シマンテックは 2012 年、さまざまな業種に対するスピア型フィッシングや水飲み場型攻撃に利用された Elderwood プラットフォームについて調査しました。Elderwood プラットフォームは基本的に一連の悪用コードから構成されており、それらが「ユーザーフレンドリーな」形で作成されパッケージ化されているため、技術力の高くない攻撃者でも、標的に対して簡単にゼロデイ悪用コードを使うことができます。
軍需産業、軍事関係のサプライチェーン、製造業、IT、人権問題など幅広い分野に対して、Elderwood プラットフォームを使った攻撃が確認されています。特に注目すべきなのは、「Operation Aurora」として知られる攻撃活動で一連の悪用コードが使われたことです。
Elderwood プラットフォームが初めて確認されたのは 2012 年のことですが、それ以来、最新のゼロデイ悪用コードをいくつも取り入れながら更新が続けられています。2014 年に入ってから最初の 1 カ月だけでも、Elderwood プラットフォームは 3 件のゼロデイ脆弱性の悪用に利用されており、このプラットフォームが依然として手ごわい脅威であることが証明されました。
当初の調査では、Elderwood プラットフォームは単一の攻撃グループによって使われていると思われていましたが、最新の調査結果を踏まえると、複数のグループによって利用されていると考えられます。1 つの供給元がプラットフォームの販売に関与しているか、あるいは大きな 1 つの組織が、その内部の攻撃チームのために一連の悪用コードを開発しているかのいずれかであるという証拠もあります。どちらにしても、今なお活動している最大規模の攻撃グループが、これほど早くゼロデイ悪用コードを利用できる理由を解明する手掛かりになりそうです。
Elderwood を作成したのは誰か
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成については、いくつかの仮説が立てられていますが、シマンテックの調査ではさらに 2 つのシナリオも想定しています。
- 1 つの上位グループがあって、複数のサブグループから構成されているケース。この場合、各サブグループは特定の業種を標的にするタスクを割り当てられています。それぞれが個別に開発したマルウェアファミリーを使っており、利用しているネットワークインフラも独自のものです。上位グループがゼロデイ悪用コードを入手し、その配布と利用をサブグループ間で調整します。
図 1.複数のサブグループを束ねる上位グループを通じてゼロデイ悪用コードが配布される
- 攻撃グループが、目標も異なる別々の組織であるというケース。この場合、各グループが共通して接触している供給元があり、そこからゼロデイ悪用コードが各グループに同時に配布されます。供給元は、一部の攻撃グループを優遇して、他のグループより数日早くそのグループにゼロデイ悪用コードを渡している可能性もあります。
図 2.共通する 1 つの供給元から複数のグループにゼロデイ悪用コードが配布される
シマンテックがつかんだ証拠(後述)から、何者かが 1 つの仲介組織に、または複数のグループに直接、Internet Explorer や Adobe Flash のさまざまなゼロデイ悪用コードを供給している可能性が高いと考えられます。これだけでも、攻撃者が確保しているリソースのレベルの大きさがうかがえます。
悪用コードがサードパーティの供給元を通じて販売されている場合、購入するグループはそれを支払えるだけの潤沢な財源を持っていることになります。悪用コードが組織の内部で開発されている場合、グループは技術力の高い個人を何人も雇っていることになります。こうした技術者は、相当額の報酬を受け取っているか、あるいは何か別の理由があって自分自身では公開市場で悪用コードを販売できないかのいずれかです。
Elderwood による顕著な悪用例
2012 年には、Internet Explorer と Adobe Flash に対する複数の悪用コードが Elderwood プラットフォームによって利用されました。以下の脆弱性を含め、数多くの脆弱性が悪用されています。
- Adobe Flash Player に存在するオブジェクト型の混乱によるリモートコード実行の脆弱性(CVE-2012-0779)
- Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
- Microsoft Internet Explorer の Same ID プロパティに存在するリモートコード実行の脆弱性(CVE-2012-1875)
最近も、以下の脆弱性に対する新しいゼロデイ悪用コードが利用されていることを確認していますが、その多くは以前に利用された悪用コードと類似しています。
- Adobe Flash Player と AIR に存在するリモートコード実行の脆弱性(CVE-2014-0502)
- Microsoft Internet Explorer に存在する解放後使用によるリモートコード実行の脆弱性(CVE-2014-0322)
- Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2014-0324)
Elderwood プラットフォームで利用されている悪用コードはこれらに限りませんが、後述するように、これこそ Elderwood 攻撃活動間のつながりを示す証拠なのです。それでは、過去数年間にわたって Elderwood プラットフォームを使ってきた代表的な攻撃グループについて見てみましょう。
Elderwood プラットフォームを使ってきたのは誰か
最近確認された、Elderwood プラットフォームを使う目立った攻撃活動を時系列に並べてみます。
図 3.最近ゼロデイ脆弱性の悪用が確認された活動の時系列
以下の攻撃グループの多くは、Elderwood プラットフォームだけを使っているわけではありませんが、この数年間の主な活動では一貫して Elderwood を使っていることが確認されています。Elderwood プラットフォームで利用されていることが判明している脆弱性を悪用しているだけでなく、「Microsoft Internet Explorer の 'CDwnBindInfo'に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2012-4792)や 「Microsoft Internet Explorer に存在するリモートコード実行の脆弱性」(CVE-2014-1776)など、その他の欠陥も悪用しています。
| 攻撃グループ | 標的 | 関連する攻撃活動 | 悪用されている脆弱性 | 使われているマルウェア |
| Hidden Lynx | 軍需産業 | Operation Snowman | CVE-2014-0322(Internet Explorer) | Backdoor.ZXshell |
| Vidgrab | 日本のユーザー ウイグルの反体制派 | CVE-2014-0322(Internet Explorer) CVE-2014-0502(Adobe Flash) | ||
| Linfo/Icefog | 製造業 | Icefog | CVE-2012-0779(Adobe Flash) CVE-2014-0324(Internet Explorer) | |
| Sakurel | 航空エンジンメーカー | CVE-2014-0322(Internet Explorer) CVE-2012-4792(Internet Explorer) CVE-2014-0502(Adobe Flash) CVE-2014-1776(Internet Explorer) | Trojan.Sakurel |
表 1. Elderwood プラットフォームを使っている攻撃グループ
Elderwood との関連性
攻撃グループがその活動を通じてこれらの脆弱性を悪用していたことに加え、悪用コードのインフラにも関連性があるようです。
最近確認された Internet Explorer の脆弱性、CVE-2014-0322 と CVE-2014-0324 に対する 2 つのゼロデイ悪用コードは多くの機能を共有しており、シェルコードもそのひとつです。どちらも、イメージから取得したマルウェアを復号し、%Temp% フォルダ内の .txt 拡張子のファイルに復号後のマルウェアを書き込むことができます。
そのほか、CVE-2014-0502 と CVE-2014-0322 に対する悪用コードは、同じサイトをホストとして利用していました。さらに、CVE-2014-0324 に対する悪用コードが Backdoor.Linfo の投下に使われていたことを示唆する痕跡もあります。同じマルウェアは、2012 年に CVE-2012-0779 に対する悪用コードによって投下されていました。
これらの攻撃グループが Elderwood プラットフォームを利用している状況の全体像を以下の図に示します。
図 4.過去と現在におけるゼロデイ悪用コードの相関図
結論
ゼロデイ悪用コードの使用と、中心的な 1 つのグループまたは組織との関係を断定することはできません。ひとたび攻撃に利用されたゼロデイ悪用コードは、リバースエンジニアリングもコピーも、他の攻撃への転用も可能だからです。Elderwood プラットフォームは、悪用コードがコンパクトにパッケージ化され、ペイロードと分離されているため、リバースエンジニアリングが特に容易です。Elderwood の悪用コード実装は、攻撃者が使いやすいように、意図的にこのような手法で作成されたものかもしれません。
とは言え、最近確認された攻撃活動では、Internet Explorer や Flash のゼロデイ悪用コードを利用して同じマルウェアファミリーを拡散するという、攻撃グループの共通パターンが繰り返されています。それだけでなく、これらの悪用コードは実装方法にも多くの類似点が見られます。こうした証拠から、悪用コードが単にリバースエンジニアリングされているだけの場合と比べて、はるかに緊密なコミュニケーションが攻撃グループ間で交わされているものと考えられます。
Elderwood を作成しているのがサードパーティの供給元であるにせよ、自前のチームを抱えた大きな組織であるにせよ、Elderwood のゼロデイ悪用コードを利用している各グループは潤沢なリソースと十分な動機を持っています。標的となりうる企業や組織にとって深刻な脅威であることは間違いありません。
シマンテック製品をお使いのお客様は、ウイルス対策、侵入防止システム、振る舞い検知やレピュテーション(評価)技術によって、今回のブログで取り上げたさまざまなマルウェアファミリーから保護されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。