※本ブログは、英語版ブログ「https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-spoofs-philippine-government-covid-19-health-data-widespread」の翻訳です。
主なポイント
- プルーフポイントは、新たなサイバー犯罪者「TA2722」を確認しました。
- このグループは、フィリピンの保健省、労働局、税関局などの政府組織や、フィリピンに拠点を置くその他の企業になりすましています。
- TA2722は、通常、海運/物流、製造、ビジネスサービス、製薬、エネルギーなどの企業を標的としています。地域的には、北米、欧州、東南アジアをターゲットとしています。
- TA2722は、RemcosおよびNanoCoreなどの遠隔操作ウイルスであるRAT (リモートアクセス型トロイの木馬)を配布しています。
概要
プルーフポイントは、非常に活発にサイバー犯罪を繰り広げている攻撃グループTA2722を新たに特定しました。2021年を通じて、保健省、フィリピン海外雇用局(POEA)、関税局など、複数のフィリピン政府機関になりすました一連のキャンペーンをおこないました。また、サウジアラビア王国(KSA)のマニラ領事館やDHLフィリピンを装ったキャンペーンもおこなわれました。メッセージは、北米、ヨーロッパ、東南アジアのさまざまな業種の企業を対象としており、上位には、海運、物流、製造、ビジネスサービス、製薬、エネルギー、金融などが含まれています。
プルーフポイントでは、電子メールアドレスを偽装し、政府機関を装ったルアー(おとり)を配信するという継続的なパターンに基づき、この攻撃者がフィリピン政府と直接または間接的にかかわる組織を標的にしていると評価しています。たとえば、海運・運輸・物流企業は、寄港地の税関職員と頻繁に関わります。また、製造業やエネルギー関連企業は、大規模なサプライチェーンを支え、維持しているため、労働組織と税関の両方とのやり取りが必要になると考えられます。
いずれのキャンペーンも、遠隔操作ツールであるRemcosまたはNanoCoreのリモートアクセス型トロイの木馬(RAT)を配布していました。RemcosとNanoCoreは、通常、情報収集、データ窃盗の操作、侵入したコンピュータの監視と制御に使用されます。マルウェアの関連インフラは時間の経過とともに変化するものの、送信者の電子メールは長期間にわたって再利用されていました。
2020年、フィリピンの政府機関は、フィリピンにおけるCOVID-19の感染情報やPOEAの労働情報などをテーマにして、ルアーに関する活動を警告するアラートを複数発表しました。
攻撃キャンペーンの詳細
プルーフポイントのリサーチャーは、2021年半ばにマニラのサウジアラビア王国(KSA)領事館とフィリピン海外雇用局(POEA)を装って、REMCOSとNanoCore RATを配布する一連の攻撃キャンペーンを確認しました。さらに調査を進めると、プルーフポイント社は、フィリピン保健省と関税局を装って同じマルウェアを配布する別のキャンペーンを確認しました。
プルーフポイントは、この攻撃キャンペーンを2つの異なる脅威活動クラスターに分けました。すべてのケースにおいて、メッセージルアーは英語で書かれていました。これらのキャンペーンには、以下のような複数の脅威配信メカニズムが含まれていました。
- UUEファイルが埋め込まれたRARファイルにリンクするOneDriveのURL
- マルウェアをダウンロードして実行する圧縮実行ファイル(.isoファイル)につながるOneDriveリンクやその他の悪意のあるURLが埋め込まれたPDF電子メールの添付ファイル
- 有効にするとマルウェアをダウンロードするマクロを含む圧縮されたMS Excel文書
Remcosは、オンラインで購入できるコモディティのリモートアクセスツールです。NanoCoreもコモディティのマルウェアで、「Aeonhack」が.NETで書いたものです。コードはEazfuscator.NET 3.3で難読化されています。NanoCore RATは、さまざまなハッキングフォーラムで販売されており、多くの機能とプラグインが含まれています。RemcosとNanoCore RATの双方ともに、多数のサイバー犯罪攻撃者によって、多くの異なる配信技術やルアーを使って配布されています。
攻撃基盤クラスター Shahzad73
プルーフポイントは、最初に確認された攻撃基盤クラスターを、攻撃者が使用するC2(コマンド&コントロール)ドメインに基づいてShahzad73と名付けました。
shahzad73[.]ddns[.]net
shahzad73[.]casacam[.]net
