米国の航空宇宙産業をターゲットに、AeroBlade が捜索中

原文のブログはこちらからご覧いただけます。

概要

BlackBerry は、米国の航空宇宙企業を標的とし、明らかに商業的および競争的なサイバースパイ活動を目的とした、これまで知られていなかった脅威アクターを発見しました。BlackBerry の脅威リサーチ＆インテリジェンスチームは、この脅威アクターを AeroBlade と呼んで追跡中です。配信メカニズムにはスピアフィッシングが使われていました。メール添付ファイルとして送信される武器化された文書に、リモートテンプレートインジェクション手法と悪意ある VBA マクロコードが埋め込まれており、これが次の段階で最終ペイロードを実行します。

証拠から、攻撃者のネットワークインフラストラクチャおよび武器化が実用可能となったのは 2022 年 9 月頃であることがうかがえます。BlackBerry の評価によると、この攻撃の攻撃フェーズが発生したのは 2023 年 7 月であることはほぼ確実です。攻撃者はその間にツールセットを改良してステルス性の強化を進めていましたが、ネットワークインフラストラクチャには変更を加えていませんでした。

最終ペイロードの機能と攻撃対象から、BlackBerry は、この攻撃の目的が商業的なサイバースパイ活動であったと高い確度で評価しています。

MITRE ATT&CK^® の概要

武器化と技術的概要

技術的解析

背景

BlackBerry の脅威リサーチ＆インテリジェンスチームは先ごろ、未知の脅威アクターによる 2 つのキャンペーンを発見し、AeroBlade と名付けました。これは米国の航空宇宙産業の企業を標的としたもので、その攻撃チェーンには 2 つのフェーズがあることが判明しています。最初の攻撃が実行されたのは 2022 年 9 月で、BlackBerry では技術的解析からこれが「テスト」段階であったと結論付けています。2 番目の攻撃が実行されたのは 2023 年 7 月でした。

この 2 つのキャンペーンには次のような類似点があります。

• どちらのおとり文書も「[redacted].docx」と名付けられていた
• 最終ペイロードがリバースシェルである
• コマンドアンドコントロール（C2）サーバーの IP アドレスが同じである

また、この 2 つのキャンペーンには次のような興味深い相違点もいくつかあります。

• 2023 年の攻撃に使用された最終ペイロードはステルス性が向上しており、より複雑な難読化手法と耐解析手法を用いている
• 2023 年のキャンペーンに使用された最終ペイロードには、感染した被害者のディレクトリをリストするオプションが含まれている

この攻撃では、[redacted].docx という悪意ある Microsoft Word 文書がメールによるスピアフィッシング攻撃で配信され、ユーザーがこの文書を手動で実行すると、リモートテンプレートインジェクションを使用して「[redacted].dotm」という第 2 段階のファイルがダウンロードされます。このファイルは「item3.xml」を実行し、これによって「redacted[.]redacted[.]com」にポート 443 で接続するリバースシェルが作成されます。

攻撃ベクトル

第 1 段階

感染の第 1 段階は、[redacted].docx というファイル名の悪意ある文書を添付した標的型メールから始まります。ユーザーが文書を開くと、故意に文字化けさせたフォントのテキストと「おとり」メッセージが表示され、このメッセージをクリックして Microsoft Office でコンテンツを有効化するように求められます。

この docx 文書は、リモートテンプレートインジェクション（MITRE ATT&CK 手法 T1221）を使用して、感染の第 2 段階を実行するファイルをダウンロードします。

• hxxp://[redacted].106.27.[redacted]/[redacted][.]dotm

被害者がファイルを開き、おとりメッセージ「コンテンツの有効化」を手動でクリックしてファイルを実行すると、[redacted].dotm 文書が新しいファイルを密かにシステムにドロップして開きます。新たにダウンロードされたドキュメントは問題なく読めるようになっており、最初にメールで受信したファイルが正当なものであると被害者に信じ込ませます。実は、これは古典的なサイバー「おとり商法」であり、被害者の目と鼻の先で見えないように実行されます。

第 2 段階

実行の第 2 段階には、マクロを含む OLE 文書が登場します。このマクロが、第 1 段階の文書に含まれるライブラリを実行します。

この第 2 段階のマクロは、さらに OLE 文書（[redacted].docx）を、次の特定のパスにあるハードコードされたファイル名にコピーします。

• C:\Users\user\AppData\Local\Temp\[redacted].zip

実行の最終段階では、マクロを使用して実行可能ファイルがシステム上で実行されます。

ペイロード

最終ペイロードは、ハードコードされた C2 サーバーに接続するリバースシェルとして機能する DLL です。リバースシェルを使用することで、攻撃者は標的マシンのポートを開き、強制的に通信を行ってデバイスを完全に乗っ取ることができます。したがって、これは重大なセキュリティ上の脅威と言えます。

この DLL には、現在感染しているシステム上で見つかったディレクトリをすべてリストする機能も備わっています。これは高度に難読化された実行可能ファイルであり、次のような複雑な手法を実装します。

• 逆アセンブル防止手法により解析を難化
• API のハッシュ化により Windows 関数の使用を隠蔽。ハッシュ関数には Murmur を使用
• 使用する各文字列のカスタムエンコーディング
• 複数のチェックを実装し、自動化された環境（サンドボックスなど）でのマルウェアの実行を回避することにより解析を妨害

