「APT」カテゴリーアーカイブ

Coinbaseがうけた標的型攻撃とその対応についてまとめてみた

暗号資産を取り扱う米国のCoinBaseは、2019年6月に発生したFirefoxの脆弱性(当時ゼロデイ)を悪用した攻撃への対応を2019年8月9日にセキュリティ担当者がBlogで明らかにしました。ここでは一連の対応の顛末についてまとめます。

対応公開までの経緯

  • 情報の公開を行ったのは米暗号資産取扱い事業者 Coinbaseのセキュリティ担当者 Philip Maritin氏。
  • 2019年6月20日にTwitterで第一報レベルの情報共有が行われていた。

blog.coinbase.com

Coinbaseへの攻撃の流れ

f:id:piyokango:20190814005917p:plain
攻撃の流れ概要図
Coinbaseは攻撃の手口を次の2つの組み合わせによるものと説明。

  1. 大学関係者を騙った標的型攻撃メール
  2. Webブラウザ(Firefox)のゼロデイ脆弱性
(1)攻撃の準備

リンク付きメールが投げられる前に次の準備が行われていた。

  • ケンブリッジ大学のメールサービスを侵害し、2つのアカウント*1を作成。(時期不明)
  • 同大学のWebサイトにランディングページを作成し5月28日にExploit用ドメインを作成。
  • 作成されたメールアカウントに紐づくIDはオンライン上にほぼ存在せず。
  • LinkedInのプロファイルも偽物とCoinbaseは分析している。
(2)大学から標的型攻撃メール

クリックをより確実にさせるために予め無害なメールが送られていた。

  • 2019年5月30日にCoinbase従業員十数人へケンブリッジ大学からメールが届いた。
  • メールの送信者は大学の研究助成金管理者 Gregory Harris。
  • 内容は実際に行われていた大学のプロジェクトを引用したもの。
  • ランダムに送られたのではなく従業員の経歴に基づき送られてきた。
  • 正規ドメインからの送信で悪性の要素も含まれていなかったため、スパムフィルタで検出はされなかった。
  • 以降数週間、同様のメールが届いたが異常は認められなかった。
  • Objective-seeの記事では別の人名(Neil Morris)が記述されていた。
(3)URLクリック・ブラウザ誘導
  • 2019年6月17日 6時31分にも大学からメールが届いたがこれは様相が違った。
  • 文中にクリックしたらマルウェアに感染する恐れのある悪性のリンクが含まれていた。
  • Firefox以外でアクセスすると「サポートしていないブラウザ」とし表示し、Firefoxで参照するよう促す表示が行われた。
  • 後の解析でリンクが記述されたメールが送られたのは標的とされたCoinbaseを含む200人の内、約5人(2.5%)であった。
(4)Firefoxの0day Exploit
  • 悪用されたFirefoxの脆弱性は2件。いずれも検出時点で修正版が公開されていなかった。(0day)
CVE Mozillaセキュリティアドバイザリ 影響 修正日
CVE-2019-11707 Type confusion in Array.pop リモートコード実行の恐れ 6/18
CVE-2019-11708 sandbox escape using Prompt:Open Sandbox回避の恐れ 6/20
  • Coinbaseは攻撃グループを「CRYPTO-3」「HYDSEVEN」と呼ばれる攻撃グループによるものと説明。
  • CVE-2019-11707の他発見者 Google Project ZeroのSamuel Groß氏はバグトラッキングからのExploitコード作成については否定的で、過去の脆弱性の類似性のあるバグを探したのではないかと推測する見解を示している
  • CVE-2019–11708のExploitコードは難読化は行われておらず、ソースコードから相当の経験を持つグループによる作成とCoinbaseは推定。
(5)感染後のマルウェア動態
  • 感染するマルウェアは次の通り。
ステージ 感染するマルウェア(検体のハッシュ)
Netwire RAT
07a4e04ee8b4c8dc0f7507f56dc24db00537d4637afee43dbb9357d4d54f6ff4
Mokes
97200b2b005e60a1c6077eea56fc4bb3e08196f14ed692b9422c96686fbfc3ad
  • ステージ1のNetwireは先遣部隊としてMokesの感染のみに利用される。
  • ブラウザのデータストアに保存されたセッショントークンを窃取し、Gmail等のサービスを特に標的している動きがあった。
  • ブラウザのデータストアに直接アクセスするプロセスが少ないとして、Coinbaseはこの挙動を特定アクティビティによる検出が可能だと説明。

