Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers

2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に7種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング/IT/法律/通信/メディア/保険/ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。


Polonium はレバノンを拠点とし、イスラエルの標的だけを攻撃する高度な作戦集団であり、化学元素をテーマにした名前を Microsoft が付けたとされている。Command and Control (C2) 目的で作成された、20以上の悪意の OneDrive アカウントを、2022年6月初旬に Microsoft が停止したときに、このグループの存在が判明した。

攻撃の中核となるのは、CreepyDrive/CreepyBox と呼ばれるインプラントであり、行為者が管理する OneDrive/Dropbox アカウントへ向けて、機密データを流出させる機能を備えている。また、CreepySnail と呼ばれる PowerShell バックドアも配備されているという。

今回、ESET が発見した5つのバックドアは、これまで文書化されていなかったものであり、このマルウェアを改良/改造している諜報活動に焦点を当てたものとなっている。

ESET の研究者である Matías Porolli は、「Polonium のカスタム・ツールに導入された各種の変更は、スパイ活動を遂行するための、継続的かつ長期的な努力を示している。このグループは、破壊工作やランサムウェアの行為には関与していないようだ」と述べている。

オーダーメイド・ハッキング・ツールの一覧は以下の通りである。

  • CreepyDrive/CreepyBox:OneDrive/Dropboxに保存されたテキスト・ファイルからコマンドを読み取り実行する PowerShell バックドア。
  • CreepySnail:攻撃者の C 2サーバからコマンドを受信する PowerShell バックドア。
  • DeepCreep:Dropbox アカウントに保存されたテキスト・ファイルからコマンドを読み出し、データを流出させる C# バックドア。
  • MegaCreep:Mega クラウド・ストレージ・サービスに保存されたテキスト・ファイルからコマンドを読み取る C# バックドア。
  • FlipCreep:FTP サーバに保存されたテキスト・ファイルからコマンドを読み出し、データを流出させる C# バックドア。
  • TechnoCreep:TCP ソケット経由で C2 サーバと通信し、コマンドを実行しデータを流出させる C# バックドア。
  • PapaCreep: TCP ソケット経由でリモート・サーバからコマンドを受信して実行する C++ バックドア。

2022年9月に発見された PapaCreep は、コマンドの実行、コマンドと出力の送受信/ファイル・アップロード/ファイル・ダウンロードを行うための、4種類のコンポーネントを含むモジュール型のマルウェアである。

Polonium Hackers


ESET は、キーストローク記録/スクリーンショット・キャプチャ/Web カメラによる写真撮影/侵入したマシン上でのリバースシェルの確立などを担う、複数のモジュールも発見したと述べている。今回の攻撃で使用されたマルウェアの数は多く、ネットワーク侵入に使われたイニシャル・アクセス経路も不明だが、VPN の欠陥を悪用したものと推測されている。

Matías Porolli は、「このグループが所有する悪意のモジュールの大半は、機能が制限された小さなものである。彼らは、バックドア内のコードを分割し、悪意の機能を各種の小さな DLL に分散させることを好み、防御者や研究者が攻撃チェーンを観察できないようにしている」と述べている。

オーダーメイドのバックドアがリストアップされていますが、その全てが実用的であり、すぐに使えるものだと感じてしまいます。Polonium に関しては、6月6日の「Microsoft 対 イランの APT:法的措置により 41 の Bohriumドメインを押収」に記載されているのを見つけました。今日の記事ではレバノンからの攻撃と解説されていますが、前回には「イランからイスラエルへの攻撃」が示唆されていました。5月24日の「ダボス会議のインターポール:国家が開発したサーバー兵器がダークウェブで売られる日も近い」という記事を思い出しましたが、そうならないことを、願うばかりです。

%d bloggers like this: