように、この実行ファイルは、マルチプラットフォームに対応したフレームワークであるQt を使用して作成さ れたダウンローダです。表向きは、青線枠の正規の統計分析ソフトウェアを実行していますが、裏側では、 ダウンローダの機能として、赤線枠のC2 サーバからNetWire やEkoms(Mokes)などをダウンロード し、実行します。 18 [https://www.qt.io/developers/](https://www.qt.io/developers/) ###### 24 ----- 特別編集号 **図29 ”StataSE.exe”に含まれるダウンローダ機能(一部抜粋)** 最後に、このダウンローダに含まれる仮想環境を検知するコードを紹介します。ダウンローダには、図30 に示すような、EnumDisplayDevicesW 関数[19]を利用してディスプレイデバイスの名前を取得し、ディス プレイデバイスに”VMware”, “VirtualBox”, “Parallels”といった文字列が含まれているかどうか確認 するコードが含まれています。該当のソフトウェアで作成された仮想環境上でダウンローダを実行した場合 は、図31 のようなアラートボックスが表示され、プログラムはエラー終了します。 **図30 VMware 環境を検知するコード(一部抜粋)** 19 [https://docs.microsoft.com/en-us/windows/desktop/api/winuser/nf-winuser-enumdisplaydevicesa](https://docs.microsoft.com/en-us/windows/desktop/api/winuser/nf-winuser-enumdisplaydevicesa) ###### 25 ----- 特別編集号 **図31 ダウンローダを仮想環境上で実行した際に表示されるアラート** ###### (2)2017 年10 月の事例 この時期の攻撃も、上記の事例と同じリンク型スピアフィッシングを使用して、海外の大学の正規Web サイトからOS に応じた偽のソフトウェアをダウンロードさせます。ダウンロードするソフトウェアは異なり、Vast Conference 社が提供するWeb ミーティングソフトウェアが悪用されています。以降では、MacOS 環境 の偽のインストーラを使用した攻撃を紹介します。 図32 は、偽のWebMeeting パッケージと正規のVast Conference 社が提供するWebMeeting パッケージのコードサイニング証明書の有無を確認したものです。偽のWebMeeting にはコードサイニング 証明書が含まれていないことがわかります。さらに、パッケージに含まれるアプリケーション (WebMeeting.app)についても同様に確認すると、偽のWebMeetingにはコードサイニング証明書 が含まれていないことがわかります(図33) **図32 WebMeeting パッケージのコードサイニング証明書の確認(上: 偽 /下:正規)** ###### 26 ----- 特別編集号 **図33 WebMeeting.app のコードサイニング証明書の確認(上: 偽 /下:正規)** 図34 は、インストールされたWebMeeting.app の中身を比較したものです。偽のアプリケーションに は、正規のパッケージに含まれていない、WebMeeting.run、app.new やNW.js[20]関連のアプリケー ションやライブラリなどが含まれています。 **図34 インストーラによって作成されたファイルの確認(左: 偽 /右:正規)** 20 [https://nwjs.io](https://nwjs.io/) ###### 27 ----- 特別編集号 この偽パッケージからインストールされたWebMeeting.app とWebMeeting.run を見ていきます。ま ず、WebMeeting.app は、図35 の赤線枠に示すように、curl コマンドを利用して、C2 サーバから NetWire やEkoms (Mokes )をダウンロードし、実行するダウンローダです。また、 WebMeeting.app には、図37 の青線枠に示すように、WebMeeting.run を実行するコードも含ま れており、マルウェアのダウンロードと並行して実行されます。 **図35 WebMeeting.app のダウンローダ機能(一部抜粋)** また、WebMeeting.run は、NW.js で作られたアプリケーションであり、Resources フォルダ下にある、 app.nw ファイルを読み込み、WebMeeting に参加するためのログイン画面にアクセスします(図36)。 app.nw ファイルは、main.html とpackage.json が含まれたZIP ファイルであり、これらファイルの内容 は図37 に示すとおりです。WebMeeting に参加するためのURL が含まれていることが確認できます。 **図36 Webmeeting のログイン画面** ###### 28 ----- 特別編集号 **図37 app.nw ファイルに含まれるコンテンツ (上:main.html /下: package.json)** 最後に、このダウンローダに含まれる仮想環境を検知するコードを紹介します。先に紹介した統計分析 ソフトウェアのケースとほぼ同等のコードが含まれており、今回のケースでは、VMware, Parallels を検知 する仕組みが組み込まれています。これらの仮想環境でダウンローダを実行した場合は、図38 のようなア ラートボックスが表示されます。このアラートボックスに表示されている内容は、統計分析ソフトウェアのケー スと同じ内容です。 **図38 実行エラーのアラートボックスの確認** ###### 29 ----- 特別編集号 ### 攻撃マルウェア HYDSEVEN は、主な攻撃マルウェアとして、NetWire とEkoms(Mokes)を攻撃活動で使用し ます。ここでは、この2 つのマルウェアの特徴について紹介します。 #### NetWire について ダウンローダによって、ダウンロードされたファイルの1 つはWorld Wired Labs 社が販売する NetWire[21]と呼ばれるRAT(Remote Administration Tools)です(図39)。NetWire は、 Windows, Linux, MacOS などのマルチプラットフォームに対応し、リモートから管理するためのリモート シェル、ファイル操作、キーロギングなど様々な機能[22]が実装されています。