X_Traderのサプライチェーン攻撃、米国やヨーロッパの重要インフラ組織に影響

X_Traderソフトウェアのサプライチェーン攻撃の影響を受けた組織は、3CXだけにとどまりません。シマンテックの脅威調査チームによる初動調査から、被害を受けた組織の中に、エネルギー分野の2大インフラ組織（米国とヨーロッパ）も含まれていたことが判明しています。これに加え、金融取引に関わる2組織も侵害されていました。

昨日のMandiantからの報告にあったとおり、先月発覚した3CX侵害の原因は、トロイの木馬化したX_Traderソフトウェアにありました。この侵害の結果、3CXのソフトウェアが侵害され、同社の音声およびビデオ通話ソフトウェア「DesktopApp」の悪意のあるバージョンを多くの顧客が気付かずにダウンロードしてしまう事態となりました。シマンテックでは、広範に及ぶ被害組織に加え、以下に挙げる侵害の兆候も新たに発見しました。

X_Traderの開発者であるTrading Technologiesは、エネルギー先物などの先物取引を促進しています。このことから、X_Traderサプライチェーン攻撃には財政的動機がある可能性があります。とはいえ、重要インフラを標的にした侵害は厄介です。北朝鮮の国家支援型アクターは、スパイ活動と財政的動機による攻撃の両方に関与していることで知られています。財政活動中に侵害された戦略的に重要な組織が、さらなる搾取の標的になることは否定できません。

悪意のあるインストーラー

感染チェーンは、トロイの木馬のインストーラーから始まります。このインストーラーには「X_TRADER_r7.17.90p608.exe（SHA256：900b63ff9b06e0890bf642bdfcbfcc6ab7887c7a3c057c8e3fd6fba5ffc8e5d6）」という名前が付けられています。「Trading Technologies International, Inc.」のデジタル署名もあり、「Setup.exe」という名前の悪意のある実行可能ファイルが含まれています。この実行可能ファイルのうちの1つのバージョン（SHA256: aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43）を分析したところ、ファイルを実行すると、「X_TRADER-ja.mst」ファイル（これもインストーラに含まれています）に、ハードコードされたオフセット0x167000に対する次のマーカーバイトがあるかどうかを調べていたことがわかりました：

• 5E DA F3 76

マーカーバイトが存在する場合、次の名前のフォルダが作成されます：

• C:\Programdata\TPM

次に、「C:\Windows\Sysnative\immersivetpmvscmgrsvr.exe」ファイルを「C:\Programdata\TPM\TpmVscMgrSvr.exe」として新しいフォルダにコピーします。

次に、悪意のあるDLLを2つドロップします。

• C:\Programdata\TPM\winscard.dll (SHA256: cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2)
• C:\Programdata\TPM\msvcr100.dll (SHA256: d937e19ccb3fd1dddeea3eaaf72645e8cd64083228a0df69c60820289b1aa3c0)

前述の大量の「X_TRADER-ja.mst」ファイルを次のキーを含むXORアルゴリズムで復号化して、ドロップされたファイルのコンテンツを生成します。

• 74 F2 39 DA E5 CF

マルウェアは、攻撃対象のシステムでの持続性を実現するために、CLSID_TaskScheduler COMオブジェクトを呼び出し、スケジュールタスクを作成して次のファイルを定期的に実行する可能性があります。

• C:\Programdata\TPM\TpmVscMgrSvr.exe

すると、setup.exeが「X_TRADER.exe」ファイルをドロップします。これも、インストーラーに含まれているファイルです。ドロップされたファイルのコンテンツは、ポータブル実行可能ファイルソースの1つから大量のファイルを復号化して生成されます。ファイルソースはハードコードされたオフセット「0x1CB40」から始まり、使用されるXORアルゴリズムには次のキーが含まれます。

• 74 F2 39 DA E5 CF

Setupファイルは、X_Trader.exeを実行すると、自身を削除します。

バックドアのインストール

インストールされると、インストーラーがドロップした2つの悪意のあるDLLを、正規のX_Trader実行可能ファイルがサイドロードします。第1のDLL（winscard.dll）はローダーとして機能します。このDLLが有するコードで、第2のDLL（msvcr100.dll）からペイロードをロードし実行します。「msvcr100.dll」ファイルには暗号化されたBlobが含まれ、ファイル添付されています。Blobは16進値「FEEDFACE」で始まり、ローダーはこの値を使用してBlobを検索します。

