日本も標的に:感染済みUSBを使ったスパイ攻撃が2023年前半に急増
Mandiantによれば、2023年の前半に、予め有害なソフトウェアに感染させたUSBドライブを使って秘密情報を盗み取ろうとする攻撃の件数が3倍に増加したという。この急増に寄与した2つのキャンペーン(①マルウェア「SOGU」を用いたものと、②マルウェア「SNOWYDRIVE」を用いたもの)について、Mandiantが詳細を報告した。なおSOGUのキャンペーンに関しては、日本にも被害者がいるとされる。Mandiantの調査によれば、USBを有害ソフトに感染させる恐れのあるホットスポットとしては、各国の印刷店やホテルが挙げられるという。
①中国関連アクターによる「SOGU」配布キャンペーン
有害なソフトウェアを複数含むUSBフラッシュドライブを利用してマルウェア「SOGU」を被害者マシン上にロードし、機微な情報を盗み取るキャンペーン。Mandiantによると、SOGUキャンペーンはUSBを用いたサイバースパイ攻撃の中でも最も広く被害者を出しているキャンペーンなのだという。
攻撃者
Mandiantは、SOGUキャンペーンの首謀者を中国関連のサイバースパイアクター「TEMP.Hex」であると考えている。同アクターは、中国の国家安全保障や経済に役立つような情報を収集することを目的にこういった攻撃を行っている可能性が高い。
被害者
SOGUマルウェアの被害者は、日本、米国、フランス、英国、イタリア、ポーランド、オーストリア、オーストラリア、スイス、中国、ウクライナ、シンガポール、インドネシア、フィリピンと世界各地に存在している。被害組織の事業分野も多岐にわたるが、特に多いのがIT、エネルギー、通信、医療、ロジスティクスなど。
SOGUマルウェアの性能
SOGUは、バッチファイルを「RECYCLE.BIN」に投下し、これを使ってシステム内(特にCドライブ)を偵察して以下の拡張子が付いたファイルを探す:.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf。見つかったファイルはコピーされ、コピーの方は暗号化される。その後SOGUは最終的に、これらのファイルをC2サーバーへと抽出する。
上記のような情報窃取機能のほか、SOGUは以下を含む多様なコマンドに対応しているという:ファイル転送、ファイル実行、リモートデスクトップ、スクリーンショットの撮影、リバースシェル、キーロギング。
また、SOGUは感染済みシステムへ新たに差し込まれたリムーバブルドライブ上に自らをコピーする性能も備えており、これにより有害なペイロードを他のシステムへ拡散させることができるのだという。
②UNC4698によるSNOWYDRIVE配布キャンペーン
USBフラッシュドライブを使ってマルウェア「SNOWYDRIVE」を配布してホストシステム上にバックドアを作成し、攻撃者によるWindowsのコマンドプロンプトを用いた任意のペイロードの実行やレジストリの変更、ファイルやディレクトリの操作などが可能な状態を作り出すキャンペーン。
攻撃者
このサイバースパイキャンペーンは脅威アクター「UNC4698」によって行われているというのが、Mandiantの考え。UNC4698は、アジアの石油・ガス関連組織を標的にしてきたアクターなのだという。
被害者
SNOWYDRIVEキャンペーンの被害者は、アジア地域の石油・ガス関連組織だとされる。なおMandiantのレポートには、具体的な国名は記載されていない。
SNOWYDRIVEマルウェアの性能
SNOWYDRIVEはシェルコードベースのバックドアで、ファイル操作やデータ抜き取り、リバースシェル、コマンド実行、偵察といった活動を可能にする多数のコマンドに対応している。また、SOGUと同様、SNOWYDRIVEも新たに差し込まれたリムーバブルデバイスへ拡散する能力を持つ。
推奨される対策は?
上記のような攻撃被害を予防するため、MandiantはUSBドライブなどの外部デバイスの使用制限を優先的に実施すべきだとしている。また、それが不可能な場合には、こうしたデバイスを内部ネットワークに接続する前に、悪意あるファイルやコードが含まれていないかスキャンすることが最低限必要だとされる。
(情報源:Mandiant “The Spies Who Loved You: Infected USB Drives to Steal Secrets”、BleepingComputer “USB drive malware attacks spiking again in first half of 2023”)