本日の記事は、SOC アナリスト 小池 倫太郎の記事です。
---
2023年1月初めから複数の日本企業において、Google広告経由でマルウェアをダウンロードするインシデントが急増しています。IcedIDやAurora Stealerを配布するものなど、観測されている攻撃キャンペーンは数多く存在しますが、特に私たちがSteelCloverと呼んでいる攻撃グループによるものが多くなっています。
本稿では、直近で観測されたGoogle広告経由でのマルウェア配布事例の中から、SteelCloverによる攻撃の最新動向を共有します。
SteelClover
SteelCloverは少なくとも2019年から活動している攻撃グループで、金銭を目的に攻撃を行っています。Malsmoke[1][2][3][4]と呼ばれる攻撃キャンペーンを実行している攻撃グループであり、Batloader[5]と呼ばれるマルウェアを使用しており、DEV-0569[6]やWater Minyades[7]と重複があります。SteelCloverによる攻撃は情報窃取の他に、最終的にランサムウェア実行に至るという情報もあります。
私たちはSteelCloverによる攻撃を5つのキャンペーンに分類しており、2023年2月上旬時点ではBatAppキャンペーンとFakeGPGキャンペーンが観測されています。これまでも日本国内で数回スパイクが確認されていましたが、2023年1月上旬から再び活発化しています。
SteelCloverは現在までに様々な変化が観測されており、攻撃手法も日々アップデートされています。以下にSOCで把握しているSteelCloverのイベントを示します。
![](https://cdn.sanity.io/images/1efpsj26/production/9699db3af2d43eed4b3c29f287e7f8f1e89e2ee5-2836x2134.png)
最新の攻撃フロー
SteelCloverは日々アップデートを続けており、攻撃フローも変化していますが、以下では2023年2月上旬に観測されたFakeGPGキャンペーンによる攻撃をもとにしています。
![](https://cdn.sanity.io/images/1efpsj26/production/38ee1b67ee5538166f9b03dd852f6bb5ff4bcfbe-2637x1177.png)
下記画像のように、SteelCloverの悪性ファイル配布サイトへリダイレクトする悪性広告は正規サイトよりも上位に表示されており、ユーザが誤ってアクセスしてしまう恐れがあります。このとき表示される悪性広告は改ざんされたWebサイトであると考えられます。
![](https://cdn.sanity.io/images/1efpsj26/production/2e90f123b66e8c3ecde3c7ca7e901de322592d6b-885x402.png)
悪性ファイル配布サイトは正規サイトをコピーして作成されており、見た目は正規サイトとほとんど変わりません。ダウンロードボタンをクリックすることで悪性ファイルがダウンロードされます。
![](https://cdn.sanity.io/images/1efpsj26/production/2668113f45b62068e04a13f3ea3e26a526338580-883x505.png)
悪性ファイルはMSIファイルであり、MSIファイルを実行することでPowerShellコードが実行されます。その結果、UrsnifとRedline Stealerがダウンロード・実行され、情報窃取が行われます。
悪性ファイル配布サイト
悪性ファイルを配布するサイトは著名なソフトウェアのWebサイトを模して作成されています。SOCではこれまでに50種類以上SteelCloverによる悪性ファイル配布サイト(FakeGPGキャンペーンに限らず、別キャンペーンも含む)を確認しています。
以前はAnyDeskやTeamViewerのようなリモートデスクトップツールや、SlackやMicrosoft Teamsのようなコミュニケーションツール、Adobe AcrobatやMozilla Thunderbirdのような業務上使用するようなソフトウェアのWebサイトが模倣されてきました。しかし、最近では幅広く著名なソフトウェアを模倣する傾向にあり、それらを予め想定することは難しくなってきています。
![](https://cdn.sanity.io/images/1efpsj26/production/fbe8bf7390285ffa36a83f535df8602a77d89554-885x528.png)
MSIファイル
MSIファイルはメモリが4100MB以上ないと実行できないように制限が掛けられています。これは解析・サンドボックス環境での動作を避けるためであると考えられます。
![](https://cdn.sanity.io/images/1efpsj26/production/746ac3d735b990322835303f64ae1cd36f52c016-407x49.png)
![](https://cdn.sanity.io/images/1efpsj26/production/ef794dda419d74edf1c73f5a6643d6d8018ec3b4-661x515.png)
MSIファイルは実行されると、Custom Action機能を用いてPowerShellコードを実行します。
![](https://cdn.sanity.io/images/1efpsj26/production/52e4e8374e6168ac9e320d4973d86b52afed05e2-885x27.png)
PowerShellコードは更に別のPowerShellコードをWebサイト上からダウンロード・実行します。
![](https://cdn.sanity.io/images/1efpsj26/production/3353f9fd56897daa6ef5836ea778fdd37d880828-884x290.png)
PowerShellコード
MSIファイルによってダウンロード・実行されたPowerShellコードは、まず Add-MpPreference コマンドを用いていくつかの拡張子やディレクトリ、プロセスをMicrosoft Defenderの除外設定に追加します。
![](https://cdn.sanity.io/images/1efpsj26/production/c59e73fb12bd5d1639345862586d21b92ee32a2d-884x109.png)
次に wget コマンドを用いてGPGファイルをダウンロードします。これは後述するGpg4Winを用いて復号され、最終的にUrsnifとRedline Stealerとなります。
![](https://cdn.sanity.io/images/1efpsj26/production/1d38a43e4aad3a48f46d7ccff9a1d667cbd992bc-885x64.png)
