Googleは5月29日(米国時間)、「Mark Your Calendar: APT41 Innovative Tactics|Google Cloud Blog」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT41(別名:Wicked Panda、HOODOO)」によるマルウェア配布の新たなキャンペーンを発見したと報じた。

今回、APT41はGoogleカレンダーをコマンド&コントロール(C2: Command and Control)サーバとして悪用し、政府Webサイトからマルウェアを配布したと見られる。GoogleはAPT41の活動が世界中に広がり、多くの組織に影響が出ていると指摘。この攻撃に関する分析および防御手法をセキュリティ対策に役立ててほしいと説明している。

  • Mark Your Calendar: APT41 Innovative Tactics|Google Cloud Blog

    Mark Your Calendar: APT41 Innovative Tactics|Google Cloud Blog

侵害経路

Google脅威インテリジェンスグループ(GTIG: Google Threat Intelligence Group)の分析によると、初期の侵害経路はスピアフィッシングメールと見られる。メールには攻撃対象の政府WebサイトでホストされているZIPアーカイブへのリンクが含まれており、このアーカイブにはPDFファイルに偽装したLNKファイルと、複数の節足動物の画像ファイルを収めたディレクトリが含まれていたという。

LNKファイルを開くと、画像ファイルの一部からDLL(Dynamic Link Library:ダイナミックリンクライブラリ)が抽出、実行される。DLLはLNKファイルを削除しておとりのPDFファイルに差し替えると、次のペイロード「PLUSINJECT」をメモリーに展開して実行する。

PLUSINJECTは正規の「svchost.exe」を起動し、プロセスホローイングを使用してマルウェア「TOUGHPROGRESS」を注入する。こうして実行されるTOUGHPROGRESSは、攻撃者が管理するGoogleカレンダーをコマンド&コントロール(C2)サーバとして悪用する。

具体的には、カレンダーイベントの説明欄に暗号化したデータを埋め込んで送受信を行う。攻撃者は特定の日付にリクエストを書き込み、マルウェアは別の日付にレスポンス(窃取した情報など)を書き込む。Google脅威インテリジェンスグループはMandiantの協力を得て暗号解読に成功しており、そのアルゴリズムを公開している。

  • TOUGHPROGRESSの暗号データの例 - 引用:Google

    TOUGHPROGRESSの暗号データの例 引用:Google

Googleの対応

Googleは基本的な対策として、攻撃者に悪用されたGoogleサービス上のインフラストラクチャを解体。さらに悪意のあるドメインとURLをGoogleセーフブラウジングのブロックリストに追加することで、被害の拡大を阻止している。

また、被害を受けた組織に連絡を取り、マルウェアのネットワークトラフィックのログおよびサンプルと、脅威アクターに関する情報提供を行ったという。

GoogleはAPT41が利用するインフラストラクチャの情報を公開し、これらサービスやドメインに注意するように促している。ただし、これらは過去に確認された情報に基づいており、現在は使用していない可能性もあるとのこと。

最後に、Googleは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)とYARAルールを公開しており、必要に応じてセキュリティ対策に活用することが望まれている。