US-CERTが北朝鮮HIDDEN COBRAのマルウェア”Volgmer”に関する注意喚起(TA17-318B)を発表。(後編)
※この記事は、昨日(2017/11/15)書いたTA17-318Aの内容の”後編”として、TA17-318Bの内容をまとめていきます。
関連: US-CERTが北朝鮮HIDDEN COBRAのマルウェア”Volgmer”に関する注意喚起(TA17-318A)を発表。(前編)
TA17-318Bの概要
TA17-318Bは、HIDDEN COBRAが使用したマルウェア・「Volgmer」に関するIOC、関連IPアドレス、マルウェアの説明、シグネチャに関する記述がされている。
また、TA17-318Bには、Volgmerへの対策方法や、インシデントのレポート方法も記述してある。
もし万が一、Volgmerの被害に遭った場合、直ちにDHSかFBI Cyber Watch(CyWatch)に報告してほしい旨が書かれている。
TA17-318Aの概要欄には、IOC、並びにマルウェア分析レポート(MAR)に関する文書が記載されているので、興味のある人は参照するといいだろう。
直リンクを貼るのはセキュリティ的に問題があるので、ダウンロードリンクのある場所を、実際のページのスクリーンショット画像として示しておく。
(TA17-318Bの”Overview”配下にIOCのリンクがある。)
Volgmerについての説明
調査によれば、HIDDEN COBRAはVolgmerを2013年から使用していたとされる。
Volgmerのターゲットは、主に以下の業界。
- 政府機関
- 金融機関
- 自動車
- マスメディア
Volgmerは、backdoor Trojan(バックドアとしてターゲット端末に潜伏するトロイの木馬)で、攻撃者とターゲット端末間で通信を行う為に潜伏する。
HIDDEN COBRAは、主に標的型メール攻撃を使ってVolgmerを拡散するようだ。
ただ、HIDDEN COBRAは、ターゲットをエクスプロイトするために必要な様々ななツールを使用する事が確認されている。
その為、Volgmerをターゲット端末に潜伏させる為に、標的型メール以外の攻撃手法を使用する可能性もある。
言い換えると、Volgmerに感染した端末には、Volgmer以外のマルウェアが潜伏しているケースもある事になる。
アメリカ政府の調査によれば、Volgmerには静的・動的IPアドレスの2種類が設定されているようだ。
静的IPアドレスに関して言えば、最低でも94の静的IPアドレスが指定されている。
動的IPアドレスは、様々な国のドメインサービスから取得されており、主に以下の国々に集中しているという。
- インド…25.40%
- イラン…12.30%
- パキスタン…11.30%
- サウジアラビア…6%
- 台湾…5.60%
- タイ…4.60%
- スリランカ…4%
- 中国(香港含む)…2.70%
- ベトナム…2.60%
- インドネシア…2.20%
- ロシア…2.20%
- その他…21.10%
以上のリストだけではイメージが掴みにくいので、以下に円グラフを掲載しておく。
Technical Details
Volgmerの持つ機能について
Volgmerは、backdoor Trojan(バックドア・トロイの木馬)として以下の機能を持つ。
ペイロード
Volgmerのペイロードは、32bitの*.exeファイルか、*.dllファイルと言われている。
Volgmerは、TCPポート8080番か8088番を使って、カスタムされたバイナリ転送プロトコルでC&Cサーバーとの通信を行う。
尚、通信はSSLで暗号化されているようだ。
検知とレスポンス
TA17-318Bに記載されているIOCには、HIDDEN COBRAを検知する為に必要な情報を記載している。
DHSとFBIは、ネットワーク管理者は、IOCを参照し、そこに記載されているIPアドレスが自身の管理するIPアドレスに該当するかどうかチェックすることをお薦めしている。
ネットワークシグネチャとHost-Basedルール
TA17-318Bには、ネットワークシグネチャも記載されている。
ネットワークシグネチャを使うにあたって、誤検知アラート(False Positive)が上がる可能性は拭いきれないので、「あくまで参考として使用してもらいたい」と述べている。
ネットワークシグネチャ
※最大限注意を払ってコピペして掲載しているが、誤記入している可能性もあるので、念のためシグネチャは元ページから参照頂きたい。
以下は参考としてコピペしたものを掲載しておく。
alert tcp any any -> any any (msg:"Malformed_UA"; content:"User-Agent: Mozillar/"; depth:500; sid:99999999;)
YARA Rule
rule volgmer
{
meta:
description = "Malformed User Agent"
strings:
$s = "Mozillar/"
condition:
(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and $s
}
Volgmerによる感染の影響
Volgmerがネットワークに侵入できた場合、機密情報漏洩など、深刻な影響を及ぼす可能性がある。
- 一時的、又は永続的な重要/機密情報の喪失
- 通常オペレーションの妨害
- 損なわれたシステムやファイル復元に関する金銭的損失
- 被害にあった組織の社会的信用の損失
対策方法
- アプリケーションのホワイトリストを設定し、組織で認証されていないアプリケーションによって通信が行われるのを防ぐ
- OSとソフトウェアを最新の状態にアップデートする
- アンチウイルスソフトと定義データベースを最新の状態にアップデートする
- 組織内のユーザーのアクセスコントロールを行い、アプリケーションのインストール制限を行う。
- Eメールに添付されていた文書のマクロの実行を制限する
- Eメールに書かれている行き先不明のリンクを踏まない
Volgmerによる感染被害を確認した場合
直ちにDHSかFBIオフィスに連絡する事。
- DHS NCCIC(NCCICCustomerService[at]hq.dhs.gov)又は+1-888-282-0870
- FBI’s Cyber Division(CyWatch[at]fbi.gov)又は+1-855-292-3937
合わせて読みたい: US-CERTが北朝鮮HIDDEN COBRAのマルウェア”Volgmer”に関する注意喚起(TA17-318A)を発表。(前編)