欧州政府組織のエアギャップ済みシステムが、APT「GoldenJackal」のカスタムマルウェアにより侵害される
BleepingComputer – October 8, 2024
APTハッキンググループ「GoldenJackal」が、ヨーロッパに位置するエアギャップ対策済みシステムを侵害することに成功していたという。機微なデータの窃取を狙ったこれらの攻撃では、2種類のカスタムツールセットが使われていたとされる。
GoldenJackalは2023年5月にカスペルスキーがその活動について注意喚起したグループで、スパイ目的で政府や外交関連のターゲットを狙っている旨が伝えられていた。同グループが「JackalWorm」など、USBペンドライブ経由で拡散するカスタムツールを使用することは以前から知られていたものの、エアギャップ対策が施され、隔離されたシステムの侵害に成功するケースが確認されたのは初めてだとされる。
ESETのレポートによれば、実施された攻撃は少なくとも2件あったという。1件目は南アジアのある国がベラルーシ国内に設置していた大使館を狙ったもので、2019年9月と2021年7月に発生。2件目は2022年5月〜2024年3月に行われた攻撃で、ヨーロッパのある政府組織が標的になった。
<1件目の攻撃>
ESETによれば、この攻撃は大まかに以下のような流れで実施されたという。
①インターネットに接続されたシステムを、マルウェア「GoldenDealer」に感染させる。感染経路として考えられるのは、トロイの木馬化されたソフトウェアや悪意あるドキュメントなど。
②GoldenDealerは、感染したシステムにUSBドライブが差し込まれるのを待機。挿入が検知されると、自動的に自らをコピーしてUSBにペーストするとともに、その他の有害なコンポーネントもUSBへ送り込む。
③その後、当該USBがエアギャップ対策済みのコンピューターに差し込まれると、先ほどUSB上にコピーされたGoldenDealerによって、バックドア「GoldenHowl」とファイルスティーラー「GoldenRobo」がインストールされる。
④GoldenRoboはシステムをスキャンし、ドキュメントや画像、証明書、暗号鍵、アーカイブファイル、OpenVPNの構成ファイル、およびその他の有価値な情報がないか探し、見つかった情報をUSBドライブ上の隠しディレクトリに保存する。GoldenHowlの方はインターネット接続されたマシン上で機能する仕様になっているとみられるが、ファイルの窃取、永続性確保の円滑化、脆弱性のスキャン、およびC2との直接的な通信を行う性能を備える。
⑤USBドライブが引き抜かれ、①のインターネットに接続されたシステムへ再度挿入されると、GoldenDealerがUSBに保管された盗難データを自動で攻撃者のC2サーバーへ送信する。
<2件目の攻撃>
2022年の攻撃では、Goベースの新たなモジュラーツールセットが使われ始め、これにより1件目のものと似たような活動が実施された。ただ、このツールセットにより、例えば一部のマシンはファイルの抽出用、その他のマシンはファイルステージャーやコンフィグレーションの配布ポイント、など、異なる複数のマシンに別々の役割を与えることが可能になったという。
2件目の攻撃で使われた新たなツールには、以下のようなものがある。
- GoldenAce:最初のUSB感染に使われるマルウェア。
- GoldenUsbCopyおよびGoldenUsbGo:ファイルの窃取および盗難データの攻撃者への送信を担うマルウェア。後者は前者の亜種で、より新しいバージョン。
- GoldenBlacklist:感染したシステムのEメールメッセージをフィルタリングし、特定のメッセージを抽出前にアーカイブする性能を持つ。Python版はGoldenPyBlacklist。
- GoldenMailer:盗んだ情報を攻撃者へメール送信する役割を果たす。
- GoldenDrive:盗んだデータをGoogle Driveへアップロードするマルウェア。
両攻撃で使われた2種類のツールセットの存在により、GoldenJackalが持つ、新たなカスタムマルウェアを開発する能力や、それらのマルウェアを密かなスパイ活動のために最大限有効活用できる能力の高さが浮き彫りになっている。ESETは、これらのツールに関連するIoCをGitHub上で公開しているとのこと。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