JSAC2025 開催レポート~DAY 2~
前回に引き続き、第2回は2日目に開催された講演について紹介します。
不正送金に係るフィッシング犯行グループの観測とみずほの対策 -フィッシングサイト・マルウェア「KeepSpy」との戦い-
講演者:株式会社みずほフィナンシャルグループ 八子 浩之、竹内 司、遠藤 拓也
講演資料
講演資料(英語)
八子氏、竹内氏、遠藤氏は自社で実施しているフィッシング攻撃対策の取り組みについて、フィッシング攻撃に悪用されるマルウェアや犯行グループの分析結果および対策のための組織内連携の様子などを解説しました。
はじめに、国内におけるフィッシング攻撃被害の状況と対応コストについて共有し、フィッシングを犯罪として封じ込めることに意味があると主張しました。 次に、実際に組織で観測したフィッシングサイトの特徴やTTPsの分類等の詳細を説明し、SMSを悪用したフィッシング犯行グループにフォーカスして、その詳細を解説しました。 また、フィッシングサイトをSMS経由でばらまくAndroidマルウェア「KeepSpy」について分析を実施したとして、その詳細を説明しました。分析結果から、KeepSpyの機能やC2サーバーからSMSを経由してフィッシングサイトのURLをばらまくためのコマンドの実行等を確認したとのことです。このコマンド観測結果からフィッシング攻撃に関する機能の確認や犯行グループのプロファイリング等を実施することで、フィッシングサイトの早期検知や早期のテイクダウン対応へ活用が可能であることを解説しました。
さらに、フィッシング攻撃の標的となったブランドの月別統計やフィッシングサイトのサーバー証明書の分析を行い、その関連性からCTログを活用した早期検知について解説しました。自動化についての試みについても述べ、実装やブラッシュアップのために組織内で連携を行う様子や実装内容のフローについて説明しました。
最後に、今後の取り組みとして早期検知システムの拡張や活用の展望を述べ、フィッシング攻撃の対策は他組織との情報共有だけではなく共同防衛を意識した連携の必要性について強調しました。
急速な変化を見せるフィッシングのトレンド -フィッシングサイトリアルタイム検知システムの共有
講演者:株式会社ラック 芳村 涼介、佐野 智弥
講演資料
講演資料(英語)
芳村氏、佐野氏は昨今のフィッシング攻撃の状況に対応すべくリアルタイムでフィッシングサイトを検出するシステムについて講演を行いました。
フィッシング攻撃を取り巻く状況として、クレジットカード番号の窃取やインターネットバンキングの不正送金件数の推移から年々被害が増大していることを解説しました。一方で、フィッシング攻撃は大手ブランドや社会的な関心が高まるイベントなどが悪用されるためトレンドの遷移が顕著であることと、無料SSL証明書サービスやDMARCへの対応など技術的なサービスの変化の影響を受けやすいことから手口の変化が急速であることを解説しました。
そして、フィッシング攻撃の現状に対抗するためフィッシングサイトをリアルタイムで検知するシステムを開発したとして、その内容の詳細を解説しました。 開発したシステムでは独自で定義した抽出ロジックを用いてフィッシングサイトの可能性があるドメインの早期検出を行うとのことです。実際に、検出事例を紹介し、マルウェアがダウンロードされるフィッシングサイトを検知し、そのフィッシングサイトを分析したとして手口の解説などを行いました。
最後に今後の課題として、証明書を抽出ロジックに組み込んでいるため、フィッシングサイトの構築前に検出してしまう事象があること等を挙げ、開発を継続していくことを述べました。
Analysis of Two Phishers : Like a doppelganger
講演者:NTTコミュニケーションズ株式会社 益本 将臣
講演資料
講演資料(英語)
益本氏は2つのPhaaS(Phishing as a Service)のフィッシングキットの分析結果とその考察について共有しました。また、IOK(Indicator Of Kit)を用いた検知ルールを作成し、その活用についても講演を行いました。
益本氏は、2つのPhaaSに着眼し、攻撃者コミュニティー内における宣伝動画の類似性やコミュニティーへの投稿等の活動時間が一致していたことについて共有しました。これらのフィッシングキットはいずれも日本を標的としていたことや、同じ管理パネルツールを使用していること等の共通点等を確認できたとのことです。
また、2つのPhaasのフィッシングキットに含まれるファイルや機能について共有しました。 Case1のフィッシングキットについては、JavaScriptファイル等が複数含まれており、特徴的な窃取したデータの処理やクローキング処理等を確認したとのことです。 Case2のフィッシングキットについては、Case1と構成が類似しており同様の特徴的な処理を行うことを確認した一方で、Case1のフィッシングキットにはないIPアドレスのカウント等の処理やデータの追加機能が追加されていたとのことです。 このIPアドレスに関連する機能が、フィッシングキャンペーンを行っていた攻撃アクター「Chenlun」のフィッシングキットでも見られたとして解説しました。Chenlunのフィッシングキットと2つのフィッシングキットを比較し、コードや処理機能、実行内容に類似点があることについて言及しました。
さらに、フィッシングキットを用いてどのようにフィッシングサイトを構築するかを解説しました。Dockerを用いることで効率良く環境構築可能であることや、ドメインの設定やターゲットブランドの指定等はスクリプトから設定でき、容易にフィッシングサイトの作成が可能なことを説明しました。 これらの分析結果から、IOKを用いた検知ルールを作成し解説を行い、この発表内容がフィッシング攻撃の実態解明へ貢献できればと思いを述べました。
Active Monitoring and Response to User Credential Leaks
講演者:株式会社リクルート 猪野 裕司、吉川 允樹
本発表は、会場限定公開です。
Ransomware's Secret Tunnel: How Ransomware Groups Hijack ESXi and NAS for Covert Operations
講演者:Sygnia Zhongyuan Hau, Ren Jie Yow
講演資料(英語)
Zhongyuan氏、Ren氏はランサムウェアグループがESXiとNASのネットワーク設定や認証情報を悪用し、トンネリングを行うことでセキュリティ製品による検知の回避を試みる攻撃手法を確認したとして、その詳細についてデモを交えながら解説しました。
はじめに、NASとESXiは資産性やシステム内で重要性が高いためにランサムウェア攻撃の標的になりやすいにもかかわらず、稼働時間の長さやEDRでモニタリングされることが少ないこと等からバックドアに悪用しやすい傾向にあることを指摘しました。 実際にNASに構築されたバックドアの事例では、認証情報を悪用してウェブベースのNASの管理システムにログインし、SSHを起動してバックドアに悪用していたとのことです。ESXiを用いた事例では、NASの事例と同様に不正ログインの実施後SSHを起動し、ファイアウォールの無効化を行う等してSSHポートフォワーディングを実施して悪用していたのを確認したとのことでした。
また、これらの攻撃を受けた場合のフォレンジック調査についても解説を行いました。 これらの攻撃は前述したようにEDRに検知されないことが多いため、デバイスのコマンド実行履歴を中心に確認していく必要があるとのことです。NASデバイスの調査では、SSHの認証ログ、アクセスログ、デバイス上のログやコマンド実行ログ、バックドアはタイムスタンプ等を注視すること、ESXiの調査ではESXiログ、アプリケーションログでSSHの履歴等、攻撃者のどの行動が具体的にどのファイルに痕跡として残るかを説明しました。
最後に、ESXiとNASデバイスを悪用した攻撃への対策として、NASデバイスとESXiの監視を徹底することと、システムログの保管することの有効性を解説しました。 解説した事例から、そのステルス性と持続性に危険性があることを改めて主張し、対策を徹底することを呼びかけました。
From Service Providers to Customers: Earth Ammit Tailored Cyber Assault on Target's Supply Chain
講演者:Trend Micro Pierre Lee, Philip Chen, Vickie Su
本発表は、会場限定公開です。
China-aligned PlushDaemon APT compromises supply chain of Korean VPN
講演者:ESET Facundo Munoz
講演資料(英語)
Facundo氏は攻撃グループ「PlushDaemon」とその攻撃の詳細について講演を行いました。 PlushDaemonは2019年以降に活動を確認しており、攻撃手法にサプライチェーン侵害を行うなどの特徴があるとして、その詳細を共有しました。
PlushDaemonが関連していると思われる事例では、攻撃者はVPNソリューション会社の正規のWebサイトを侵害し、Webサイトのリンク内にあるソフトウェアセットアップファイルを装いTrojanをダウンロードさせていたとのことです。ダウンロードされたファイルには、正規ファイルの他に不審なDLLファイル等が含まれており、正規のソフトウェアとともにバックドア「SlowStepper」がインストールされるとして詳細を説明しました。このTTPsにはJSAC2024で共有された攻撃アクター「Blackwood」のバックドア「NSPX30」と類似した点が確認できたとのことです。 また、SlowStepperについて分析内容を共有し、バージョン違いのものや、ツールキットの豊富さ、機能について詳細な解説を行いました。
