MDM(モバイルデバイス管理)ツールを使用した標的型攻撃

f:id:nanashi0x:20180716202920p:plain

Vector Art by www.vecteezy.com

 

Cisco's Talos Intelligence Group Blog: Advanced Mobile Malware Campaign in India uses Malicious MDM

※この記事には続報があります。

【続報】MDMツールを使用してマルウェア配布。前回調査結果は「氷山の一角」か - 忙しい人のためのサイバーセキュリティニュース

 

Cisco Talosは、インドに位置する13個のiPhoneをターゲットにした標的型キャンペーンを確認しました。

この標的型攻撃キャンペーンでは、攻撃者は登録端末を制御するオープンソースMDM(mobile device management)システムを使用していたようです。

しかし現段階では、「攻撃者がどのように標的デバイスMDMに登録させたのか」は判明していません。

Cisco Talosによるブログ記事では、「ソーシャルエンジニアリングにより登録されたのではないか」と推測されています。

一体、攻撃者はMDMを使って”どのように”標的型攻撃を行ったのでしょうか。

そんな疑問に答えるべく、この記事では、以下の点について説明していきます。

  • MDM標的型攻撃キャンペーンで使われたマルウェア
  • 攻撃者に関する情報

MDMとは

f:id:anoymask:20180716010440p:plain

(Advanced Mobile Malware Campaign in India uses Malicious MDMより)

MDMに活用方法は様々ありますが、インドで発生したMDMを悪用した標的型攻撃で使われた「アプリケーションの配布」という機能を説明していきます。

最早当たり前となったスマートフォンの活用ですが、会社のメール閲覧や、VPN、セキュリティトークン等も業務用スマートフォンのアプリの一つとしてインストールさせる事で、管理の負担を減らす企業が増えています。

ですが、会社経営層の立場からすれば、社員に好き勝手にアプリをインストールされて、顧客情報をSNSアップロードされてしまったり、マルウェアを端末にインストールして情報を抜き取られてしまっては会社の信頼が失墜してしまいます。

そうした対策の一環として注目を集めているのがMDMなのです。

MDMを使えば、システム管理者は簡単に社員全員のスマートフォンに対してアプリをインストールさせたり、セキュリティポリシーの適用をする事ができます

ここでは紹介しきれませんが、他にもMDMを導入することで以下のような端末管理を行う事が出来ます。

  • 任意のデバイスにだけ社内LAN、ファイルサーバー、メールサーバーへのアクセスを許可する
  • 万が一端末が紛失された時に遠隔から端末データを削除する
  • セキュリティポリシーの展開を一括で行う

 

MDMの代表的な製品として、最近はMicrosoft Intuneが流行っていると思います。

Intuneに関しては以下の公式ページで基本的な機能に関して説明されているので、ぜひご覧下さい。

Microsoft Intune の概要 | マイクロソフト

 

さて、以上がMDMに関する簡潔な説明となります。

次のセクションでは、この記事の本題である「インドで発生したMDMを使用した標的型攻撃キャンペーン」に関して説明していきます。

 

MDMによるマルウェア配布

今回インドで発生したMDMを悪用した標的型攻撃キャンペーンでは、攻撃社が悪意を持って開発した5種類のアプリケーションが、MDMを使ってインドにある13個の端末それぞれに配布されました。

前セクションで説明したMDMを使ったアプリ配布」機能を悪用して、標的型攻撃を行ったのです。

配布された5つのアプリケーションの機能は、以下の様になっています。

  • 2つのアプリ・・・端末の機能をチェックする
  • 1つのアプリ・・・SMSメッセージを盗み読む
  • もう2つのアプリ・・・端末の位置情報やその他データを窃取する

 

攻撃者は、これらの機能を正当なアプリケーションに追加するためにBOptions sideloading techniqueを使用したとされます。

そこのテクニックを使って、ターゲットの端末に対して、悪意を持って細工したWhatAppやTelegramなどのアプリケーションを配布したのです。

では、次のセクションでは攻撃者が用いたBOptions sideloading techniqueに関して説明していきます。

 

BOptions sideloading techniqueとは?

f:id:anoymask:20180716010149p:plain

(Advanced Mobile Malware Campaign in India uses Malicious MDMより)

BOptions sideloading techniqueを使うことで、ダイナミックライブラリ(.dll)をアプリケーションに注入する事ができるようになります。

.dllファイルを注入する事が出来るのは、TelegramやWhatsAppのような正規アプリケーションです。

攻撃者はこのGitHubプロジェクトを使用して、iOSパッケージ(.ipa file)にBOptionspro.dylibライブラリを注入し、各種情報の窃取を行ったと見られています。

注入されたBOptionspro.dylibは、コード実行やオリジナルのアプリケーションなどの権限を求めることが出来ます。

窃取できる情報の例として、以下のようなものが挙げられます。

  • 電話番号や電話帳
  • 端末のシリアルナンバー
  • 端末の位置情報(GPS
  • 写真や動画等の保存されていたコンテンツ
  • SMSメッセージ
  • その他TelegramやWhatsAppなどのチャットメッセージ

そうした「個人を特定できるような情報」を悪用する事で、攻撃者はターゲットを誘導したり、さらには脅迫を行ったり政治腐敗につながる悪事をはたらく事が出来ます。

ちなみにイタリア・ミラノに本拠地を置くIT会社であるHackingTeamは先にこの技術を使っていたようです。

 

さて、ここまで高度なテクニックを使用してターゲットに狙いを定めた攻撃者であるにも関わらず、なぜCisco Talosのセキュリティ研究者達は今回のインシデント関して突き止める事が出来たのでしょうか。

続いてのセクションでは、攻撃者が残した証拠に関して説明していきます。

攻撃者が残した証拠

f:id:anoymask:20180716005937p:plain

(Advanced Mobile Malware Campaign in India uses Malicious MDMより)

実は、攻撃者がターゲットの端末に細工されたアプリを配布する際に使用したMDMサーバと、それらアプリが接続していたC2サーバにログが残っていたのです。

更に、サーバにはログだけではなく、メールアドレスやユーザ名などの重要な情報が残されていました。 

Cisco Talosがサーバーと保存されていたログを調査した結果、以下のような情報を突き止めました。

  • 2015年8月以降からマルウェアが使用されていた
  • 標的はインドに位置する13個のデバイスだけである
  • 攻撃者は”test”または”mdmdev”と名付けられたデバイスを使ってテストを行っていた。
  • サーバーにはデバイスの電話番号が残り、電話番号はインドの電話番号だった。
  • 攻撃者が使用したデバイスは”Vodafone India”ネットワークをローミング機能オフで使用していた。

以上の情報を元に、Cisco Talosはマルウェア作成者は非常に高確率でインドに居たと推測しています。

また、今回の調査を踏まえて、Cisco Talosは、このキャンペーンに対抗するためにAppleと連携を行いました。

Appleは、報告を受けた時点で、この標的型攻撃キャンペーンに関わる3つの証明書を取り消しており、残り2つについても報告を受けて速やかに削除したようです。

Cisco Talosの原文レポートを読む

(執筆:Anoymask (@UXYEA) | Twitter

続報は以下のリンクから

【続報】MDMツールを使用してマルウェア配布。前回調査結果は「氷山の一角」か - 忙しい人のためのサイバーセキュリティニュース