Coinbaseの対応

Coinbaseが行った一連の対応は次の通り。

攻撃検出 ①従業員からの報告と自動アラートに基づき調査を開始
初期調査 ②エンドポイント検出ツール、インシデント対応ツールで従業員のPCを調査。
③最近のプロセスアクティビティからFirefox起因とすぐに特定。
範囲特定 ④問題が生じたホストからIOCを収集。
⑤ネットワーク内で探査を開始。
⑥IOCをブラックリストへ登録。
攻撃調査 ⑦攻撃ホストが稼働している間に誘導先ページ、Exploitなどを保存。
遮断対応 ⑧問題が生じたホストのすべての資格情報を失効。
⑨影響を受ける従業員のアカウントをロック。
情報共有 ⑩MozillaのセキュリティチームへExploitコードを提供。その後すぐ修正。
⑪ケンブリッジ大学へ通報しキャンペーンの攻撃範囲(メール送信先)を特定。
⑫インフラ、従業員保護のためにメールが届いた約200人を採用している組織を特定。
被害なく済んだ総括

Coinbaseは被害なしに済んだポイントを以下の通り総括。また今後も暗号資産を取り扱う業界への攻撃が続くと予想し情報共有の相互協力が顧客保護につながるとした。

  • セキュリティ第一の文化
  • 検出、対応に用いるツールの完全な展開
  • 明確で実践的なプレイブックの整備
  • 迅速なアクセス遮断機能

更新履歴

  • 2019年8月13日 AM 新規作成
  • 2019年8月13日 PM 表、誤字を修正
  • 2019年8月14日 AM 攻撃範囲(約200人はCoinbase単独ではなく、同社を含む全体数)が誤っていたため図、文章を修正。

*1:Gregory HarrisとNeil Morris?

バックドア化したASUS Live Updateを通じた攻撃(Operation ShadowHammer)についてまとめてみた

Kaspersky LabはASUSが提供するソフトウェア「ASUS Live Update」がバックドア化し、一部ユーザーを対象にマルウエアを配布する攻撃が展開されていたとして調査結果の一部を発表しました。この攻撃を同社は「Operation ShadowHammer」と呼称しています。ここでは関連する情報をまとめます。

Kaspersky Labの調査報告

securelist.com

また同社の調査報告についてMotherboardが取材した記事が公開されている。
motherboard.vice.com

  • 2019年3月21日に取材依頼を行っているがASUSからの返事がない模様。

securelist.com

ASUSの反応

  • MotherboardによればKaspersky Labの情報提供から3月25日までユーザーへの通知は確認されていない。
  • Kaspersky Labの調査によれば問題の証明書の内、無効化されたのは1件で、2件は有効な状態が継続している。
  • The Vergeの取材に対して26日中に公式に声明を出すとASUSがコメントしその通り公開。*1

タイムライン

日時 出来事
2018年5月3日 何者かによるセカンドステージのマルウェア通信先の登録日。
2018年6月~11月 当該期間中に攻撃が発生していた可能性。
2018年11月頃 セカンドステージの通信先がシャットダウン。
2019年1月27日 Kaspersky Labの研究者がこの問題を確認。
2019年1月31日 Kaspersky LabがASUSに対してこの問題に関する情報提供。
2019年2月14日 Kaspersky LabがASUSと会合。
2019年3月25日 MotherboardがASUSのサプライチェーン攻撃について報道。
同日 Kaspersky LabがOperation ShadowHammerとして調査結果の一部を公開。
2019年3月26日 ASUS がバックドアの問題について公式声明を公開。
2019年4月8日~11日 Operation ShadowHammerについてSASで発表。
2019年4月23日 Kapersky Labが第二報の調査結果を公開。
  • 時差を考慮していないため日時が前後している可能性があります。

攻撃の手口

f:id:piyokango:20190327042557p:plain

  • ASUS社のアップデータを用いたサプライチェーン攻撃。
  • バックドア化したASUS Live Updateを通じてマルウェアに感染する可能性があった。
  • 問題のASUS Live UpdateはASUSのサイトから配布されていた。

