日本を狙う Larva-24005 グループのフィッシングメール攻撃事例

ASEC(AhnLab SEcurity intelligence Center)は、Larva-24005 が韓国国内で運用されているサーバーを侵害したあと、フィッシングメール送信のための Web サーバー、データベース、PHP 環境を構築する振る舞いを確認した。

Larva-24005 は攻撃拠点を利用して、韓国国内だけでなく日本も攻撃対象としていることを確認した。主な攻撃対象は、対北朝鮮関連の従事者と北朝鮮の体制に関する研究を行う大学教授などであり、フィッシングメール攻撃のために C2 サーバーを構成し、メール本文に ZOOM 会議のリンクや Web ポータルログインページに偽装した URL を貼り付け、ユーザーのクリックを誘導している。

本ブログでは、Larva-24005 が攻撃インフラを確保するまでのプロセスと、日本をターゲットとしたフィッシングメール攻撃の事例を説明する。

1. Larva-24005

Larva-24005 は、北朝鮮の支援を受けているものと知られている Kimsuky 攻撃グループの下位グループであり、当社の脅威管理分類システムにより新たに命名された名称である。このグループは脆弱な状況で運用されている Windows システムの RDP 脆弱性を通じて初期侵入を行うものと見られ、侵入後は Windows OS においてリモートデスクトッププロトコル(RDP)接続を有効にするオープンソースユーティリティである RDPWrap と、自主製作したキーロガーをシステムにインストールする。

2.攻撃者がフィッシングメールを送信するために事前に行う振る舞い

2.1 攻撃インフラの確保

攻撃者は、フィッシングメール送信インフラを構築するためにリモートデスクトッププロトコル(RDP)を利用して韓国国内のシステムに侵入する。侵入のプロセスで使用された資格情報の取得経路は明確に確認されていないが、総当たり攻撃や事前に確保した認証情報を利用したものと推測される。

Larva-24005 は一部のインフラを確保するとき、Bluekeep の脆弱性を利用するものと確認されている。Bluekeep の脆弱性(CVE-2019-0708)は、リモートデスクトッププロトコル(RDP)で発見されたリモートコード実行(RCE)脆弱性であり、RDP サービスに悪意のあるパケットを送信してリモートコマンドを実行することができる。Kimsuky 攻撃グループは以前から Bluekeep 脆弱性を利用しており、関連内容は ASEC ブログ「[Kimsuky] Operation Covert Stalker」で確認できる。Bluekeep 脆弱性は、Windows 2008 R2 バージョン以下の脆弱なバージョンの OS を対象としてのみ攻撃を遂行することができ、最新 OS を使用する場合は脆弱性の影響を受けない。

2.2 XAMPP インストール

攻撃者は攻撃インフラを確保したあと、システムに Web サーバーの稼働に必要な Apache、MariaDB、PHP、Perl などが含まれた統合パッケージである XAMPP をインストールする。XAMPP を利用して全体的な C2 環境を管理し、キーロガー結果ファイルおよびフィッシングメールの被害者情報をテキストファイル形式で保存する。また、攻撃者はフィッシングメール送信機能を実現するために PHPMailer をインストールする。 PHPMailer は PHP コードによって電子メールを容易に送信できるライブラリであり、構成要素のうち mailer.lib.php ファイルにフィッシングメール送信者のアドレスを明記する。攻撃に使用されたアカウントは Web ポータル関連のアカウントであり、現在はすべて停止されている状態である。

表1. 攻撃者がフィッシングに利用したメールアドレスの一覧

2.3 日本語 IME のインストール

攻撃者は、攻撃インフラに日本語 IME をインストールする。IME(Input Method Editor)は、ユーザーがキーボードにない文字および記号を入力できるようにするソフトウェアである。一般的に韓国国内の Windows システムには日本語 IME がインストールされていない。攻撃者は日本をターゲットとするフィッシングメールの送信や、日本語で検索を行うための目的で日本語 IME を攻撃インフラにインストールしたものと見られる。

図1. 攻撃者が被害対象のシステムにインストールした日本語 IME

2.4 フィッシングページの準備

攻撃者は、IIS_USER アカウントのダウンロードフォルダーと XAMPP ホームフォルダーに、事前に製作しておいたフィッシングページを保存する。IIS_USER アカウントは、Larva-24005 が攻撃インフラを確保したあとに作成するアカウントである。フィッシングページは iCloud、OneDrive、Outlook、Naver、Google などの正常なサービスに偽装してユーザーのログイン情報を窃取するために使用される。ただし、フィッシングページは攻撃インフラにおいて痕跡のみが確認され、実際のファイルはすでに削除されていたため、確保できなかった。

図2. 攻撃者が使用したフィッシングページの一覧

3.攻撃者のフィッシングターゲット選定方式

攻撃者は、確保した攻撃インフラの Web ブラウザ(Chrome、MS Edge)を利用して Google 検索を実行し、関連キーワードを追加して繰り返し検索を行い目標の情報を収集する。また、フィッシングメールによって確保したアカウント情報を利用して Web ポータル、メールプラットフォーム(Outlook など)に直接ログインし、被害者のメールボックスからさらなる攻撃対象と関連情報を探し出す。主に、日本で北朝鮮関連の活動を行う大学教授や非営利団体が標的となる。

