| 研究者 2017年2月21日


2017年2月21日

ViperRAT:イスラエル国防軍がモバイルAPT攻撃の標的となったことが判明

By Lookout

イスラエル国防軍が高度で執拗な脅威(APT : advanced persistent threat )であるViperRATにより攻撃を受けていることが判明しました。 ViperRATは監視ウェアの一種で、大量の機密情報を端末から収集し、画像や音声データの転送に重点を置いていると思われます。また、この監視ウェアは端末に付属するカメラを乗っ取り写真撮影していることもわかっています。 Lookoutの研究チームは、Lookoutのグローバルセンサーネットワークから収集したデータからViperRATの実態を可視化することに成功しました。同時に、未知の新種アプリケーション11件も検出されました。私たちはまた、誤設定された悪質なコマンド&コントロールサーバー(C&Cサーバー)が作動している様子を監視することに成功し、その分析の結果、これらマルウェアアプリがユーザーに気づかれずにインストールされる過程や、端末で行われている動作の何が監視対象となっているかを明らかにしました。この結果、標的となったユーザーのIMEIおよび転送されたデータの種類を特定することもできました。これらのIMEIは被害者のプライバシーおよび安全保持のため公開されることはありません。 総合すると、攻撃者は不正アクセスした情報を基に端末所有者の位置情報や連絡先相手のプロフィール写真を含む交友関係の情報の入手が可能となっていました。また、送信メッセージや閲覧サイト、検索履歴、端末上の他のアプリの利用時に入力される情報を撮影したスクリーンショット、端末の置かれた場所で行われた会話も監視されていました。さらに端末付属のカメラで焦点が合ったものをすべて撮影し、そうした無数の画像も監視対象となっていました。 LookoutではViperRATが非常に巧妙化された脅威であると考えています。官公庁や企業を狙った標的型モバイル攻撃は多くの事例を通じてこれまで深刻視されてきましたが、今回の事例でそのことが再認識されました。 この1か月間、Lookoutの研究者チームはこの脅威をずっと追跡してきました。ViperRATが進行中の脅威であり、より深い調査が必要であったため、LookoutはLookoutのパーソナル版および法人版をご利用中のお客様がこの脅威から守られていることを担保しつつ、本脅威に関する情報の公開を控えていました。一方で、先日カスペルスキー社の研究チームが報告書を発表したため、初めてこの情報を公開した次第です。 また後述するように、今回の経緯を記録した最初の報告書ではこの監視アプリツールがイスラム原理主義組織ハマスから出たものとしていましたが、事実とは異なる可能性があるとの結論に至りました。
巧妙化を続ける監視ウェア
この監視ウェアは非常に巧妙化された構造的となっています。ViperRATには大きな2つの亜種があることが判明しており、その1つは「第1段階アプリケーション」として端末の基本プロファイリングを行います。一定条件をクリアすると、もう1つの亜種がさらに多機能を持つ監視アプリのコンポーネントをダウンロードし、インストールを試みる構造となっています。 1つ目の亜種はソーシャルエンジニアリングを使い、標的とする端末にトロイの木馬を仕込んだアプリをダウンロードさせます。前回の報告書ではこの監視アプリのツールの配布方法について、ソーシャルメディアに若い女性の偽プロフィールを載せて標的端末に攻撃を仕掛ける「ハニートラップ」手法であったことが判っています。端末所有者とある程度の親密な関係を築いたところで、このソーシャルメディアアカウントを偽装した攻撃者が「簡単にコミュニケーションできるように」新たにアプリをインストールするよう依頼します。LookoutはこうしたアプリがSR Chatや YeeCall Proをトロイの木馬化させたバージョンであることを突き止めています。このほかに、ビリヤードゲームやイスラエルのラブソングプレーヤ、Move To iOS といったアプリにもViperRATは仕掛けられていました。
第2段階
第2段階のアプリには監視アプリの機能が組み込まれています。Lookoutは第2段階のペイロードアプリケーションを9件検出しました。 *これらのアプリは未報告のもので、Lookoutのグローバルセンサーネットワークから取得したデータを使用して初めて発見されました。グローバルセンサーネットワークはアプリ情報や端末情報を1億台以上のセンサーから収集し、現代のモバイル脅威エコシステムに関する全体像を研究者やお客様に提供しています。 このマルウェア攻撃が巧妙なのは、追加インストールさせるペイロードアプリにシステムアップデートの名前を付ける点です。ユーザーは端末に脅威が仕込まれるとは夢にも思わずにインストールしてしまいます。ViperRATはこの手法をさらに一歩進め、ドロッパーアプリを悪用して端末に適した第2段階用の「アップデート」版を探し出します。この操作がユーザーに気づかれることはありません。例えばViberアプリがインストールされている端末には第2段階のViberアップデートを選び出します。Viberがない端末にはシステムアップデートなどのありふれた名称をつけ、アプリをダウンロード、インストールさせます。
不正アクセスされたデータの種類
ViperRATを仕掛けた攻撃者は特に画像データを狙っていたと思われます。私たちの調査によれば、不正アクセスされた端末から8,929件のファイルが抜き取られ、転送されていました。そして、そのうちの大部分を占める97%は、暗号化された画像で端末付属のカメラを使用して撮影されたものであることが明らかになっています。またC&Cサーバーで自動生成されたファイルを見ると、攻撃者がPDFやOfficeドキュメントを検索するコマンドを発行して、データを転送していたことがうかがえます。これは官公庁や企業が十分警戒すべき点です。 私たちが観測した正規ファイルのうち、以下の種類のデータが転送されています。
  • アドレス帳情報
  • 適応多重レート(AMR)ファイルフォーマットの圧縮音声データ
  • 端末付属のカメラを使用して撮影された画像
  • 端末の内部とSDカードのストレージ両方に保存されている画像で、MediaStoreで表示されているもの。
  • 端末の位置情報
  • SMSの内容
  • Chromeブラウザで使用した検索履歴およびブックマーク
  • 通話ログ情報
  • 携帯の基地局情報
  • 端末のネットワークメタデータ(電話番号、端末のソフトウェアバージョン、ネットワークを使用している地域、通信会社、SIM地域、SIMのシリアル番号、IMSI、ボイスメール番号、
  • 携帯端末の種類、ネットワークの種類、データ状況、データ利用状況、通話状況、SIM状況、端末のローミングの有無、SMSサポートの有無など)
  • 端末の標準ブラウザにおける検索履歴 端末の標準ブラウザで登録しているブックマーク
  • 端末関連のメタデータ(機種、ディスプレイ、ハードウェア、メーカー、製品情報、シリアル番号、無線バージョン、およびSDK)
C&C APIコール
ViperRATのサンプルはアクセス可能なAPIやWebSocketを使用してC&Cサーバーとの通信が可能です。以下、APIメソッドと各メソッドの簡単な説明を表にまとめました。
ViperRATの製作者
ViperRATに関する報道ではこの監視アプリツールがハマスから出たものとこぞって主張していました。イスラエルのメディアはこの攻撃について、ソーシャルネットワーキングとソーシャルエンジニアリングの観点から最初の報告書を発行しています。しかし、ViperRAT関連を報道した企業が独自で調査を実施しハマスが原因であると決定づけたのか、あるいは単に最初のイスラエルでの報道内容を基に調査結果をまとめたのかは不明です。ハマスがモバイルに関して高度な技術を有していることはあまり知られていないため、彼らがViperRATに直接関与していると結論することはできないでしょう。 ViperRATはテストアプリケーションと思われるものが2015年の終わりに登場して以来、相当期間実行されています。このアプリケーション名も含め、デフォルトで入っている多くの文字列にアラビア語が使用されています。これは初期のサンプルがアラビア語使用者を標的にしていたためなのか、またはこのマルウェアの開発者がアラビア語に堪能な人物であったためなのかについては、この事実から断定することはできません。私たちはViperRATを操る攻撃者は他にもいるに違いないと考えています。
Lookoutユーザーへの影響
すべてのLookoutユーザーはこの脅威から保護されます。 一方で、ViperRATやペガサスはモバイルを標的とする、かつてないほどに巧妙化した監視アプリです。このような脅威の出現は攻撃者の標的がモバイル端末にシフトしてきていることを裏付けています。 モバイル端末はサイバー諜報活動で最も攻撃を受けやすく、また犯罪の動機にもなりうる端末です。企業や官公庁に勤務するユーザーは、日々の業務にモバイルを使用しています。必然的にIT・セキュリティ担当者はセキュリティ戦略の一環としてモバイルセキュリティに取り組む必要があるのです。 ViperRATなどの脅威についてご関心をお持ちのお客様はLookoutまでお問い合わせください。

投稿者

Lookout

コメントする

送信


0 コメント