また、NetWire は、多機能で 一般に販売されていることもあり、攻撃者に悪用されるケースも多く、一例として、イラン政府の関与が疑 われる攻撃者グループAPT33[23]や金融機関をターゲットとする攻撃者グループCarbanak[24]がサイバー 犯罪で悪用していることが報告FireEye 社とproofpoint 社より報告されています。 **図39 World Wired Labs 社が販売するNetWire のWeb サイト** 21 [https://www.worldwiredlabs.com/](https://www.worldwiredlabs.com/) 22 [http://www.worldwiredlabs.com/documents/NetWire%20User%20Manual.pdf](http://www.worldwiredlabs.com/documents/NetWire%20User%20Manual.pdf) 23 [https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.h](https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html) [tml](https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html) 24 [https://www.proofpoint.com/us/threat-insight/post/carbanak-cybercrime-group-targets-executives-of-](https://www.proofpoint.com/us/threat-insight/post/carbanak-cybercrime-group-targets-executives-of-financial-organizations-in-middle-east) [financial-organizations-in-middle-east](https://www.proofpoint.com/us/threat-insight/post/carbanak-cybercrime-group-targets-executives-of-financial-organizations-in-middle-east) ###### 30 ----- 特別編集号 HYDSEVEN もWindows 版, Linux 版, MacOS 版で作られたNetWire を攻撃で悪用していま す。しかし、この攻撃で使われたNetWire は、商用版のNetWire と比べいくつか異なる機能が含まれて いるため、ここでは、このカスタマイズされたNetWire のいくつかの特徴を紹介します。 ###### (1)RC4 暗号鍵(Windows 版、Linux 版、MacOS 版) カスタマイズされたNetWire は、 共通して”hyd7u5jdi8”というRC4 暗号鍵を持っています(図 40)。この暗号鍵は、NetWire 内に含まれるRC4 で暗号化された一部のファイル名、変数名や WindowAPI 名などを復号するために利用します。 SHFileOperationW %Rand% **図40 RC4 暗号鍵”hyd7u5jdi8”(上:Windows 版 /下:Linux 版)** ###### 31 SHFileOperationW ----- 特別編集号 ###### (2)NetWire バージョン(Windows 版、Linux 版、MacOS 版) NetWire は、機能を追加するごとにバージョンアップが行われ、最新バージョンはv2.0[25]です。 NetWireのバージョン情報は、ファイル内に含まれており、図41は、商用版のv1.6a(0x1066100) とv1.7a(0x1076100)を表したものです。一方で、カスタマイズされたNetWire にもバージョン情報 が含まれており、図42 に示すようにv1.0?(0x1000100)となっています。このバージョンのNetWire は、2012 年にリリースされた商用版のNetWire v1.0 とは、比較できていませんが、商用版のv1.2 や v1.4などの過去バージョンと比較しても、機能の実装が異なるため、カスタマイズされたNetWireであると 考えます。また、カスタマイズされたNetWire の設定情報サイズの多くは0x468 バイト[26]であり、表2 に 示すような情報が含まれ、この情報を元に動作します。 **図41 商用版のNetWire バージョンの比較(左: v1.6a/右: v1.7a)** **図42 カスタマイズされたNetWire のバージョン(左: Windows 版 /右:MacOS 版)** 25 [https://www.worldwiredlabs.com/announcement-netwire-v2-0/](https://www.worldwiredlabs.com/announcement-netwire-v2-0/) 26 MacOS 版の設定情報のサイズは異なり、0x3D4 バイトや0x3E4 バイト等のものを確認しています。 ###### 32 ----- 特別編集号 **表2 設定情報の一覧(Windows 版)** **オフセット** **説明** 0x000 通信先 0x100 プロキシ設定 0x200 パスワード(AES 暗号鍵シード) 0x224 設定情報のRC4 暗号鍵" 0x238 ホストID 0x24C グループID 0x260 Mutex 名 0x280 インストールパス 0x320 スタートアップのキー名1 0x360 スタートアップのキー名2(UUID) 0x3A0 キーログのディレクトリ 0x424 判定フラグ 0x440 ファイルのタイムスタンプ設定 0x464 接続待機時間 ###### (3)PowerCat (Windows 版) カスタマイズされたNetWire には、オープンソースで公開されるPowercat[27]と呼ばれるネットワークツー ルが組み込まれています。図43 は、NetWire に含まれるPowercat とgithub で公開されている Powercat のコードを一部比較したもので、同一であることが確認できます。また、図44 は、Powercat を実行するバッチファイルであり、ローカルポート4000/tcp を利用して、C2 サーバにコネクトバックするコマ ンドが含まれていることも確認できます。 