その後、正規のインストーラファイルをダウンロードし、実行します。ユーザから見ると、 確かに正規のインストーラが実行されているため、悪性ファイルを開いてしまったことを自覚しにくくなっています。
![](https://cdn.sanity.io/images/1efpsj26/production/c8216dbb1916f58994b9767a5b560a3ed56fca10-884x108.png)
また、先にダウンロードしたGPGファイルを復号するために、Gpg4Winがインストールされ、ファイルを復号します。
![](https://cdn.sanity.io/images/1efpsj26/production/155d57c85eea49a947fb369fe262dd57909d6955-798x177.png)
このときダウンロードされるGpg4Winは長期に渡って同一の非常に古いバージョンであり、かつHTTPでダウンロードするため、検知することは容易です。
![](https://cdn.sanity.io/images/1efpsj26/production/de5061ce601731ecb03c9980d765c3821026a69e-830x48.png)
最後に、予めダウンロードしたNSudoを用いて、復号したUrsnifとRedline Stealerを実行します。
![](https://cdn.sanity.io/images/1efpsj26/production/eef8c4ba7df6405b6b69c48c1151850630a6261b-885x56.png)
実行されるマルウェア
PowerShellコードによって実行されるマルウェアのうち、rundll32.exeを用いて実行される Zeip.dll はUrsnifです。Ursnifは元々バンキングトロジャンであり金融関連の情報窃取を目的としてきましたが、現在SteelCloverが使用しているUrsnifはVNCのモジュールを使用しており、端末へのアクセスを得るために使用されていると考えられます。
PowerShellコードによって実行されるマルウェアのうち、Zeip.exe は .NET製のダウンローダであり、実行されるとRedline Stealerをダウンロード・実行します。Redline Stealerは端末内に保存された機密情報を窃取します。
SteelCloverの背後
SteelCloverはExploit Kitやマルウェアなどを独自で開発しているわけではなく、販売されているものを使用していますが、攻撃者はミスが多く、随所に攻撃者の特徴が反映されています。
例えば、表面的なものであれば、Gpg4Winによってマルウェアを復号する際に使用されるパスワードや、Redline StealerをダウンロードするZeip.exeで使用されている関数名などはロシアを想起させます。これらは攻撃者が意図して自らそうしているわけですが、はじめからそうであったわけではなく、数カ月ほど前からその傾向が顕著となっています。
![](https://cdn.sanity.io/images/1efpsj26/production/c68626f39e12d4b219616491134cb4c96755ab68-790x120.png)
また、SteelCloverが管理する攻撃者インフラ(悪性ファイル配布サーバやマルウェア配布サーバ)上で使われている言語や、攻撃者のミスで漏洩した様々な情報にもロシア由来のものが多数含まれていました。これらのことから、SteelCloverはロシア語話者が関与している攻撃グループであると考えられます。
おわりに
SteelCloverは数年前から活動している攻撃グループであり、現在ではGoogle広告経由で悪性ファイルを配布し、UrsnifやRedline Stealerに感染させています。日々積極的にアップデートを続けており、度々日本でも観測されているため、今後も注意が必要です。
IoC
- 47[.]251.52.170
- 37[.]220.83.95
- 5[.]178.2.159
- 81[.]177.136.237
- 81[.]177.6.46
- 62[.]204.41.176
参考文献
[1] Malwarebytes, "Malvertising campaigns come back in full swing", https://www.malwarebytes.com/blog/news/2020/09/malvertising-campaigns-come-back-in-full-swing
[2] Malwarebytes, "Malsmoke operators abandon exploit kits in favor of social engineering scheme", https://www.malwarebytes.com/blog/news/2020/11/malsmoke-operators-abandon-exploit-kits-in-favor-of-social-engineering-scheme
[3] NTTセキュリティ・ジャパン, "Crazy Journey: Evolution of Smoky Camouflage", https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_6_sawabe-tanabe_jp.pdf
[4] Check Point, "Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk", https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/
[5] Mandiant, "Zoom For You — SEO Poisoning to Distribute BATLOADER and Atera Agent", https://www.mandiant.com/resources/blog/seo-poisoning-batloader-atera
[6] Microsoft, "DEV-0569 finds new ways to deliver Royal ransomware, various payloads", https://www.microsoft.com/en-us/security/blog/2022/11/17/dev-0569-finds-new-ways-to-deliver-royal-ransomware-various-payloads/
[7] TrendMicro, "Batloader Malware Abuses Legitimate Tools, Uses Obfuscated JavaScript Files in Q4 2022 Attacks", https://www.trendmicro.com/en_us/research/23/a/batloader-malware-abuses-legitimate-tools-uses-obfuscated-javasc.html