プルーフポイントがこの活動クラスタの定期的な追跡を開始したのは2021年4月ですが、過去のデータによると、この活動は2020年8月までさかのぼることができます。攻撃者は、フィリピン海外雇用局(POEA)やマニラのサウジアラビア領事館になりすますなど、労働関連のメッセージを装ったテーマを利用します。Shahzad73の攻撃キャンペーンで観察されたその他の脅威は、頻度は低いものの、請求書やインボイスを騙るものでした。これらのメッセージは、運輸、エネルギー、建設、製造、金融、ビジネスサービスなど、世界中の数百社の顧客に影響を与えました。
送信されたメッセージの例:
From: POEA <info1@poea.gov.ph>
Subject: "POEA ADVISORY ON DELISTED AGENCIES."
図1: フィリピン海外雇用局(POEA)を装ったメールサンプル
その他のメッセージ例:
From: "ksa.Consulate manila " <consulate_ksa_emb@gmail.com>
Subject: "Memorandum from the Saudi Embassy"
図2:サウジアラビア王国(KSA)の領事館を装った電子メールのサンプル
サウジアラビアは、フィリピンの海外労働者にとってもっとも人気のある渡航先の一つであり、100万人以上のフィリピン人が働いていると言われています。2021年5月、フィリピン人労働者がCOVID-19の検査や検疫の費用を請求されているという報告を受け、フィリピンはサウジアラビアへの労働者派遣を一時停止しました。プルーフポイントでは、同時期にマニラのサウジアラビア領事館になりすまして、輸送機関などを標的にしたキャンペーンを確認しました。
これらのメッセージのほとんどには、UUEまたはRARの添付ファイルが含まれており、最終的にRemcos RATまたはNanoCore RATのインストールにつながります。各キャンペーンでは、キーワード「shahzad73」を含むダイナミックDNSのC2ドメインが使用されていました。
添付ファイル名の例:
memorandum from the saudi embassy.pdf.uue.rar
Memorandum from the Saudi Embassy.pdf.uue
POEA Memo-Circular No 019-22.pdf.uue
POEA Memo-Circular No 002-06.pdf.exe
poea memo on delisted agencies ! reminder.uue.rar
poea advisory on delisted agencies.pdf.uue
swiftusd33,980_soa005673452425.uue.rar
観測されたREMCOSサンプルの構成例:
C2: shahzad73[.]casacam[.]net:2404
C2: shahzad73[.]ddns[.]net:2404
license: 9C98D5D48F9EA32282C07700F23815A0
version: 2.7.2 Pro
観測されたNanoCore RATのサンプルの構成例:
GCThreshold: 10485760
KeyboardLogging: True
WanTimeout: 8000
Version: 1.2.2.0
Mutex: Global\{a58bb08a-85df-4191-824c-1b90cbce1024}
RestartDelay: 5000
BackupDnsServer: 8.8.4.4
PrimaryDnsServer: 8.8.8.8
ConnectionPort: 9036
MaxPacketSize: 10485760
BufferSize: 65535
ClearZoneIdentifier: True
DefaultGroup: ENDING-JUNE
LanTimeout: 2500
BackupConnectionHost: shahzad73[.]ddns[.]net
BuildTime: 2021-07-26 13:34:18 UTC
UseCustomDnsServer: True
MutexTimeout: 5000
KeepAliveTimeout: 30000
PrimaryConnectionHost: shahzad73[.]casacam[.]net
TimeoutInterval: 5000
PreventSystemSleep: True
ConnectDelay: 4000
攻撃基盤クラスター CPRS