27 [https://github.com/besimorhino/powercat](https://github.com/besimorhino/powercat) ###### 33 |オフセット|説明| |---|---| |0x000|通信先| |0x100|プロキシ設定| |0x200|パスワード(AES 暗号鍵シード)| |0x224|設定情報のRC4 暗号鍵"| |0x238|ホストID| |0x24C|グループID| |0x260|Mutex 名| |0x280|インストールパス| |0x320|スタートアップのキー名1| |0x360|スタートアップのキー名2(UUID)| |0x3A0|キーログのディレクトリ| |0x424|判定フラグ| |0x440|ファイルのタイムスタンプ設定| |0x464|接続待機時間| ----- 特別編集号 **図43 Powercat の一部コード比較(上:Netwire に含まれるコード /下: github のコード)** **図44 バッチファイルによるPowercat の実行** ###### 34 ----- 特別編集号 ###### (4)コマンドプロンプトの文字コード(Windows 版) カスタマイズされたNetWire は、C2 サーバからの命令により、コマンドプロンプト(cmd.exe)を実行 する場合、文字エンコードにUTF-8(chcp 65001)を指定して実行します(図45)。商用版の v1.6 と比較すると、このバージョンでは、コマンドプロンプト実行時の引数に”chcp 65001”が指定されて いることがわかります。攻撃者は、表示するコマンドプロンプトの文字コードUTF-8 とすることで、ユーザ環 境の文字コードに依存せずにコマンドプロンプトを操作することが目的だと考えられます。 **図45 コマンドプロンプト実行時の文字エンコードの比較(上: カスタマイズ版 /下:商用版)** ###### (5)C2 通信(Windows 版、Linux 版、MacOS 版) カスタマイズされたNetWire は、C2 サーバとやり取りする通信パケットが商用版のものとは異なります。 図46 は、クライアントからC2 サーバへ送信する初期通信パケットを比較したものです。各枠線は、図47 に示す意味を持ちます。 **図46 C2 サーバへ送信する初期通信パケットの比較(上: カスタマイズ版 /下:商用版** **(v1.6a))** ###### 35 ----- 特別編集号 **図47 C2 サーバへ送信する初期通信パケットの枠線の説明** カスタマイズされたNetWire では、先頭1 バイト目にパケット長ではなく、命令コマンド(0x7f)が含まれ ています。この値は、XOR 演算(暗号鍵:0x7c)で暗号化されており、復号すると商用版と同じ命令 コマンド”0x03”[28]となります。また、C2 サーバからクライアントへ送信されるパケットの命令コマンドも異なる XOR 演算(暗号鍵:0x0FFFFFFE3h)で暗号化されています(図48)。加えて、カスタマイズされ たNetWire では、商用版では送信されていない、OS 環境固有の識別子と思われるデータを送信します。 その他、NetWire のC2 通信の特徴については、Paloalto 社のブログ[29]で詳しく説明されていますので、 そちらをご参照ください。 **図48 命令コマンドのXOR 演算(左: エンコード /下:デコード)** 28 NetWire バージョン1.7a では、0x03 ではなく0x99 がパラメータとして送信されます 29 [https://unit42.paloaltonetworks.com/new-release-decrypting-netwire-c2-traffic/](https://unit42.paloaltonetworks.com/new-release-decrypting-netwire-c2-traffic/) ###### 36 ----- 特別編集号 #### Ekoms(Mokes)について ダウンローダによって、ダウンロードされたもう1つのファイルはEkoms(Mokes)と呼ばれるマルウェアで す。Ekoms(Mokes)は、キーボード入力や音声データのロギング、画面キャプチャの取得などの機能 を持つボットであり、Qt で開発されています。Ekoms と呼ばれる所以は、攻撃者がプログラムを作成する 際に利用したと見られるプロジェクト名にEkoms という名前が含まれており、そこから命名されたと考えま す。図49 は、攻撃で確認したEkoms に含まれるプロジェクト名です。 **図49 マルウェアに含まれるプロジェクト名(一例)** HYDSEVEN が攻撃で使うEkoms は、Windows, Linux, MacOS 環境で動作するものを確認 しており、ほとんどのものがUPX[30]で圧縮されています。攻撃を調査する中で、Ekoms については、2016 年1 月のカスペルスキー社のブログ[31]や同じ時期のDr.Web 社のWeb サイト[32] [33]で報告するものと関連 性があり、マルウェアの機能にも差異がないことがわかりました。Ekoms の機能については、2 社のベンダが 詳細に解析していますので、これらのブログ等をご参照ください。 30 [https://upx.github.io/](https://upx.github.io/) 31 [https://securelist.com/from-linux-to-windows-new-family-of-cross-platform-desktop-backdoors-discov](https://securelist.com/from-linux-to-windows-new-family-of-cross-platform-desktop-backdoors-discovered/73503/) [ered/73503/](https://securelist.com/from-linux-to-windows-new-family-of-cross-platform-desktop-backdoors-discovered/73503/) 32 [https://vms.drweb.co.jp/virus/?i=7924647](https://vms.drweb.co.jp/virus/?i=7924647) 33 [https://vms.drweb.co.jp/virus/?i=7938142](https://vms.drweb.co.jp/virus/?i=7938142) ###### 37 ----- 特別編集号 ### C2 インフラ ここでは、HYDSEVEN が使用するマルウェアのC2 サーバに着目します。