逆アセンブル防止のため、この実行可能ファイルには、制御フローの難読化、コード間でのデータの使用、およびマルウェアに影響を与えないデッドコード実行命令が含まれています。デッドコードとは、プログラムのソースコード内にあるセクションの 1 つで、実行されるものの、その結果は他のどの処理にも使用されません。このような手法を追加する目的は、すべて防御側の解析を困難にするためです。

さらに、この実行可能ファイルには、自動化されたシステム（サンドボックスやアンチウイルス（AV）製品のエミュレータなど）上でのマルウェアの実行をスキップする手法も実装されています。このような手法には次のものがあります。

• GetCursorPos() 関数を使用してマウスカーソルの位置を比較する
• 関数 GetTickCount() を使用して実行時に経過時間を比較する
• Process Environment Block（PEB）構造体の NumberOfProcessors を使用して、プロセッサ数が 2 つ未満かどうかを確認する
• GlobalMemoryStatusEx() 関数を使用して物理メモリサイズを確認する

これらの確認にすべて合格すると、悪意ある DLL は次のシーケンスを実行します。

• 接続先の C2 サーバー情報を含む、埋め込まれた静的な設定を復号する
• 感染したマシンからシステム情報を収集する
• 永続性を設定し、システムが再起動されても存在を確保する
• 最後に、C2 サーバーに接続し、収集した情報をすべて送信して、リバースシェルを生成すると同時に、感染したシステムで見つかったディレクトリのリストを送信する

静的な設定は AES で暗号化されており、復号された設定には次の構造が含まれています。

• 最初の DWORD：0x154、使用法不明、静的な設定のサイズが 72 バイトでハードコードされている
• 2 番目の DWORD：0x1BB、TCP ポート 443 に接続
• 16 バイトの文字列「Pa$$w0rd」は C2 に接続するためのパスワードのように見えるが、実際には使用されていない
• C2 サーバーは「redacted[.]redacted[.]com」を指している

ボットが収集したデータは次のような構造になっています。

• オフセット 0x3：不明なカスタムエンコード関数によって計算された、ハードコードされた不明な 16 バイト
• オフセット 0x13：関数 GetUserNameA() を使用したユーザー名
• オフセット 0x43：関数 GetComputerNameA() を使用したコンピューター名
• オフセット 0x73：関数 GetModuleFileNameA() を使用して実行されるファイル名
• オフセット 0x178：関数 GetAdaptersInfo() を使用した IPv4 アドレス
• オフセット 0x1b8：関数 GetAdaptersInfo() を使用した MAC アドレス

永続性の確立には Windows タスクスケジューラを使用し、「WinUpdate2」という名前のタスクを作成して毎日午前 10 時 10 分に実行します。タスクスケジューラの機能を悪用するために、CoCreateInstance() 関数を介して COM オブジェクトを使用しています。

リバースシェル

最後に、リバースシェルが密かに実行されます。まず GetStdHandle() を呼び出してデフォルトの標準ハンドルを取得し、次に GetEnvironmentVariableW() 関数を使用して ComSpec 変数を取得します（デフォルトでは「C:\Windows\system32\cmd.exe」に設定されています）。その後、CreatePipe() を使用してパイプを作成し、CreateProcessW() を実行して「cmd.exe」を作成します。

調査の過程で、BlackBerry は 2022 年半ばに 2 つのサンプル「5[redacted sha-256]7」と「5[redacted sha-256]8」を見つけました。これは、C2 が「[redacted][.]165」ハードコードされたリバースシェルでもあり、この IP アドレスは 2023 年のサンプルで C2 サーバーが指しているアドレスと同じです。どちらのサンプルも航空宇宙産業を標的にしていました。

2022 年のサンプルは難読化されていますが、2023 年のサンプルとは異なり、API のハッシュ化や耐解析手法などのステルス機能、または暗号化された静的な設定は含まれていません。また、ディレクトリをリストする機能もなく、情報をリモートサーバーに送信することもできません。

ネットワークインフラ

標的と帰属

おとりメッセージの内容から、両キャンペーンの標的として意図されていたのは米国のある航空宇宙企業であったことがわかります。

この脅威グループのツールキットの進化の様子から、そのオペレーターが少なくとも 1 年間活動していたことがわかります。これら 2 つのキャンペーンの背後にいるのが誰なのか、まだ正確にはわかっていません。

まとめ

この脅威アクターが展開した比較的高度な技術的能力と被害者のタイムラインを踏まえ、BlackBerry ではこれが商業的なサイバースパイ活動であったと確信しています。その目的はほぼ確実に、標的の内部リソース全体を可視化し、将来の身代金要求に対する弱さを評価することです。

脅威アクターの活動タイムライン（2022 年 9 月と 2023 年 7 月）から、標的に対するグループの関心が最初のキャンペーンから 2 番目のキャンペーンまで一貫していたと推測できます。これは、最初のキャンペーンと比較して 2 番目のほうが複雑化していることからも明らかです。BlackBerry が観察した 2 つのキャンペーンの間に、脅威アクターは多大な労力を注ぎ込んで追加リソースを開発し、需要の多い情報に安全にアクセスしてうまく盗み出せるよう、周到に準備を進めていたのです。

付録 1 - 参照用の侵入の痕跡（IOC）

関連記事

• 製品のお問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
• AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
• BlackBerry Japan：https://www.blackberry.com/ja/jp
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
• LinkedIn: https://www.linkedin.com/company/blackberry/
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos