Gmailを使って機密文書を盗み出すマルウェア「ComRAT v4」

サイバーセキュリティ企業のESETが、10年以上にわたって暗躍を続けているハッカーグループ「Turla」が古くから活用してきたマルウェア「ComRAT」の最新バージョンについてのレポートを発表しました。ESETによると、Turlaはこのマルウェアにより、Gmailを使って東ヨーロッパの公的機関から機密文書を盗み出していたとのことです。

From Agent.BTZ to ComRAT v4: A ten‑year journey | WeLiveSecurity
https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

New ComRAT Malware Uses Gmail to Receive Commands and Exfiltrate Data
https://thehackernews.com/2020/05/gmail-malware-hacker.html

Turlaは、「Snake」や「Uroburos」の別名でも知られているハッカーグループで、1990年代半ばにアメリカ軍のネットワークに侵入したことで知られています。また、2008年にアメリカ中央軍のネットワークに侵入した際は、「アメリカ軍がこれまで経験した中で最大のネットワーク侵入」とされる甚大な被害をもたらしました。この時、Turlaが使用したトロイの木馬型マルウェアが「ComRAT」です。

イラク戦争のまっただ中だったアメリカ中央軍への攻撃に成功して以来、Turlaは複数回にわたりComRATをアップデートして、機能の拡充を図ってきました。中でも、2017年に初めて確認された「ComRAT v4」はそれまで使われていた古いコードを刷新し、以前とは一線を画す複雑な構造になっているとのこと。

ESETによると、「ComRAT v4」は少なくとも3つの公的機関への攻撃に成功しています。3つのうち2つは東欧にある国の外務省で、残りの1つはコーカサス地方の国の議会です。ただし、被害の拡大を防ぐため具体的な国名や組織名、流出したファイルの詳細などは明かされませんでした。

「ComRAT v4」の最も特筆すべき性質が、Gmailを使用した新たな攻撃手段を獲得したことです。「ComRAT v4」の攻撃経路には、従来のC＆Cサーバ－を介したもののほか、GmailをインターフェースとしたHTTPによるものも確認されました。この攻撃手段により、「ComRAT v4」はターゲットが保有する機密文書を添付ファイルとして送信させ、データの窃取を行うことが可能になりました。

一方、ESETは「ComRAT v4」の解析を通じて、Turlaの正体に迫ることにも成功しています。Turlaのオペレーターは、「ComRAT v4」がセキュリティソフトに検知されていないかを確認するため、メールを介して定期的にログを取っているとのこと。そのため、Gmailでメールが送受信された時刻を割り出すことで、オペレーターが「ComRAT v4」のログを取得するためのコマンドを実行した時刻が推測できます。

ESETが実際にGmailのタイムスタンプを抽出した結果が以下。メールの送受信は、UTC+3のタイムゾーンで日中となる時間帯に集中していました。

このことから、ESETはTurlaがUTC+3もしくはUTC+4のタイムゾーンにある地域を拠点としている可能性が高いと見ています。かねてから、Turlaはロシアとの関係が深いとされてきましたが、今回特定された「ComRAT v4」の被害がロシアに近い地域に集中していることや、Turlaが活動する時間帯がモスクワなどを含むタイムゾーンと重なることから、この疑惑がより濃厚なものになりました。

by Wikimedia Commons

ESETのマルウェア研究者であるMatthieu Faou氏はレポートの中で、「『ComRAT v4』の最も興味深い機能は、Gmailのウェブユーザーインターフェースを用いてコマンドを受信し、データを流出させることです。これにより、悪意あるドメインに依存しない攻撃が行えるため、いくつかのセキュリティコントロールを回避することが可能です。また、我々は『ComRAT v4』が2020年1月にも使用されたことを突き止めました。これは、Turlaが依然として外交官や軍にとって大きな脅威であり続けていることを意味しています」とコメントしました。