C2 サーバの多くは、海外のホ スティングサーバが悪用されており、その多くはドメインを取得せず、IP アドレスで運用されていました。図 50 は、HYDSEVEN が頻繁に利用していた3 つのホスティングサーバ(OVH、23media GmbH、 Leaseweb Deutschland GmbH)とマルウェアの関連性を示したものです。なお、2019 年に確認し ている攻撃では、23media GmbH で管理するIP アドレスがC2 サーバとして悪用されています。 **図50 マルウェアの通信先(一部抜粋)** ###### 38 ----- 特別編集号 ### 攻撃者グループの背景 一連の攻撃を調査する中で、HYDSEVEN の足跡と思われるいくつかの目印を見つけました。この目 印が、自身を偽装して身元を隠すための意図的な工作(偽旗)なのか、あるいはミスなのかは現時点 では明確にできていません。ここでは、HYDSEVEN が残した、デコイ文書ファイルとコードサイニング証明 書に含まれる2 つの足跡を紹介します。 #### デコイ文書ファイル 図51 は、第3 章の攻撃の概要で説明したVBA マクロを悪用する攻撃で使われたOffice 文書 ファ イルの1 つです。赤線枠のように文書ファイル内の言語設定が”ロシア語”となっていることが確認できます。 Exiftool[34]を利用して文書ファイル内に含まれる”Language Code”や”Code Page”を確認してもロシ ア語(キリル文字)が含まれていることがわかります。 **図51 Office 文書ファイルに含まれる言語情報(上: 言語情報 /下:Exiftool の結果)** 34 [https://www.sno.phy.queensu.ca/~phil/exiftool/](https://www.sno.phy.queensu.ca/~phil/exiftool/) ###### 39 ----- 特別編集号 他の攻撃で使われたOffice 文書ファイルでも”ロシア語”が一部含まれており、図52 に示すように、文 字列の部分は言語設定が”英語(米国)”ですが、空白部分は”ロシア語”です。また、図52 のOffice 文 書ファイルのプロパティを確認すると、会社名に”Grizli777”という文字が含まれています。(図53)この 文字列は、海賊版のOffice 製品を利用した場合に含まれ、ロシアやルーマニアで利用されていると Florian Wagner 氏がTwitter で報告[35]しています。 **図52 Office 文書ファイルの言語情報(左: 英語/右:ロシア語)** **図53 Office 文書ファイルのプロパティに含まれる文字列”Grizli777”** 35 [https://twitter.com/_fl01/status/743226251373060097](https://twitter.com/_fl01/status/743226251373060097) ###### 40 ----- 特別編集号 #### コードサイニング証明書 HYDSEVEN は、マルウェアにコードサイニング証明書を付与し、攻撃で使用します。この目的は、正 規のソフトウェアに見せかけ、セキュリティ製品による検知回避です。攻撃者がコードサイニング証明書を取 得するためには、以下のような方法が考えられます。 1. 正規のソフトウェア開発会社からコードサイニング用の秘密鍵と証明書を窃取する 2. アンダーグラウンドのフォーラムなどからコードサイニング証明書を購入する 3. 架空の会社を設立または正規の会社と手を組み正規手続きを踏んで認証局からコードサイニ ング 証明書を発行してもらう 図54 は、2016 年8 月ごろから2017 年9 月ごろまでの間の攻撃で悪用されたコードサイニング証 明書です。証明書のサブジェクト内に含まれる情報を確認すると、ロシアの会社名や住所が登録されてい ることがわかります。さらに、赤線枠の会社の登録情報をNalog.io[36]で確認すると、2010 年1 月[37]に設 立された家庭用機器の小売販売会社だとわかります(図55)。また、登録された住所をGoogle マッ プで調査すると、図56 のような住宅街にある一軒家であることがわかりました。このことから、このコードサイ ニング証明書については、正規のソフトウェア会社から窃取したのではなく、”2.”か”3.”の方法で取得され た可能性が高いと考えます。 **図54 コードサイニング証明書のサブジェクトの確認** 36 [https://en.nalog.io](https://en.nalog.io/) 37 ロシア連邦法(08.08.2001 №129-ФЗ)に違反していたため2017 年8 月2 日に倒産 ###### 41 ----- 特別編集号 **図55 コードサイニング証明書のSilva, LLC の会社情報(一部抜粋)** **図56 コードサイニング証明書に登録された住所(Google Maps の検索結果より引用)** ###### 42 ----- 特別編集号 図54 の他にも悪用されたコードサイニング証明書は複数あり、表3 は、攻撃で使用されたマルウェアに 付与された、いくつかのコードサイニング証明書をまとめたものです。 **表3 マルウェアに付与されたコードサイニング証明書(一部抜粋)** **ハッシュ値** **マルウェア** **コードサイニング(名前)** b04e7cba062e23c9bbcc3b8ba38ab4da NetWire Younty Ltd ca584961b8292d3d075b57994883572a Downloader 80aa2d0c8c05a78487b85013c43c2143 NetWire Silva, LLC 3d9a8ad7ae2bf9d4e4bd6381438d2b0c NetWire Megaprom, OOO f08d3083c19320e2202128802b7ff306 Downloader f84d985b94e31c04b6823af150f0b96f NetWire ASRA Solutions Ltd a549d7ca2deb4aa7f7ce46efa1295e76 NetWire Issledovaniya i razrabotka 91099aa413722d22aa50f85794ee386e Ekoms 12def981952667740eb06ee91168e643 NetWire SANJ CONSULTING LTD a5cbda7bb3864626d6251f3a8cd09cb7 Downloader NNM Dev LLC ab235de113ee97926fb15eeaac555490 Ekoms SoftVision Development GmbH 最後に、HYDSEVEN の足跡とまではいえないものの、興味深い点を紹介します。HYDSEVEN は、 第3章で紹介したように攻撃手口の1 つとして、正規ソフトウェアのインストーラを偽装する攻撃を行いま す。この攻撃手口は、2018 年8 月にKaspersky Lab 社がレポートで報告[38]しているLazarus の手 口と類似する点が数多くあります。例えば、仮想通貨の窃取、リンク型スピアフィッシング攻撃、正規ソフト を偽装したインストーラの悪用、MacOS の悪用などが挙げられますが、最終的に攻撃に悪用する際のマ ルウェアは異なります。HYDSEVEN は、NetWire やEkoms といったマルウェアを使用しますが、今まで Lazarus がこのようなマルウェアを使用してきたという報告は確認できていません。あくまで推測の域を出な いものの、偽旗としてLazarusや類似の攻撃手口を利用する他の攻撃者グループの犯行に見せかけよう としている可能性も考えられます。 38 [https://securelist.com/operation-applejeus/87553/](https://securelist.com/operation-applejeus/87553/) ###### 43 |ハッシュ値|マルウェア|コードサイニング(名前)| |---|---|---| |b04e7cba062e23c9bbcc3b8ba38ab4da ca584961b8292d3d075b57994883572a|NetWire Downloader|Younty Ltd| |80aa2d0c8c05a78487b85013c43c2143|NetWire|Silva, LLC| |3d9a8ad7ae2bf9d4e4bd6381438d2b0c f08d3083c19320e2202128802b7ff306|NetWire Downloader|Megaprom, OOO| |f84d985b94e31c04b6823af150f0b96f|NetWire|ASRA Solutions Ltd| |a549d7ca2deb4aa7f7ce46efa1295e76 91099aa413722d22aa50f85794ee386e|NetWire Ekoms|Issledovaniya i razrabotka| |12def981952667740eb06ee91168e643|NetWire|SANJ CONSULTING LTD| |a5cbda7bb3864626d6251f3a8cd09cb7|Downloader|NNM Dev LLC| |ab235de113ee97926fb15eeaac555490|Ekoms|SoftVision Development GmbH| ----- 特別編集号 ### 検出または緩和策 #### 攻撃手口について 攻撃にはスピアフィッシングメールが使用され、Office 文書ファイルに埋め込んだVBA マクロ、ソフトウェ アの脆弱性の悪用、正規ソフトウェアのインストーラを偽装といった攻撃手口が使われます。基本的なセ キュリティ対策として、"怪しげなメールに含まれる添付ファイルやURL は不用意に開かない"、”不用意に マクロを有効化しない”、"OS やOffice 製品、Web ブラウザなどを常に最新の状態する"ことを改めて注 意することを推奨します。また、正規ソフトウェアのインストーラを偽装する手口については、Sigcheck[39] ツール(Windows 環境)やcodesign コマンド(MacOS 環境)などを利用してアプリケーションに含 まれたコードサイニング署名の有無を確認し、コードサイニング証明書が含まれていない場合は、ハッシュ 値が本当に正規なソフトウェアなものか調べる、コードサイニング証明書が含まれる場合は、利用するソフ トウェアベンダが署名したコードサイニング証明書の有効期限が失効していないか調べるなど、ファイルを実 行する前に立ち止まってもう一度再確認してみることを推奨します。 #### 攻撃マルウェアについて 攻撃マルウェアとして使用されるNetWire とEkoms(Mokes)は、OS 環境に応じて、以下のファイ ルパスにファイルを作成し、実行します。なお、作成されるファイル名は実行環境によって異なる可能性が あるため、該当のディレクトリに不審な実行ファイルがあった場合は、ハッシュ値をVirusTotal[40]などのサー ビスを利用して正規のファイルか調査することを推奨します。また、マルウェアを自動実行するためのエント リーが各OS 環境に応じて登録されます。 ###### (1)NetWire Windows 環境の場合 - %APPDATA%/adobe/colorprofiler.exe - %APPDATA%/ati/ace.exe 39 [https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck](https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck) 40 [https://www.virustotal.com/gui/home](https://www.virustotal.com/gui/home) ###### 44 ----- 特別編集号 - %APPDATA%/AMD/OGLCache.exe - %APPDATA%/intel/icls.exe - %APPDATA%/Java/JavaBeem.exe - %APPDATA%/Java/javad.exe - %APPDATA%/Java/jschedu.exe - %APPDATA%/Macromedia/flashupd.exe - %APPDATA%/Sun/Java/Deployment/jvmgr.exe - %APPDATA%/Sun/Java/Deployment/jvsgr.exe - %APPDATA%/Sun/Java/Deployment/jvm.exe - %APPDATA%/vlc/MediaDecoder.exe - %APPDATA%Unity/Prefs.exe 自動実行 キー:HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 値:上記の実行ファイルパス MacOS 環境の場合 - $HOME/.defaults/Finder.app/Contents/MacOS/Finder 自動実行 $HOME/Library/LaunchAgents/com.mac.host.plist=$HOME/.defaults/Finder.app/C ontents/MacOS/Finder ###### (2)Ekoms(Mokes) Windows 環境の場合 - %APPDATA%/Skype/SkypeHelper.exe - %APPDATA%/Dropbox/bin/DropboxHelper.exe - %APPDATA%/Google/Chrome/nacl32.exe - %APPDATA%/Google/Chrome/nacl64.exe - %APPDATA%/Mozilla/Firefox/mozillacache.exe - %APPDATA%/Adobe/Acrobat/AcroBroker.exe - %APPDATA%/Hewlett-Packard/hpqcore.exe - %APPDATA%/Hewlett-Packard/hpprint.exe - %APPDATA%/Hewlett-Packard/hpscan.exe ###### 45 ----- 特別編集号 自動実行 キー:HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 値:<上記の実行ファイルパス> MacOS 環境の場合 - $HOME/Library/App Store/storeuserd - $HOME/Library/App Store/storeaccountd - $HOME/Library/com.apple.spotlight/SpotlightHelper - $HOME/Library/com.apple.spotlight/Spotlightd - $HOME/Library/Dock/com.apple.dock.cache - $HOME/Library/Skype/SkypeHelper - $HOME/Library/Skype/soagent - $HOME/Library/Dropbox/DropboxCache - $HOME/Library/Dropbox/quicklookd - $HOME/Library/Google/Chrome/nacld - $HOME/Library/Google/Chrome/accountd - $HOME/Library/Firefox/Profiles/profiled - $HOME/Library/Firefox/Profiles/trustd 自動実行 $HOME/Library/LaunchAgents/<ファイル名>.plist = <上記の実行ファイルパス> Linux 環境の場合 - $HOME/$DATA/.mozilla/firefox/profiled[41] - $HOME/$DATA/.dropbox/DropboxCache 自動実行 $HOME/.config/autostart/profiled.desktop $HOME/.config/autostart/DropboxCache.desktop 41 $DATA は、 QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation) ###### 46 ----- 特別編集号 ### おわりに このように、見てきたようにHYDSEVEN による攻撃は、巧妙でセキュリティ対策や監視を回避しなから 仮想通貨の窃取を試みます。攻撃手口も、Office 文書ファイルに埋め込んだVBA マクロ、ソフトウェアの 脆弱性の悪用、正規ソフトウェアのインストーラの偽装など複数併用しており、使用するマルウェアもマルチ プラットフォームに対応されているなど、HYDSEVEN は、様々なテクニックを取り入れ、現在も活発に活動 しています。今回、こうした攻撃者による攻撃の発見と被害抑止などの今後の対策の検討に役立ててい ただくため、本レポートを作成しました。 昨今、国内外での仮想通貨市場の急成長とともに、仮想通貨の普及に伴って大小様々な仮想通貨 取引所が乱立しています。攻撃者にとって、大量の仮想通貨を扱う取引所は格好の標的であり、仮想 通貨取引所を狙ったサイバー攻撃は、今後ますます増加することが予想されます。このような状況の中で、 当社は、HYDSEVEN による攻撃を引き続き調査し、広く情報を提供していきたいと考えていますので、 ご活用いただければ幸いです。 ###### 47 ----- 特別編集号 ### Indicator-of-Compromise(IOC) - ハッシュ値(MD5) **NetWire** 0f83e147217c156b7ab66a26cf865827 12def981952667740eb06ee91168e643 2e4d861bdb438c9b3a3d6658d40d07b2 32f30ef97554b4e5993152252e57e86c 3d9a8ad7ae2bf9d4e4bd6381438d2b0c 58cf773d2eb957d48b931079b9c087dd 796e62cc921af203c2dae93159f93f70 80aa2d0c8c05a78487b85013c43c2143 8ffa073c1d4860ec5ac05b53998b421d a19829fed00d46c91d81f203fe9cb6c5 a20bb703d44d5717feb76fb36f571aea a2480c9d205e90432daf4586809f3755 a24aef033e061d358579250c6fed8e32 a26ef7c2b718f2b13240f6f9cf91c693 a2d60db7db42adc8c3ab87b3dd244777 a3ce918d207e725f89683cc2c768b454 a3e4801aa871f4e165bbd760333237b8 a4d1098a0c18c147e0b1bfa53cf6dd88 a4f27cd95be3ae069b285648c568f5ea a502134c8f4b1d9a055375d79acfa9a9 a5462407c447351788ef9ac5bae52c9d a549d7ca2deb4aa7f7ce46efa1295e76 a5838df9164d968b40fc5e2140c5ac99 a59252c2d3143dca47fb7e14d1b13d33 a63de560893500588a313e502be3efd2 a650ccb18450dff911365aa830d1ecb9 a6f3379cdf41f1cdf11ee071e3e40854 a6f8ae86cf8725e16193e0fab0483c2c a8d7582d9f7e9c2c8631351837817f2d a8ebaefd17089cce9efb8749926dca6d a99a4d2a2cbc10f07d2bbcf0c1c91d0c a9a32cd4275138e6ff9e3b1912b1163b aa6cc819f92f26782194369096c02837 aad72111d8d41e2edc0ab4e96613aa70 aadb3437d9c0ede00b9a0672b7bfd0e1 ab28a1d4fbe377f4b08c40bbd96e7a51 ab29919492a0cddabfe2d75c4d42d00d ab373d32f290e6928446f7f94e616c38 abd9e42eb48a10ac1990fdfb03bd09a8 acd18d845812ac288016c9610d1c9c39 acf159e78dce7c5095640030a5a0d6d2 ad836caa03a5f1df34d9131922ffa495 ad9fa32f08638897fe126db894aa8260 afab14af38d50262b13a95e10cd7bba8 afdc898cf874b74e68280185867250f9 b04e7cba062e23c9bbcc3b8ba38ab4da b157c08db89d194eaa73c0723cf42b36 b1ebf98704fe7549be440692e48b0a72 b4376a7ef36f1357109e6b6362a71152 b5c67058209e85fbc1f048e42ded9a48 b76ae18bb4d86add42b3a9af7b880a39 b78c6850cc40b385e839498abc17fc98 b7a12cc9e44a55814fe9b0cc6aa7fb1e b7c546c7f72b78568ea99706d0343229 ###### 48 |NetWire|Col2| |---|---| |0f83e147217c156b7ab66a26cf865827|12def981952667740eb06ee91168e643| |2e4d861bdb438c9b3a3d6658d40d07b2|32f30ef97554b4e5993152252e57e86c| |3d9a8ad7ae2bf9d4e4bd6381438d2b0c|58cf773d2eb957d48b931079b9c087dd| |796e62cc921af203c2dae93159f93f70|80aa2d0c8c05a78487b85013c43c2143| |8ffa073c1d4860ec5ac05b53998b421d|a19829fed00d46c91d81f203fe9cb6c5| |a20bb703d44d5717feb76fb36f571aea|a2480c9d205e90432daf4586809f3755| |a24aef033e061d358579250c6fed8e32|a26ef7c2b718f2b13240f6f9cf91c693| |a2d60db7db42adc8c3ab87b3dd244777|a3ce918d207e725f89683cc2c768b454| |a3e4801aa871f4e165bbd760333237b8|a4d1098a0c18c147e0b1bfa53cf6dd88| |a4f27cd95be3ae069b285648c568f5ea|a502134c8f4b1d9a055375d79acfa9a9| |a5462407c447351788ef9ac5bae52c9d|a549d7ca2deb4aa7f7ce46efa1295e76| |a5838df9164d968b40fc5e2140c5ac99|a59252c2d3143dca47fb7e14d1b13d33| |a63de560893500588a313e502be3efd2|a650ccb18450dff911365aa830d1ecb9| |a6f3379cdf41f1cdf11ee071e3e40854|a6f8ae86cf8725e16193e0fab0483c2c| |a8d7582d9f7e9c2c8631351837817f2d|a8ebaefd17089cce9efb8749926dca6d| |a99a4d2a2cbc10f07d2bbcf0c1c91d0c|a9a32cd4275138e6ff9e3b1912b1163b| |aa6cc819f92f26782194369096c02837|aad72111d8d41e2edc0ab4e96613aa70| |aadb3437d9c0ede00b9a0672b7bfd0e1|ab28a1d4fbe377f4b08c40bbd96e7a51| |ab29919492a0cddabfe2d75c4d42d00d|ab373d32f290e6928446f7f94e616c38| |abd9e42eb48a10ac1990fdfb03bd09a8|acd18d845812ac288016c9610d1c9c39| |acf159e78dce7c5095640030a5a0d6d2|ad836caa03a5f1df34d9131922ffa495| |ad9fa32f08638897fe126db894aa8260|afab14af38d50262b13a95e10cd7bba8| |afdc898cf874b74e68280185867250f9|b04e7cba062e23c9bbcc3b8ba38ab4da| |b157c08db89d194eaa73c0723cf42b36|b1ebf98704fe7549be440692e48b0a72| |b4376a7ef36f1357109e6b6362a71152|b5c67058209e85fbc1f048e42ded9a48| |b76ae18bb4d86add42b3a9af7b880a39|b78c6850cc40b385e839498abc17fc98| |b7a12cc9e44a55814fe9b0cc6aa7fb1e|b7c546c7f72b78568ea99706d0343229| ----- 