Graphican: Fleaが外務省を標的とした攻撃で新たなバックドアを使用

APT（持続的標的型攻撃）グループFlea（別名APT15、Nickel）は、2022年後半から2023年初めにかけて行われた攻撃キャンペーンで継続的に各国の外務省を標的としていましたが、この攻撃にはBackdoor.Graphicanと呼ばれる新たなバックドアが使用されていました。

この攻撃キャンペーンでは主に南北アメリカ諸国の外務省が標的となっていましたが、南北アメリカのある国の財務省と、中南米で商品を販売する企業1社も標的になっていました。また、欧州の国に拠点を置く企業1社も標的にされていましたが、これは例外と考えられています。この企業は2022年7月にも、おそらくFleaとは無関係と見られるランサムウェア攻撃の被害を受けています。しかしBroadcomの事業部門であるシマンテックの脅威調査チームの観測からは、この攻撃キャンペーンの主たるターゲットは、南北アメリカ諸国の外務省だと考えられます。

Fleaはこれまでも政府内のターゲットや外交使節団、大使館などを、おそらく機密情報収集の目的で標的としていました。

ツール

Fleaはこの攻撃キャンペーンでさまざまなツールを使用しました。新たに登場したGraphicanバックドアのほか、現地調達した各種ツールや、これまでもFleaと関連付けられていたツールも使用されました。このセクションでは、こうしたツールについて詳細を解説します。

Backdoor.Graphican

GraphicanはFleaの既知のバックドアKetricanの進化系です。Ketrican自体も以前Fleaが使用していたマルウェア、BS2005をベースにしていました。GraphicanはKetricanと同じ基本機能を備えていますが、異なる点はGraphicanがMicrosoft Graph APIとOneDriveを悪用し、コマンド&コントロール（C&C）インフラストラクチャを確保していることです。

これと同様の手口として、ロシア政府に支援されているAPTグループSwallowtail（別名APT28、Fancy Bear、Sofacy、Strontium）が2022年の攻撃キャンペーンでGraphiteマルウェアを配布して行った攻撃があります。この攻撃キャンペーンでは、GraphiteマルウェアがMicrosoft Graph APIとOneDriveをC&Cサーバーとして使用していました。

確認されたGraphicanのサンプルはハードコードされたC&Cサーバーを持たず、Microsoft Graph APIを介してOneDriveに接続し、個人フォルダ内の子フォルダから暗号化されたC&Cサーバーのアドレスを入手していました。次にGraphicanはフォルダ名を復号化し、これをマルウェア用のC&Cサーバーとして使用しました。この亜種のすべてのインスタンスでMicrosoft Graph APIの認証を得るために同じパラメータが使用されていました。すべてのインスタンスが同じC&Cを使用し、攻撃者はこれを動的に変更可能だったと推測されます。

Graphicanはマシンに侵入後、以下の内容を実行します。

• レジストリキーを使用し、Internet Explorerの初回実行ウィザードとようこそページを無効化
• iexplore.exeプロセスが実行中かどうかを確認
• インターネットにアクセスするためのグローバルIWebBrowser2 COMオブジェクトを作成
• Microsoft Graph APIにアクセスし、有効なアクセストークンとrefresh_tokenを入手
• Graph APIを使用し、OneDriveの個人フォルダ内の子ファイルと子フォルダを一覧化
• 1つ目のフォルダの名前を取得し復号化して、これをC&Cサーバーとして利用
• 侵入したマシンのホスト名、ローカルIP、Windowsバージョン、システムのデフォルト言語識別子、プロセスビット数（32ビットまたは64ビット）に基づきボットIDを生成
• 侵入したコンピュータからこれまで収集した情報を埋め込んだフォーマット文字列「f$$$%s&&&%s&&&%s&&&%d&&&%ld&&&%s」または「f@@@%s###%s###%s###%d###%ld###%s」を使用してC&Cサーバーにボットを登録
• C&Cサーバーを確認し、新しいコマンドを実行

Graphicanが実行できるコマンドには、以下があります。

• 「C」 — C&Cサーバーから制御されるインタラクティブなコマンドラインを作成
• 「U」 — リモートコンピュータにファイルを作成
• 「D」 — リモートコンピュータからC&Cサーバーにファイルをダウンロード
• 「N」 — 隠しウィンドウを使用して新しいプロセスを作成
• 「P」 — 隠しウィンドウを使用して新たなPowerShellプロセスを作成し、結果をTEMPフォルダの一時ファイルに保存し、C&Cサーバーへ送信

この攻撃キャンペーンではKetricanの更新バージョンも確認されました。この更新バージョンはハードコードされたC&Cサーバーを有し、「C」、「U」、「D」コマンドのみを実行していました。また、「N」および「P」コマンドのみを実行するKetricanの旧バージョン（2020年にコンパイル）も確認されました。これは、攻撃グル―プが目的に合うようにKetricanを継続的に発展させ調整していることを示しています。

その他のツール

以下はFleaが今回の攻撃で使用したその他のツールです。

• EWSTEW — これはFleaバックドアと呼ばれ、感染したMicrosoft Exchangeサーバーで送受信したメールを抽出するために使用されています。当該キャンペーンでは、このツールの新しい亜種が確認されました。
• Mimikatz, Pypykatz, Safetykatz — Mimikatzは一般に入手できる資格情報ダンピングツールです。ローカルの攻撃者はこれを利用することで、Windowsのシングルサインオン機能を悪用してメモリから機密情報をダンプできます。Mimikatzには同様の機能を持つPupykatzとSafetykatzという亜種があります。
• Lazagne — 一般に入手できるオープンソースツールで、複数のアプリケーションからパスワードを取得するよう設計されています。
• Quarks PwDump — オープンソースツールで、ローカルアカウント、ドメインアカウント、キャッシュされたドメイン資格情報など、さまざまな種類のWindows資格情報をダンプできます。2013年にKaspersky社がIceFogと呼ぶ攻撃キャンペーンで使用されていたことが報告されています。
• SharpSecDump — Impacketに含まれるsecretsdump.pyの、リモートSAMおよびLSAシークレットのダンピング機能用の.Netポートです。
• K8Tools - これは一般に入手可能なツールセットで、特権昇格、パスワードクラッキング、スキャンツール、脆弱性の悪用など、多様な機能を備えています。また、各種システムのさまざまな既知の脆弱性を悪用するエクスプロイトも含まれます。
• EHole — 一般に入手可能なツールで、脆弱なシステムの特定に使用されます。
• Web shells — 攻撃者はAntSword、Behinder、China Chopper、Godzillaなど、一般に入手可能な多数のWebシェルを利用しています。Webシェルは標的のマシンにバックドアを仕掛けます。China ChopperやBehinderなど、一部のWebシェルは中国の攻撃者グループと関連しています。
• CVE-2020-1472のエクスプロイト — これは、攻撃者がNetlogonリモートプロトコル（MS-NRPC）を使用してドメインコントローラへの脆弱なNetlogonセキュアチャネル接続を確立する際に存在する特権昇格の脆弱性です。攻撃者はこの脆弱性の悪用に成功すると、特別に細工したアプリケーションをネットワーク上のデバイスで実行できます。2021年第一四半期以降、この脆弱性にはパッチが適用されています。

Fleaの背景情報

Fleaは遅くとも2004年には活動を行っていました。この間、Fleaは戦術、手法、手順（TTP）と標的を変え、発展させてきました。近年では機密情報収集の目的で、政府機関、外交使節、非政府組織（NGO）を対象とした攻撃を中心に活動しています。最近では南北アメリカを攻撃対象としたFleaの攻撃が増えており、この傾向は当該キャンペーンの標的と一致しています。Fleaの目標は、機密情報収集のために標的のネットワークへの持続的なアクセス権を獲得することだと見られています。この攻撃キャンペーンでの外務省をターゲットとしていることは、キャンペーンの背後におそらく地政学的な動機があることを示しています。

Fleaは従来、最初の侵入ベクトルとしてメールを使用していましたが、標的のネットワークへの初期アクセスのために、外部公開アプリケーションやVPNを悪用していたことも報告されています。 

2021年12月には、MicrosoftがFleaが利用していたドメインを差し押さえました。Microsoftは、42のドメインが米国のほか28か国で機密情報の収集を目的として企業や組織を標的とした攻撃に使用されていたとして、これらのドメインを差し押さえました。また、2022年11月のLookoutの報告によると、Fleaは中国でのウイグル語のWebサイトやソーシャルメディアを標的とした長期にわたる攻撃キャンペーンにも関連していました。

Fleaは資金力のある大規模なグループだと見られており、その活動が公表されたり、Microsoftが詳細を発表したようなドメインの削除が行われたりしても、Fleaの活動阻止という点では大きな効果は得られていないようです。

新たなバックドアと注目すべき手法

新たなバックドアの使用は、Fleaが長年にわたる活動にもかかわらず、引き続き新しいツールを活発に開発していることを示しています。Fleaは長年の間に多数のカスタムツールを開発してきました。Graphicanと既知のKetricanバックドアの機能の類似性は、攻撃を行ったのが自分たちのグループだと発覚することをあまり気にしていないことを示している可能性があります。

Graphican自体に関して特に注目すべきは、Microsoft Graph APIとOneDriveを悪用してC&Cサーバーを獲得していることです。異なる地域から活動している関連性のないAPTグループであるSwallowtailが同様の手口を使用していたという事実も、注目に値します。1つの手法が1つの攻撃グループによって使用されると、他のグループが後に続くことはよく見られます。したがって、この手口を使用するAPTグループやサイバー犯罪者が増えているかどうか確認することは、意味のあることです。

Fleaは過去の攻撃活動でも外務省を標的としており、これは今回の攻撃対象と一致しています。外務省を標的としていることは注目すべきです。Fleaのツールや手口は継続的に発展していますが、関心対象は近年の活動と類似しているようです。

保護

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。