さらに、PlushDaemonの他のAitM攻撃の事例についても解説を行い、ダウンローダー「LittleDaemon」をダウンロードさせる攻撃を確認しているとして詳細を解説しました。この手法では、中国製アプリが多く悪用されており、あるソフトウェアのコンポーネントが更新を要求した際に、DNSポイズニングを行い悪意のあるサーバーにリダイレクトさせていた可能性があると考察しました。
最後にPlushDaemonの攻撃手法について、その複雑性と多機能さ、リソースの多さを主張し、ツール検出のリスクの高いサプライチェーン攻撃をためらわない姿勢から重大な脅威であることを述べました。
Operation AkaiRyu: MirrorFace invites Europe to EXPO 2025 and revives ANEL backdoor
講演者:ESET Dominik Breitenbacher
講演資料(英語)
Dominik氏はAPTグループ「MirrorFace」による攻撃キャンペーン「Operation AkaiRyu」について分析内容とその詳細について講演を行いました。
「Operation AkaiRyu」は2024年8月以降、中央ヨーロッパの外交機関を標的として行われているのを確認したとのことです。 初期侵入として、日本で2025年に開催される万博に関連する内容のメールが送付され、やり取りを行うと返信の2通目から不審ファイルを含むファイル共有サービスのリンクが送付されるとのことです。ファイル共有サービスからダウンロードしたZIPファイルを解凍するとlnkファイルが含まれており、それを展開することにより複数のファイルが実行、展開され、マルウェア「ANEL」が復号されて実行されることを説明しました。
また、侵入後の活動として、侵入した端末に応じてMirrorFaceが目的を変えて使用するツールを選択することを解説しました。例として、プロジェクトコーディネーターの端末では個人情報の窃取を目的とし、従業員の端末ではシステムへのアクセスや横展開を目的にしているとのことです。 さらに、展開されるツールについても詳細を解説し、ANELのコマンドやバージョン、攻撃後半でローダーとして展開される「NOOPDOOR」やカスタマイズされた「AsyncRAT」について機能の詳細を共有しました。
最後に、APT10とMirrorFaceとの関係性について、標的の類似性や、今回の事例でMirrorFaceが、過去にAPT10が使用したANELを使用していたこと等から、MirrorFaceはAPT10のサブグループである可能性についてを言及しました。
Hack The Sandbox: Unveiling the Truth Behind Disappearing Artifacts
講演者:伊藤忠サイバー&インテリジェンス株式会社 亀川 慧、笹田 修平、丹羽 祐介
講演資料
講演資料(英語)
亀川氏、丹羽氏は、MirrorFaceによるWindows Sandboxを悪用した攻撃キャンペーンについて、侵害の兆候等から手口を明確にし、調査と検証結果から実効性のある対策とフォレンジック手法について解説しました。
最初にWindows Sandboxの構成について明らかにし、さらにキャンペーンの攻撃手法について、WSBファイルが実際にどのように悪用されたかを説明しました。 また、Windowsのアップデートにより、Windows Sandboxに新たにCLIコマンドが実装されたことについて、WSBファイル経由の実行が不要になることから、攻撃者に悪用された場合に痕跡が残りにくくなる可能性を指摘しました。
さらに、これらを踏まえホスト側とSandbox側でそれぞれ対応が必要とし、それぞれに対してどのように調査と監視を実施するか詳細を解説しました。 ホスト側では特徴的なプロセスやメモリ、イベントログ等の監視が必要であり、優先的に監視が必要なプロセス名の具体名等を共有しました。Sandbox側では不正ツールの痕跡がvmmemを用いて確認できることを解説し、Yaraルールを用いて検出が可能であることを説明しました。 実際にフォレンジックを行う場合についてもホスト側とSandbox側で有用なアーティファクトの解説を実施し、攻撃の有効な対策についても解説しました。
今回観測した事例から、EDR等での監視が困難な場合は監視の強化や徹底的な調査等、プロアクティブな対策を実施することがリスクの最小化には必要不可欠であることを強調しました。そして、利便性の向上を目的としたアップデートが攻撃者にとって有利になるリスクがあることについて言及しました。
おわりに
今回はJSAC2025の2日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは、引き続きWorkShopとLightningTalkについて紹介します。