特別編集号 |b8b776ebe5cf30c6dc1547ed35a79f42|b92c2bdb21b7eb6578bd4cb1ceb9eb64| |---|---| |ba3a1e3d00e04073e90bfcc744264067|bae5d7736ff20f96528cde32c8c5e6cb| |bb5f033b8717f42d5804b9c905fe9f50|bf38f2371d30bc6ab6382626a4eba298| |c1aaf1f7652d483ae2d4712d05b5f0ad|c1e658bcda1b5ddaf7284fe5d219420d| |cb75044f5941530d963df9a626c813ae|d1f8ba71e08c27e753272eb61d7dd3eb| |de3a8b1e149312dac5b8584a33c3f3c6|f84d985b94e31c04b6823af150f0b96f| |fcb719e28da41dd7443017eb1f456ff3|fe84cb5d1832333e5e77cb6efdf5bfb6| |Ekoms(Mokes)|Col2| |---|---| |0943806cea1913227d2595dbcc2b94c0|4df998fe61fc43803aed470fe52dc14e| |796dff8007f3163adfcb9fa7f5fded1c|8c0ba5e0351975e8fc0c49fdb6dba4ff| |91099aa413722d22aa50f85794ee386e|ab235de113ee97926fb15eeaac555490| |bbae132bf631a093af5567e3fb540eee|| |Fake Installer/Dropper/Downloade|Col2| |---|---| |006bdb19b6936329bffd4054e270dc6a|0469be73633d45aea1665ddd31a1c694| |16e55ba5c7870400cfa244ee211414d9|2abe3cc4bff46455a945d56c27e9fb45| |5f5847160dbfe0d6604dc5b6dd64ffb9|786925ad4a4f91a98dd09508471ebddf| |8c1d6403f550a9ddb6640ade3f38a171|838e0e1bfdb8b26fa8bfca3d14b09b9f| |9a9c3d7a44834f1d08ebdf3c9e5c3e62|a5cbda7bb3864626d6251f3a8cd09cb7| |a86cf58cb8c3ed3ca3c89a2c0443d6d7|ba83abf043344d425cf39c612d0fb5c4| |f08d3083c19320e2202128802b7ff306|| - 通信先 |103[.]234[.]220[.]230|119[.]81[.]131[.]251| |---|---| |130[.]255[.]185[.]77|137[.]59[.]22[.]42| |146[.]185[.]170[.]48|149[.]202[.]69[.]6| |158[.]69[.]24[.]141|162[.]248[.]227[.]9| |185[.]106[.]122[.]113|185[.]49[.]68[.]145| |185[.]49[.]68[.]192|185[.]49[.]68[.]193| |185[.]49[.]68[.]195|185[.]82[.]21[.]65| |188[.]165[.]218[.]177|37[.]235[.]48[.]233| |45[.]63[.]22[.]17|46[.]165[.]194[.]94| |46[.]165[.]249[.]77|51[.]255[.]86[.]55| ###### 49 ----- 特別編集号 |81[.]4[.]122[.]139|84[.]200[.]2[.]12| |---|---| |89[.]34[.]111[.]113|91[.]121[.]120[.]198| |94[.]23[.]48[.]115|anongfs671234d[.]com| |cameforcameand33212[.]com|g890ios20[.]com| |gloria18611[.]com|homegwjskjl111[.]info| |jessiman901[.]com|jikenick12and67[.]com| |kaplaromenmmxs[.]com|kleboneonn12[.]com| |kurgen3211a[.]com|stata14lic[.]org| |statalicensesrv[.]com|| ###### 50 ----- 特別編集号 ### 編集後記 本号は、一つの攻撃者グループに関する調査結果に焦点を当ててお届けしましたがいかがだった でしょうか。当初、LAC WATCH(当社オウンドメディア)での記事掲載として進めていましたが、非 常に読み応えのある調査結果内容となったため、サイバー救急センターレポートの特別編集号として お届けいたしました。最近少しペースが落ちてしまっていますが、通常の内容構成のレポートも7 月に はリリースしたいと考えておりますので、是非そちらもご期待ください。(鷲尾) #### アンケートのお願い 今後のよりよい記事づくりの参考とさせていただくため、以下のURL またはQR コードから、アンケートに 回答いただけると幸甚です。忌憚のないご意見・ご感想をお寄せください。 [https://jp.surveymonkey.com/r/87Q6QZ6](https://jp.surveymonkey.com/r/87Q6QZ6) 編集長 鷲尾 浩之 編集者・執筆者 石川 芳浩 ###### 51 ----- 特別編集号 ###### 株式会社ラック 〒102-0093 東京都千代田区平河町 2-16-1 平河町森タワー E-MAIL: sales@lac.co.jp [https://www.lac.co.jp/](https://www.lac.co.jp/) ###### 52 -----