WhiskerSpy という北朝鮮のマルウェア:ウォータリング・ホール攻撃で中国と日本を狙う

New WhiskerSpy malware delivered via trojanized codec installer

2023/02/18 BleepingComputer — セキュリティ研究者たちが発見したのは、北朝鮮に関心を示す個人を標的とする、最近の脅威アクター Earth Kitsune のキャンペーンで使用されている、新しいバックドア WhiskerSpy だ。この脅威アクターは、試行錯誤の末に、北朝鮮の親サイトのビジターからターゲットを選び出すという、ウォータリング・ホール攻撃として知られる手口を採用していた。この新しいオペレーションの存在は、2019年から Earth Kitsune の活動を追跡してきた、サイバーセキュリティ企業の Trend Micro の研究者たちにより、昨年末に発見された。

ウォータリング・ホール攻撃の手口

Trend Micro によると、ある Web サイトで訪問者が動画を見ようとした際に、WhiskerSpy が配信されたという。この攻撃者は、あらかじめ Web サイトを侵害して不正なスクリプトを注入し、被害者が訪れた際にメディアを実行するためと説明し、悪意のビデオ・コーデックをインストールするよう促す。

この脅威アクターは、被害者を騙すために、正規のコーデック・インストーラーを修正し、最終的に被害者のシステム上に、新たなタイプのバックドアをロードするように仕向けていたという。

WhiskerSpy backdoor infection chain
WhiskerSpy バックドアの感染チェーン
source: Trrend Micro

研究者たちによると、この Web サイトへの訪問者の中で、脅威のアクターが標的にしていたのは、中国の瀋陽/日本の名古屋/ブラジルなどの IP アドレスを持つ者のみだったという。

ブラジルのサイトは、VPN 接続を利用したウォーターリング・ホール攻撃のテストに利用され、実際のターゲットは中国/日本の2都市からの訪問者であったと思われる。ターゲットには、ビデオを見るためにコーデックをインストールするよう促す、以下のような偽のエラーメッセージが表示される。

Fake error message seen by valid targets
ターゲットの画面に表示される偽のエラーメッセージ (Trend Micro)

このコーデックは、実際には MSI 実行ファイルであり、被害者のコンピュータにシェルコードをインストールし、一連の PowerShell コマンドを起動させ、WhiskerSpy バックドアを展開させるというものだ。

研究者たちは、Earth Kitsune がキャンペーンで使用した永続化技術の1つが、Google Chrome のネイティブ・メッセージング・ホストを悪用して、Google Chrome Helper と呼ばれる悪意の Google Chrome エクステンションをインストールすることだと指摘している。このエクステンションの役割は、ブラウザが起動するたびにペイロードの実行を許可することだ。

Malicious Chrome extension
悪意の Chrome エクステンション (Trend Micro)

永続化のためのもう1つの手口は、OneDrive のサイド・ローディングの脆弱性を利用して、OneDrive のディレクトリに不正なファイル (偽の vcruntime140.dll) をドロップさせる方法だ。

WhiskerSpy の詳細

最新の Earth Kitsune キャンペーンで使用されるメイン・ペイロードである WhiskerSpy は、リモートのオペレーターに以下の機能を提供する。

  • 対話型シェル
  • ファイルのダウンロード
  • ファイルのアップロード
  • ファイルの削除
  • ファイル一覧表示
  • スクリーンショットの撮影
  • 実行ファイルのロード/そのエクスポートの呼び出し
  • プロセスへのシェルコード注入

WhiskerSpy は、16 Byte の AES 鍵を用いて暗号化を行い、Command and Conmtrol (C2) サーバと通信する。WhiskerSpy は定期的に C2 に接続し、その状態に関する最新情報を取得する。このサーバからマルウェアに返信される指示には、シェルコマンドの実行/別プロセスへのコード注入/特定ファイルの流出/スクリーン・ショットの取得などがある。

Commands supported by WhiskerSpy
WhiskerSpy がサポートするコマンド (Trend Micro)

Trend Micro は、HTTP の代わりに FTP プロトコルを用いて C2 通信する、WhiskerSpy の旧バージョンを発見している。この旧バージョンは、実行時にデバッガの存在を確認し、適切なステータス・コードで C2 に通知する機能も備えている。

なお、今回のウォーターリング・ホール攻撃について、Earth Kitsune の犯行と断定する研究者たちの確信は中程度だが、手口やターゲットは、これまで Earth Kitsune が行っていた活動と類似しているとのことだ。

ウォータリング・ホール攻撃は、日本語では水飲み場攻撃と言われます。まずは、北朝鮮に関連するサイトを選んで「水飲み場」として侵害し、そこへ訪れた中国の瀋陽/日本の名古屋の人々に、マルウェアをダウンロードするよう仕向けるという手口です。このマルウェアは、Google Chrome Helper という名の呼悪意の Google Chrome エクステンションとのことですが、Chrome のプロセスと同一名であるため、見逃す可能性が高いのかもしれません。いずれにせよ、この WhiskerSpy は永続性を維持して、長期間にわたってスパイ行為に及ぶという、典型的な APT なのでしょう。

%d bloggers like this: