Bronze Starlight という中国の APT:Ivancy VPN の証明書をマルウェアの署名に悪用

Hackers use VPN provider’s code certificate to sign malware

2023/08/19 BleepingComputer — Bronze Starlight として知られる中国系の APT (Advanced Persistent Threat) グループが、Ivacy VPN プロバイダーの有効な証明書で署名したマルウェアを用いて、東南アジアのギャンブル業界をターゲットにしていることが確認された。有効な証明書を悪用することの主なメリットは、セキュリティ対策やシステム・アラートによる検知を回避し、正規のソフトウェアやトラフィックに紛れ込める点にある。このキャンペーンを分析した SentinelLabs は、その証明書について、Ivacy VPN のシンガポールのベンダーである PMG PTE LTD のものだと見ている。


2023年3月に観測されたサイバー攻撃は、ESET が 2022 Q4~2023 Q1 のレポートで報告した、Operation ChattyGoblin の後期の段階であると考えられる。しかし SentinelLabs は、中国の脅威アクター間でツールが広範囲に共有されているため、特定のクラスターと関連付けるのは難しいと述べている。

DLL のサイドローディング

この攻撃は、トロイの木馬化されたチャット・アプリを経由して、ターゲット・システム上に .NET 実行ファイル (agentupdate_plugins.exe/AdventureQuest.exe) をドロップすることから始まるようだ。続いて、Alibaba バケットから、パスワードで保護された ZIP アーカイブを取得する。

AdventureQuest.exe マルウェアのサンプルは、5月にセキュリティ研究者である MalwareHunterteam によりて発見さた。そして、コード署名証明書が Ivacy VPN の公式インストーラーに使用されているものと同一であることが判明した。

これらのアーカイブには、Adobe Creative Cloud/Microsoft Edge/McAfee VirusScan などの、DLL ハイジャックの影響を受けやすい脆弱なソフトウェア・バージョンが含まれている。Bronze Starlight のハッカーたちは、これらの脆弱なアプリケーションを使用して、標的のシステムに Cobalt Strike ビーコンを展開する。

悪意の DLL (libcef.dll/msedge_elf.dll/LockDown.dll) は、正規のプログラム実行ファイルと一緒にアーカイブ内にパックされている。そして Windows は、C:∕WindowsSystem32 に格納されている正規で安全な DLL バージョンに優先して、悪意の DLL を実行してしまう。

Contents of the ZIP files fetched from cloud buckets
クラウド・バケットから取得された ZIP ファイルの内容 (SentinelLabs)

SentinelLabs が指摘しているのは、.NET 実行ファイルにはジオフェンシング制限があり、米国/ドイツ/フランス/ロシア/インド/カナダ/英国などでは、このマルウェアが実行されないようになっている点だ。

上記の国々は、このキャンペーンのターゲット対象外であり、検出/分析を回避するために除外されている。しかし、実装上のエラーがあるため、ジオフェンシングは意図した通りに機能していないという。

有効な証明書の悪用

観測された攻撃で興味深いのは、Ivacy VPN のベンダーである PMG PTE LTD に属するコード・サイニング証明書を使用している点である。

実際に、同じ証明書が、VPN プロバイダーの Web サイトからリンクされている、Ivacy VPN の公式インストーラーの署名に使用されている。

The code-signing certificate in question
問題のコード署名証明書
(@malwrhunterteam)

SentinelLabs は、「中国の脅威アクターは、マルウェアの署名を可能にするために、こういった手口をよく使う。潜在的に機密性の高いユーザーデータや通信へのアクセスを可能にする VPN プロバイダーは、脅威アクターたちの重要な標的となる」と述べている。

セキュリティ研究者たちが懸念しているのは、もし証明書が盗まれていた場合に、脅威アクターが VPN プロバイダーで何にアクセスしたのかということだ。

PMG PTE LTD は、この情報開示に対して公的な声明を出していないため、ハッカーが証明書にアクセスした正確な手段は不明のままだ。

その一方で、DigiCert は 2023年6月初旬に、Baseline Requirements ガイドラインに違反したとして、この証明書を取り消し、無効にした。

BleepingComputer は、悪用されたコード・サイニング証明書について Ivacy に問い合わせたが、回答は得られなかった。

まだ、正確なことは分からないようですが、チャットを介してイニシャルアクセスが行われ、Ivancy VPN の有効な証明書を持つアプリと、マルウェア化された悪意の DLL のセットが展開されるという、とても恐ろしいオペレーションです。よろしければ、2023/08/04 の「VPN 依存というリスキーなギャンブル:ネットワークへのアクセス権は危険」と、DLL Sideloading で検索を、ご参照ください。