TA416がGolang PlugXマルウェアローダーを搭載し攻撃再開

エグゼクティブ サマリー

9月の中国の国慶節の祝日の後、プルーフポイントのリサーチャーは、APT（国家を後ろ盾に持つ攻撃グループ）であるTA416による活動の再開を観測しました。この攻撃者による攻撃キャンペーンは、「Mustang Panda」や「RedDelta」としても知られています。今回の新たな活動は、以前に報告された、バチカンと中国共産党の間の外交関係に関連する団体やミャンマーの団体を標的としたキャンペーンの継続と考えられます。 また、アフリカで外交活動を行っている組織を標的にしたものも確認されています。プルーフポイントのリサーチャーは、PlugXマルウェアのペイロードを配信するために使用される攻撃者のツールセットが更新されていることを確認しました。具体的には、TA416のPlugXマルウェアローダーの新しいGolangの亜種を特定し、標的型攻撃キャンペーンでPlugXマルウェアが一貫して使用されていることを確認しました。このグループは、セキュリティリサーチャーによって報告され続けているため、分析を妨害し、検出を回避するためにツールセットを改変することに執着していることが報告されています。ベースラインでのペイロードの変更がTA416キャンペーンの特定の難易度を大幅に高めるわけではありませんが、感染から独立したマルウェアコンポーネントの自動検出と実行は、研究者にとってより困難なものとなっています。これは、この攻撃グループがスパイ活動の目的を追求し続ける一方で、ツールセットを維持し、脅威研究者の間で人気のあるTwitterの投稿を意識していることを表しているのかもしれません。

フィッシング活動の改変 

中国のAPTグループTA416（別名：Mustang Panda、RedDelta） ¹は、脅威リサーチャーによって約1ヶ月近く活動が休止されていることが発表されていますが、プルーフポイントのアナリストは、TA416が関係する新たなフィッシング活動の兆候を一部確認しました。Recorded Futureのリサーチャーは、TA416 の標的型攻撃キャンペーンの情報の公開後、休眠期間があったことを指摘しています。² 　最近の活動停止期間は、2020年9月16日から2020年10月10日まででした。この期間には、中国の国慶節や、その後の非公式な休暇期間である「ゴールデンウィーク」が含まれています。TA416によるフィッシング活動が再開された際には、2020年9月にはバチカン教皇庁と中国共産党「中国共産党」との間で司教任命の暫定合意を延長されたテーマを使ったソーシャルエンジニアリングのルアーが引き続き使用されていることが確認されました。³このようなソーシャルエンジニアリングをテーマとしたコンテンツは、カトリック教会と「中国共産党」との関係の進展に関連した問題に焦点を当て続けていることを示唆しています。

PlugX マルウェア分析 

プルーフポイントのリサーチャーは、PlugXマルウェア ドロッパーとして機能する2つのRARアーカイブを特定しました。これらのファイルのうちの1つは、自己解凍型のRARアーカイブであることが判明しました。この分析の目的で、自己解凍型アーカイブ ファイル AdobelmdyU.exe|930b7a798e3279b7460e30ce2f3a2deccbc252f3ca213cb022f5b7e6a25a0867 が調査されました。これらのRARアーカイブの初期の配送経路は特定できませんでした。しかし、歴史的にTA416は、PlugXマルウェアと関連コンポーネントを含むアーカイブを配信するフィッシングメール内にGoogle DriveとDropboxのURLを含むことが確認されています。RARアーカイブが抽出されると、4つのファイルがホストにインストールされ、ポータブルで実行可能なAdobelm.exeが実行されます。インストールされるファイルは以下の通りです。

• Adobelm.exe|0459e62c5444896d5be404c559c834ba455fa5cae1689c70fc8c61bc15468681 

DLLサイドローディングに使用されているAdobeの正規の実行ファイルHex.dll. 

• Adobehelp.exe|e3e3c28f7a96906e6c30f56e8e6b013e42b5113967d6fb054c32885501dfd1b7 

TA416にリンクされた悪意のあるRARアーカイブで以前に観測された未使用のバイナリ

• hex.dll|235752f22f1a21e18e0833fc26e1cdb4834a56ee53ec7acb8a402129329c0cdd 

adobeupdate.dat（PlugXペイロード）を復号してロードするGolangバイナリ

• adobeupdate.dat|afa06df5a2c33dc0bdf80bbe09dade421b3e8b5990a56246e0d7053d5668d91 

 暗号化されたPlugXマルウェアのペイロード

Figure 1: PlugX マルウェアの実行ダイアグラム 

RAR抽出の後、hex.dllのDLLサイドロードに使用される正規のPEであるAdobelm.exeが実行されます。これはCEFProcessForkHandlerExという名前のhex.dllのPEエクスポート関数を呼び出します。これまで、TA416キャンペーンでは、Microsoft Windows PE DLLのDLLサイドロードを行うために、ファイル名hex.dllと同じPEエクスポート名を使用してきました。これらのファイルは、暗号化されたPlugXマルウェアのペイロードのローダーや復号器として機能していました。このファイルは、PlugXマルウェアのペイロード(通常はadobeupdate.datという名前が付けられています)を読み込んで、ロードし、復号し、実行していました。

今回発見されたPlugXマルウェアローダーは、Golangバイナリであることが確認されました。プルーフポイントでは、これまでTA416がこのファイルタイプを使用していることは観測されていませんでした。識別された両方の RAR アーカイブには、同じ暗号化された PlugX マルウェアファイルと Golang ローダーのサンプルがドロップされていることが確認されました。Golang ローダーのコンパイル作成時刻は2020年6月24日となっています。しかし、本投稿で後述するコマンドおよび制御インフラストラクチャは、PlugXマルウェアのペイロードとGolangローダーのバリアントが2020年8月24日以降に使用されたことを示唆しています。PlugXローダーのファイルタイプが変更されているにもかかわらず、機能はほぼ同じままです。それはファイルadobeupdate.datを読み取り、オフセットx00から始まるXORキーを取得し、それがヌルバイトを読み取るまで続けます。その後、ペイロードを復号化し、最後に復号化されたadobeupdate.datを実行します。これにより、最終的にコマンド＆コントロールIP 45.248.87[....]162に呼び出されるPlugXマルウェアのペイロードが実行されます。このプロセスでは、以下のレジストリ・キーも作成され、起動時に実行されてマルウェアの永続性が確立されます。このサンプルでは、「AdobelmdyU」という別個のファイルインストールディレクトリが使用されていることに注目してください。

図2：マルウェアの永続化のために設定されたPlugXマルウェアのレジストリキー

一貫して使われるTA416のツール 

PlugXマルウェアのペイロードは、Golangローダーの亜種とは異なり、以前のバージョンと比較すると一貫性が保たれているようです。

• Avira と Recorded Future が実施した履歴分析⁴によると、データやgif ファイルに見せかけた暗号化された PlugX ペイロードは、実際には暗号化された PE DLL ファイルであることが記録されています。この暗号化されたファイルには、オフセット x00 から始まりヌルバイトが読み込まれるまで続く、ハードコードされた XOR 復号鍵が含まれています。 この場合、Golang Binary PlugX ローダーは同じ方法で x00 からヌルバイトまで暗号鍵を読み込み、オフセット x09 で暗号鍵は終了します。これは、PlugXペイロードの実行をより複雑にし、マルウェアが通信するコマンド＆コントロール・インフラの検出を複雑にする、アンチ解析手法が継続的に使用されていることを意味します。

図3：PlugXマルウェアのXOR復号化キー

図4：PlugXマルウェアのバイト列とハードコードされたXOR復号化キー

• 復号化されたファイルには、PlugX マルウェアのペイロードに対応する有効な PE ヘッダが反映されています。シェルコードは、MZ ヘッダーと DOS メッセージの間に表示されます。このシェルコードの機能は、PE DLLをRWXメモリに書き込み、ファイルの先頭で実行を開始することです。これにより、ペイロードのエントリーポイントが確立され、マルウェアの実行時にエントリーポイントが見つからないというエラーが発生しないようにします。 これは、多くのマルウェアファミリで観察される一般的な手法であり、TA416 PlugX亜種に限ったことではありません。このシェルコードは、正規のソフトウェアのDLLに出現することはまずありません。

図5：PlugXマルウェアのバイト列とXOR復号化キー

攻撃者サーバー (コマンド＆コントロール)のインフラ 

これらのPlugXマルウェアのサンプルで観測されたコマンド＆コントロール通信は、過去に文書化されたバージョンと一致しています。このC2トラフィックは、ET OPEN Public Rulesetの一部として公開されている、PlugXマルウェア用の既存のProofpoint Emerging Threats Suricataシグネチャによって正常に検出されました。⁵ 以下のIPとコマンド＆コントロール通信のURLの例が確認されました。

• 45.248.87[.]162 

• hxxp://45.248.87[.]162/756d1598 

• hxxp://45.248.87[.]162/9f86852b 

コマンド＆コントロールIPに関するさらなる調査の結果、中国のインターネットサービスプロバイダであるAnchnet Asia Limitedによってホストされていることが判明しました。このIPは、少なくとも2020年8月24日から2020年9月28日まで、コマンド＆コントロール・サーバーとして稼働し、使用されていたようです。この期間は、Recorded FutureがTA416の活動について発表した結果であると思われる、上述の休眠期間より前のものであることは注目に値します。さらに、このサーバーが休止期間中に使用されなくなったことは、この期間に攻撃者がインフラを一新したことを示していると思われます。

図6：TA416コマンド＆コントロールサーバーの活動期間を示すRiskIQのデータ

結論

TA416の継続的な活動は、持続的な攻撃グループが、グローバルなターゲットに対するスパイ活動の実行に有効であり続けるために、文書化されたツールセットに段階的な変更を加えていることを示しています。Golang PlugX ローダーの導入と PlugX ペイロードの暗号化の継続的な取り組みは、このグループがツールに対する検出の増加を意識している可能性を示唆しており、また彼らのキャンペーンに関する発表に対応する適応性を示していると言えます。このようなツールの調整と、コマンド＆コントロール・インフラの度重なる変更は、TA416 が外交および宗教団体を標的とし続けることを示唆しています。ツールや手順の具体的な内容は進化していますが、その動機と標的となる組織は一貫しているように思われます。TA416 は、国家を後ろにする攻撃グループ「APT」(Advanced Persistent Threat / 高度標的型攻撃)の持続的な側面を体現し続けており、プルーフポイントのアナリストは、今後数カ月間、この活動を引き続き検出するものと予想しています。

IOC（Indicator of Compromise / 侵害の痕跡）

Emerging Threats シグネチャ

• 2018228 - et trojan possible plugx common header struct 

参照: 

¹ Chinese State-Sponsored Group ‘RedDelta’ Targets the Vatican and Catholic Organizations 

² Back Despite Disruption: RedDelta Resumes Operations

³ Holy See and China renew Provisional Agreement for 2 years

⁴ New wave of PlugX targets Hong Kong

⁵ Emerging Threats Ruleset

※本ブログの情報は、英語による原文「TA416 Goes to Ground and Returns with a Golang PlugX Malware Loader」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。