表2. 攻撃者が Chrome Web ブラウザで検索したキーワードの一部

攻撃者は、日本の情勢に関連するニュースも持続的に収集する。主に日本の日経(nikkei)新聞を通じて、北朝鮮、日本と関連する記事を閲覧し、Chrome Web ブラウザのアクセス履歴を通じて確認された記事の一覧には「北朝鮮、弾道ミサイル発射　防衛省「日本の EEZ 外落下」」、「日本の新たな要求が北朝鮮との対話を促す鍵となる可能性」、「日経平均、取引時間中の昨年来高値更新…33年ぶり水準」などがある。

図3. 攻撃者が閲覧した記事#1 (北朝鮮、弾道ミサイル発射　防衛省「日本の EEZ 外落下」)

図4. 攻撃者が閲覧した記事#2 (日本の新たな要求が北朝鮮との対話を促す鍵となる可能性)

4.フィッシングメール送信

攻撃者は攻撃ターゲットの情報を十分に得たあと、攻撃インフラにインストールされた PHPMailer を利用する、または収集した被害者のアカウントでログインしてフィッシングメールを送信する。

Larva-24005 が使用するフィッシングメールは、大きく分けて二つの方式に区分される。不正なファイルを圧縮して添付したり、メール本文に不正な URL を挿入することが特徴である。今回の事例で確認された方式は、メール本文に不正な URL を挿入するものであり、フィッシングメールの内容には受信者が興味を持ちそうな素材や、近しい人物になりすました内容が含まれている。

攻撃者が Google 翻訳を利用して韓国語を日本語に翻訳した状況も存在する。以下の図のように、フィッシングメール本文の作成に使用するメッセージを翻訳したものと確認されている。

図5. 攻撃者が Google 翻訳を利用して韓国語を日本語に翻訳した様子

以下に紹介する事例は、攻撃者が被害対象のシステムにインストールしたキーロガーのログファイルから確認された内容で構成されている。

4.1 1つ目の事例

攻撃者は、日本の某大学の国際コミュニケーション科の教授をターゲットに、Zoom ミーティング招待に偽装したフィッシングメールを送信した。この教授は北朝鮮体制の生存に関する論文を執筆した経歴があり、教授が使用する大学のメールアドレスはネット上で簡単に確認することができる。

• From: FROM.teamzoom_reply@daum.net
• メール件名：0000 さんがあなたを予約された Zoom ミーティングに招待しています

メール本文の内容は安全保障外交政策研究会議のためのプログラム案内に関する内容であり、発表者と発表内容、発表時間などが含まれている。また、外交政策研究会議への参加のための Zoom URL が含まれていたが、当該 URL は正常な URL ではなく、攻撃者の C2 サーバーのアドレスとつながっている。

図6. 攻撃者が送信したフィッシングメール本文の内容 #1

攻撃者は、フィッシングメールを送信したあと、被害者がメールを閲覧したかどうかを確認するために受信確認機能も利用する。

図7. フィッシングメールの受信確認履歴

4.2 2つ目の事例

攻撃者は、攻撃対象のアカウント情報を窃取するために、Microsoft のログインページに偽装したリンクを添付してメールを送信する。被害者が偽のリンクであることに気づかず当該ページにアカウント情報を入力すると、入力されたアカウント情報は攻撃者の C2 サーバーに転送される。攻撃者が使用したメールアドレスは、以下の通りである。

• noreply_microprotect@naver.com
• office365_service@naver.com

攻撃者は、メール本文にハイパーリンクを挿入して被害者をフィッシングページに誘導する。以下の図は攻撃者が被害対象のシステムにインストールしたキーロガーにより記録された内容であり、メール本文には日本語が含まれている。また、攻撃に利用された polypheou.jp は日本の健康補助食品企業に関連する Web サイトであるが、攻撃者は C2 アドレスにサブドメインを変更して使用したものと確認された。

図8. 攻撃者が送信したフィッシングメール本文の内容 #2

当該リンクを通じてフィッシングページに移動すると、以下のようにターゲットのメールアドレスが含まれているログインページを確認できる。攻撃者は、攻撃ターゲットごとにカスタマイズされたフィッシングページを製作し、スピアフィッシングメールを送信する。

図9. Microsoft ログインのフィッシングページ

5.結論

前段で説明した事例から分かるように、Larva-24005 攻撃グループは韓国と日本を対象に様々なタイプのフィッシングメールを利用した攻撃を継続的に行っていることが確認できる。

攻撃者はフィッシングメールを通じて受信者のクリックを誘導し、正常なサイトに偽装したフィッシングサイトにリダイレクトするなど、持続的に不正な振る舞いを試みている。

これらは単純に正常なサイトを偽装するにとどまらず、ターゲットの関心事や関連人物を詐称してメール本文を作成するため、メール受信時には送信者情報を慎重に確認し、添付ファイルの閲覧やリンクのクリックには特に注意する必要がある。

特に、電子メールから外部サイトに接続する場合、リンクされたサイトのアドレスが正常なサイトのアドレスと一致しているかどうかを必ず確認し、少しでも疑わしい場合はアカウント情報を入力しないよう注意が必要である。

IOC 関連情報

MD5

b500a8ffd4907a1dfda985683f1de1df

URL

http[:]//auth[.]portal[.]pikara[.]ne[.]polypheou[.]jp/

http[:]//download[.]mail[.]naver[.]corn-file[.]kro[.]kr/

http[:]//t[.]infomail[.]microsofit[.]com[.]polypheou[.]jp/

http[:]//us06web[.]zoom[.]us[.]meet[.]polypheou[.]jp/

http[:]//www3[.]icloud[.]vbox[.]l[.]up[.]tcmp[.]polypheou[.]jp/

追加 IoC は ATIP で提供しています。