ペイロードのインストールプロセスは、トロイの木馬化した3CXアプリとほぼ同じです。サイドロードされた2つのDLLで、暗号化されたBlobからペイロードが抽出されます。

この攻撃では、抽出されたペイロードが、Veiledsignal（SHA256: e185c99b3d1085aed9fda65a9774abd73ecf1229f14591606c6c59e9660c4345）と呼ばれるモジュラーバックドアになります。Veiledsignalには、別のDLL（SHA256：19442d9e476e3ef990ce57b683190301e946ccb28fc88b69ab53a93bf84464ae）があり、プロセスインジェクションモジュールになります。Chrome、Firefox、EdgeのWebブラウザに挿入することができます。モジュールには、第2のDLL（SHA256: f8c370c67ffb3a88107c9022b17382b5465c4af3dd453e50e4a0bd3ae9b012ce）があり、コマンド&コントロール（C&C）モジュールになります。次のC&C URLに接続します：

• https://www.tradingtechnologies.com/trading/order-management

Hydraのような活動

3CXがさらに以前のサプライチェーン攻撃により侵害されていたことが判明したことで、この活動による影響がさらに多くの組織に広まる可能性が高くなり、現時点で当初の想定よりもはるかに広範になっています。これらの侵害の背後にいる攻撃者が、ソフトウェアサプライチェーン攻撃における成功のテンプレートを有していることは明確です。今後の類似の攻撃も無視できません。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。

900b63ff9b06e0890bf642bdfcbfcc6ab7887c7a3c057c8e3fd6fba5ffc8e5d6－トロイの木馬化されたインストーラー（X_TRADER_r7.17.90p608.exe）

6e989462acf2321ff671eaf91b4e3933b77dab6ab51cd1403a7fe056bf4763ba－トロイの木馬化された可能性のあるインストーラー

aa318070ad1bf90ed459ac34dc5254acc178baff3202d2ea7f49aaf5a055dd43－トロイの木馬化されたインストーラーが有する悪意のあるコンポーネント（setup.exe）

6e11c02485ddd5a3798bf0f77206f2be37487ba04d3119e2d5ce12501178b378－トロイの木馬化されたインストーラーが有する悪意のあるコンポーネント（setup.exe）

47a8e3b20405a23f7634fa296f148cab39a7f5f84248c6afcfabf5201374d1d1－サイドロードする際に使用される、無害なWindows実行可能ファイル（tpmvscmgrsvr.exe）

cc4eedb7b1f77f02b962f4b05278fa7f8082708b5a12cacf928118520762b5e2－Veiledsignalローダー（winscard.dll）

277119738f4bdafa1cde9790ec82ce1e46e04cebf6c43c0e100246f681ba184e－Veiledsignalローダー（devobj.dll）    

cb374af8990c5f47b627596c74e2308fbf39ba33d08d862a2bea46631409539f－悪意のあるDLL（msvcr100.dll）

d937e19ccb3fd1dddeea3eaaf72645e8cd64083228a0df69c60820289b1aa3c0－悪意のあるDLL（msvcr100.dll）

e185c99b3d1085aed9fda65a9774abd73ecf1229f14591606c6c59e9660c4345－Veiledsignalメインコンポーネント

19442d9e476e3ef990ce57b683190301e946ccb28fc88b69ab53a93bf84464ae－Veiledsignalプロセスインジェクションモジュール

f8c370c67ffb3a88107c9022b17382b5465c4af3dd453e50e4a0bd3ae9b012ce－Veiledsignal通信モジュール

https://www.tradingtechnologies[.]com/trading/order-management－Veiledsignal C&Cサーバー

\\.\pipe\gecko.nativeMessaging.in.foo8bc16e6288f2a －Veiledsignalの名前が付いたパイプ

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40－Veiledsignalユーザーエージェント