対策

  1. 確認(診断)ツールで影響を受けるかを確認する。
  2. 影響を受ける端末であった場合は出荷時設定に復元する。
  3. 対象ではない場合、ASUS Live Updateを最新版(Ver 3.6.8以上)に更新する。

www.asus.com

  • ASUSはセキュリティ確保のためパスワードを定期的に更新することを推奨。

影響範囲

(1)影響を受ける環境

  • ノートPCに利用されているASUS Live Updateのみ影響を受ける。

(2)感染台数
国別のバックドア化したアップデータをインストールしたとみられる台数内訳。

Kaspersky Lab
(約57000台検出)
Symantec
(約13000台検出)
ロシア 約18%(約1万台)
ドイツ 約16%(約9千台) 約4%(約5百台)
フランス 約13%(約7.4千台) 約9%(約1.2千台)
イタリア 約6%(約3.4千台) 約11%(約1.4千台)
米国 約6%(約3.4千台) 約13%(約1.7千台)
スペイン 約4%(約2.3千台)
ポーランド 約3%(約1.7千台)
英国 約2%(約1千台) 約7%(約9百台)
スイス 約2%(約1千台)
スウェーデン 約3%(約4百台)
ポルトガル 約2%(約1千台)
カナダ 約2%(約1千台) 約6%(約8百台)
台湾 約2%(約1千台) 約4%(約5百台)
オーストラリア 約2%(約1千台) 約12%(約1.6千台)
日本 約2%(約1千台) 約6%(約8百台)
ブラジル 約2%(約1千台)
  • 台数はpiyokangoが算出したため正確な数字ではない。
  • Kaspersky Labは詳細な数字を出していないため、凡その割合で算出。
Kaspersky Labの調査

  • Kaspersky Lab製品ユーザーの内、5万7千人以上がこの手口を通じてインストールしていることを確認。
  • Kaspersky Labは15か国の感染割合を表示。
  • ロシアが約18%、日本ユーザーも約1%後半程度存在する。
  • 2018年10月28日にユーザーの一人がセカンドステージのマルウェアに感染した可能性がある。
  • 世界中のユーザー(100万人以上)に影響が及んでいる可能性を指摘。
Symantecの調査

www.symantec.com

  • Motherboardからの情報提供を受け、Symantecも影響を受けたかを調査。
  • Symantec製品ユーザーの内、少なくとも1万3千台のPCが感染。
  • トップの約13%が米国ユーザー。日本ユーザーは約7%。
  • 約8割がコンシューマー、残りが組織からの感染。
  • アップデータを通じて別のマルウェアの感染者がいるか確認中。
  • 問題のアップデータがASUS社のサーバーからダウンロードされたものとSymantecも確認した。
  • 最大で50万台の端末に影響が及んだ可能性を指摘。
360威胁情报中心の調査

  • 対象のMACアドレスを調査した結果を公表。
ベンダ 件数
ASUSTek COMPUTER INC. 268件
Intel Corporate 157件
AzureWave Technology Inc. 101件
Liteon Technology Corporation 31件
Hon Hai Precision Ind. Co.,Ltd. 13件
BizLink (Kunshan) Co.,Ltd 7件
AMPAK Technology. Inc. 5件
TwinHan Technology Co.,Ltd 3件
VMware, Inc. 3件
Chicony Electronics Co,Ltd. 2件
REALTEK SEMICONDUCTOR CORP. 2件
Digital Data Communications Asia Co.,Ltd. 1件
GOOD WAY IND. CO., LTD. 1件
HUAWEI TECHNOLOGIES CO., LTD 1件
TP-LINK TECHNOLOGIES CO.,LTD. 1件
合計 596件
Skylightの調査

skylightcyber.com

Redditに関連する書き込みか

www.reddit.com

  • RedditにASUSのアップデータの不審な挙動を取り上げたスレッドが存在。
  • ASUSFourceUpdater.exeというプログラムで表示されたもの。
  • "Force"のスペルミスや詳細部が空欄表示となっている問題が指摘されていた。
  • GreyWolfx氏らがVirustotalやウィルス対策ソフトでの検証結果を報告している。
  • その当時は特段の懸念事項がスキャナで確認されず問題なしとされていた。

対象はMACアドレスで選別

  • バックドア化したアップデータはMACアドレスによって標的とするか識別。
  • Kaspersky Labが確認した200以上のマルウェアから600以上の固有のMACアドレスを抽出。
  • MACアドレスはアップデータにMD5ハッシュ値でハードコードされていた。
  • 標的リストはKaspersky Labが確認した範囲であり他にも標的が存在する可能性あり。
  • 標的リストにはASUS製のプレフィックスも存在する。*2
  • 対象のMACアドレスでない場合、セカンドステージのマルウェアは取得しない。
攻撃対象かの確認
  • 攻撃対象確認ツールとしてASUS、およびKaspersky Labは確認ツールを用意。
  • オンライン版はKaspersky Labが解読できた600件程度のMACアドレスのリストをもとに調査するもの。
  • 対象のMACアドレスを利用する端末かを確認するもの。
  • チェックで対象となった場合も侵害が確定するものではない。
  • ターゲットとなっていた場合はKaspersky Labへメール(shadowhammer@kaspersky.com)で連絡をしてほしいと依頼。
(1)スタンドアロン(Exe)による確認

ASUS、またはKaspersky Labが公開するExeを実行する。

公開元 確認・診断ツール DL
ASUS ASDT.exe
(F649AFCC30A23665DFD906E9FC5081AE35474A2B)
DL先
Kaspersky Lab shadowhammer.exe
(2956BFCBD49D5755AE2B7960C5F66841C139B232)
DL先
  • ASUS

ASUSはチェックボタンを押すとスキャンが開始される。
f:id:piyokango:20190329054943p:plain
f:id:piyokango:20190329054954p:plain
f:id:piyokango:20190329055005p:plain

問題なければ次の表示がされる。
f:id:piyokango:20190329055010p:plain

ASUSのツールはASUS環境、およびインターネット接続時しか動作しない。
f:id:piyokango:20190329055025p:plain

  • Kaspersky Lab

Kaspersky Labのツールでは対象でない場合は次の表示がされる。
f:id:piyokango:20190326051317p:plain

非公式だが該当する場合は次のような表示がされるものとみられる。

IMPORTANT
It appears you have been targeted!
Please send us an email to shadowhammer@kaspersky.com
(2)オンラインによる確認

f:id:piyokango:20190326051554p:plain
Kaspersky Labが公開する特設サイトにMACアドレスを入れ確認する。
shadowhammer.kaspersky.com

対象外の場合は次のように表示される。
f:id:piyokango:20190326051614p:plain

バックドア化したアップデータ

f:id:piyokango:20190329055116p:plain
(画像は改ざん前のASUS LiveUpdate)

  • ASUS Live Updateは工場出荷時に標準でインストールされているユーティリティソフト。
  • 有効化後は定期的にBIOS、UEFI、ドライバなどのアップデートをチェックする。
  • 問題のアップデータはこのソフト自体のアップデートを通じて配布されたとみられる。
  • Kaspersky Labはユーティリティを利用し続ける場合は最新版へのアップデートを推奨している。*3
  • セキュリティベンダが解析レポートを公開している。

countercept.com
asec.ahnlab.com

ASUS社の証明書を利用
  • バックドア化したアップデータにはASUS社の正規証明書が用いられていた。
  • 証明書の悪用は2件確認されている。
  • 1件目は2018年半ばに期限が切れ、その後別のASUSの証明書に切り替えられた。
  • Setup.exeに署名されている証明書は2019年3月26日時点でまだ有効な状態。

f:id:piyokango:20190326054244p:plain

セカンドステージマルウェア

  • logo.jpg、またはlogo2.jpgという名前で取得したファイルを元にしていたとみられる。

攻撃の背景、アクター

  • Operation ShadowHammerの正確な背景は現時点で判明していない。
  • Kaspersky Labが収集したエビデンスからShadowPadのアクターとの関与を疑っている。
  • ShadowPadのアクターはMicrosoftからBARIUMとも呼称されているもの。
  • BARIUMはWinntiバックドアを利用するアクター。
  • このアクターはCCleanerの攻撃にも関連がみられるもの。
  • ASUSもCClenaerの攻撃の対象となっていた。

IOC

バックドア化したアップデータ配布元
hxxp://liveupdate01.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip
バックドア化したアップデータ検体サンプル

Liveupdate_Test_VER365.zip

バックドア化したアップデータの通信先
asushotfix.com
141.105.71.116
  • 3月25日時点でこのドメインへの接続できない。
  • セカンドステージマルウェアの取得に用いられたとみられる。
  • 2018年6月~11月にかけて稼働していたとみられる。

実際に通信先として指定されていたものは以下。

hxxps://asushotfix.com/logo.jpg
hxxps://asushotfix.com/logo2.jpg

asushotfixがホストされていたIPは以下のドメインでも用いられていた。

host2.infoyoushouldknow.biz
nano2.baeflix.xyz
www.asushotfix.com
homeabcd.com
simplexoj.com

更新履歴

  • 2019年3月26日 AM 新規作成
  • 2019年3月26日 AM 情報追加、誤植修正
  • 2019年3月26日 PM 情報追加
  • 2019年3月27日 AM ASUSの公式声明を追加
  • 2019年3月29日 AM 情報追加
  • 2019年4月25日 AM 続報追加