大規模サイバースパイ活動「Red October」、Java脆弱性も悪用

2013.02.01

　今回は、まず、大規模なサイバースパイ活動「Red October」の話題から紹介する。Red Octoberは、ロシアのカスペルスキーラボの調査によって明らかになった。「Microsoft Office」に存在する脆弱性（CVE-2009-3129、CVE-2010-3333、CVE-2012-0158）を悪用されることに加え、Java攻撃の手口が使われていたことが判明している。

　カスペルスキーラボのブログによると、Java攻撃手口はイスラエルのセキュラートが確認、報告したもの。攻撃者はJavaの「Rhino」スクリプトエンジンに存在する脆弱性（CVE-2011-3544）を突いて対象のネットワークに侵入していたと見られる。Red Octobeも、これと手口の特徴が一致することから、カスペルスキーラボは、被害システムでは古いバージョンのJavaが稼働していたものと見ている。

　この手口が使われたと考えられる期間は2012年2月だが、あまり多用されなかったと思われる。カスペルスキーラボが悪質な.jarアーカイブを処理するPHPスクリプトをダウンロードしたとき、Java脆弱性を突くコードラインはコメントアウトになった。

　攻撃に関わったドメインは1度だけ2月14日にオンライン分析サービス「malwr.com」の公開サンドボックスに表示されている。まさにその日に、攻撃者は「hotinfonews.com」ドメインを登録した。

　攻撃グループは標的にマルウエアペイロードを数日間配信することに成功し、その後は攻撃の必要がなくなったとみられる。カスペルスキーラボでは、ターゲットの環境に合わせた侵入手口とスパイツールを入念に用意するこの攻撃グループは、2012年2月初めに通常のスピアフィッシング手口からJava攻撃手口に移行する必要が発生し、その後またスピアフィッシング手口に戻ったと推測している。

　つまりJava攻撃コードは限定的にしか使われなかったと考えられる。過去5年間のRed October活動では、バックドアなど共通して確認された機能や関連機能があった。ところが、上記の不正ファイルを配信するPHPベースのサーバーサイドスクリプトに埋め込まれた機能は、それとは大きく異なっている。

　構造としては、暗号解読ルーチンは攻撃コード自体に、攻撃コード内のURL文字列を解読する鍵はJavaアプレット自体に備えられているという。また、コンテンツをダウンロードするURLを暗号化するためのPHP暗号化ルーチンは以下の通りである。

PHP暗号化ルーチン

　以下はHTMLにアプレットを埋め込む関数で、これにより、パラメーター「p」を通じて暗号化したURL文字列を渡す。

アプレットを埋め込む関数

　暗号化した文字列はアプレット内のコードが処理して使用する。結果として生じる機能がURLからファイルをダウンロードし、「javaln.exe」に書き加える。

アプレット内のコード

　「transfer」ルーチンによって返されたURL「hXXp://www.hotinfonews.com/news/dailynews2.php?id=&t=win」のコンテンツが被害マシンのディスクに書き込まれ、実行される。

　攻撃の第2段階として「http://www.hotinfonews.com/news/dailynews2.php」からPE EXEファイルがダウンロードされ、Java攻撃コードのペイロードによって実行される。同ファイルは2012年2月6日に「Microsoft Visual Studio 2008」でコンパイルされている。次の段階のダウンローダーとして動作し、多くのRed Octoberモジュールで使われているのと同様の難読化層で守られている。

解読した難読化層

　このモジュールは、デバイスがインターネットに接続されるのを待ち、67秒ごとに米マイクロソフトや米グーグルのサイトにHTTP POSTリクエストを送信する。有効な接続が確立されると、メインループを継続し、180秒ごとにマルウエア管理（C&C）サーバーにHTTP POSTリクエストを送る。リクエストはハードコード化されたURL「www.dailyinfonews.net/reportdatas.php」に送信される。

　C&Cサーバーからの返事を受けると、暗号解読バッファー内に有効なEXE署名があるか確認する。署名があれば実行ファイルを「%TEMP%\nvsvc%p%p.exe」に書き込んで実行する。

　現在C&Cサーバーは稼働していないため、次の攻撃段階の実行ファイルを手に入れることはできないが、実行ファイルはWordやExcelを攻撃する際に使われるのと同様のドロッパーだろうと、カスペルスキーラボは推測している。

　Red October関連の情報が増え、他社からもRed Octoberに関する分析結果が発表されるにつれ、スパイ活動が当初考えていたより大規模であることが明らかになった。カスペルスキーラボは、ここで取り上げたJava攻撃以外にも、例えば別の攻撃でよく用いられるPDF関連の手口が使われてきた可能性があると指摘している。