プルーフポイントは、2番目に確認された攻撃基盤クラスターをCPRSと命名しました。これは、攻撃者が現在進行中のキャンペーンにおいて、フィリピン関税局の顧客プロファイル登録システム(CPRS)を定期的に偽装していることに基づいています。今回確認されたRemcos RATのキャンペーンは、海運・物流、製造業、工業、エネルギーの各分野を中心に、世界中の約150の顧客に影響を与えました。
プルーフポイントは、2019年12月にこの攻撃基盤クラスターの追跡を開始しました。この攻撃者は、2020年10月まで月に複数のキャンペーンをおこなっていたようです。2021年9月に再び活動が再開されました。履歴データによると、この活動は2018年にまでさかのぼることができます。この攻撃者は、フィリピン政府に関連する団体を装ったテーマを利用しており、もっとも多いのは税関である CPRSです。また、フィリピンの保健省を装ってCOVID-19の情報を配信するメールもありました。一方で、この攻撃キャンペーン関連では、請求書、配送、金融・財務をテーマにした脅威は、あまり観測されませんでした。
送信されたメッセージの例:
From: cprs@customs[.]gov[.]ph
Subject: "E-Mail Alert for Status: PROVISIONAL GOODS DECLARATION REFERENCE NO.C-1075027-21"
図3:税関の申告書を装ったメール
その他のメッセージの例:
From: COVID-19@doh.gov.ph
Subject: "Covid-19 Data Cases Report in Your Location-The Department of Health (DOH)"
図4:フィリピン保健省のCOVID-19情報を装ったメッセージ
添付ファイル名の例:
covid-19 pcr test report checklist.pdf
covid-19 data cases report.pdf
notice to submit.pdf
このメールには、OneDriveのURLか、圧縮された実行ファイル(例:Covid-19 Data Report Checklist_pdf.iso)のダウンロードにつながるPDFの添付ファイルが含まれており、実行されるとRemcos RATにつながります。
最新のRemcosの構成:
C2: cato[.]fingusti[.]club
License: 4E7867F67DE525ADF9F3A74DBEB02869
Version: 2.7.2 Pro
Mutex: nan
use_tls: nan
2020年の攻撃キャンペーンにおけるREMCOSの構成例:
C2: remcos[.]got-game[.]org:2265:pass
license: D77341DCD207EB897C3383385A6676C2
version: 2.5.0 Pro
2021年9月27日、この攻撃者は戦術を変えたように見えました。プルーフポイントのリサーチャーは、以前に観察されたRemcosの活動と同じ企業の多くを標的とした企業の認証情報を窃取するクレデンシャルフィッシングの試みを観察しました。このフィッシングメールは、フィリピン関税局のCPRSを装い、認証情報を窃取するページにリンクするURLを含んでいました。
図5:認証情報を窃取するランディングページ
TTPが認証情報を窃取するクレデンシャル・ハーベスティングにまで拡大しているにもかかわらず、プルーフポイントは、クレデンシャル・ハーベスティング活動は一時的なものである可能性が高く、攻撃者は高レベルのマルウェア配布活動を継続しておこなっていると確信しています。
攻撃基盤クラスターの共通点
プルーフポイントは、観測された2つの攻撃基盤クラスタが同一の攻撃者「TA2722」に関連するものであると高い確信を持って評価しています。注目すべきは、両方のクラスターが頻繁に重複する顧客を標的としており、同じ送信者IPアドレスを共有していることです。観測されたインフラによると、2つのクラスターは、同様のホスティングプロバイダ、ネットブロック、レジストラを共有しています。また、同じインフラでホストされているRATを配布していると思われる数十の無関係なドメインも存在します。
|
Threat Cluster |
C2 IP |
Last Seen |
First Seen |
ASN |
Host Org |
Netblock |
Country |
Registrar |
|
CPRS |
185.140.53[.]189 |
9/22/21 |
9/22/21 |
AS208476 - PRIVACYFIRST |
Danilenko, Artyom |
185.140.53[.]0/24 |
SE |
RIPE |
|
CPRS |
79.134.225[.]107 |
9/20/21 |
9/7/21 |
AS6775 - FINK-TELECOM-SERVICES |
Andreas Fink trading as Fink Telecom Services GmbH |
79.134.224[.]0/19 |
CH |
RIPE |
|
CPRS |
79.134.225[.]92 |
8/11/21 |
1/22/21 |
AS6775 - FINK-TELECOM-SERVICES |
Andreas Fink trading as Fink Telecom Services GmbH |
79.134.224[.]0/19 |
CH |
RIPE |
|
CPRS |
185.244.30[.]70 |
1/9/21 |
1/6/21 |
AS208476 - PRIVACYFIRST |
Danilenko, Artyom |
185.244.30[.]0/24 |
NL |
RIPE |
|
CPRS |
185.140.53[.]225 |
12/27/20
|
12/14/20 |
AS208476 - PRIVACYFIRST |
Danilenko, Artyom |
185.140.53[.]0/24 |
SE |
RIPE |
|
Shahzad73 |
185.140.53[.]8 |
9/23/21 |
8/9/21 |
AS208476 - PRIVACYFIRST |
Danilenko, Artyom |
185.140.53[.]0/24 |
SE |
RIPE |
|
Shahzad73 |
185.19.85[.]139 |
7/29/21 |
5/11/21 |
AS48971 - DATAWIRE-AS |
DATAWIRE AG |
185.19.84[.]0/22 |
CH |
RIPE |
|
Shahzad73 |
79.134.225[.]9 |
5/10/21 |
4/7/21 |
AS6775 - FINK-TELECOM-SERVICES |
Andreas Fink trading as Fink Telecom Services GmbH |
79.134.224[.]0/19 |
CH |
RIPE |
|
Shahzad73 |
91.212.153[.]84 |
4/4/21 |
2/2/21 |
AS24961 - MYLOC-AS |
myLoc managed IT AG |
91.212.153[.]0/24 |
DE |
RIPE |
さらに、プルーフポイントは、観測された活動と重なる複数のコマンド&コントロールIPおよびドメインに関連する共通の登録メールを特定しました:
anthony.marshall.1986@gmail[.]com
このメールアドレスは以前、2017年に報告されたAdwind RAT 攻撃キャンペーンにも関連しています。
結論
プルーフポイントでは、TA2722はフィリピン政府のテーマを利用し、東南アジア、ヨーロッパ、北米のさまざまな組織を標的とした活動性の高い脅威行為者であると確信しています。この脅威行為者は、標的となるコンピュータへのリモートアクセスを試みている可能性が高く、情報収集や後続のマルウェアのインストール、ビジネスメール詐欺(BEC)活動に利用される可能性があります。
IoCの例:
|
Indicator |
説明 |
|
de5992f7c92351d1011fbece2d4bf74ecfc3b09f84aedb12997a2c3bf869de2c |
Remcos SHA256 |
|
098fe3c8d0407e7438827fb38831dac4af8bd42690f8bd43d4f92fd2b7f33525 |
NanoCore SHA256 |
|
shahzad73[.]casacam[.]net |
Remcos/NanoCore C2 |
|
shahzad73[.]ddns[.]net |
Remcos/NanoCore C2 |
|
cato[.]fingusti[.]club |
Remcos C2 |
|
remcos[.]got-game[.]org |
Remcos C2 |
|
info1@poea[.]gov[.]ph |
Sender Email |
|
cprs@customs[.]gov[.]ph |
Sender Email
|
|
consulate_ksa_emb@gmail[.]com |
Sender Email |
|
de5992f7c92351d1011fbece2d4bf74ecfc3b09f84aedb12997a2c3bf869de2c |
Remcos SHA256 |
|
66.248.240[.]80 |
Sender IP |