ニュース

「Slack」「GitHub」悪用した標的型攻撃を確認、TwitterやSkypeなど感染端末の情報を窃取

 SlackやGitHubを悪用した標的型攻撃が2月下旬に観測されたとしてトレンドマイクロが調査結果を公表した。同社によれば、マルウェアの制御にSlackが悪用されたケースを確認したのは今回が初めてだという。

 この攻撃では、改ざんしたウェブサイトで訪問者に気付かれないようにマルウェアに感染させる標的型攻撃の1種である「水飲み場型攻撃」によって、バックドア型マルウェア「SLUB」をダウンロードし、SlackやGitHubでコマンド&コントロール(C&C)通信を行う流れとなる。

 まずは、VBScriptエンジンで遠隔からのコード実行が可能になる脆弱性「CVE-2018-8174」を利用してダウンローダー「Trojan.Win32.CVE20151701.E」を実行。Windowsでローカルユーザーの権限昇格が可能になる脆弱性「CVE-2015-1701」を利用して、水飲み場型攻撃に利用されたウェブサイトにアクセスし、SLUBに感染させる。なお、悪用されたウェブサイトのコンテンツは、「政治的な活動に関心を持つ人々が興味を抱くようなもの」だったという。

 脆弱性を修正する更新プログラムについては、CVE-2018-8174は2018年5月に、CVE-2015-1701は2015年5月に公開されている。

「SLUB」感染の流れ

 SLUBはC++で書かれたマルウェアで、複数のHTTPリクエストを行うためにcurlライブラリを静的にリンクしていた。また、GitHubでコードの断片を共有するサービス「gist」からコマンドを抽出するために使用する「boost」や、Slackのチャンネルとの通信を構文解析するために使用する「JsonCpp」が静的にリンクされていた。SlackのAPIを利用するための2つの認証トークンも埋め込まれていた。

 SLUBが実行するコマンドには、指定したファイルの一覧情報の取得、ドライブの空き容量、暗号化有無の情報の取得、レジストリキーの読み取り/書き込み、スクリーンショットの取得などがあった。感染端末から収集したデータは、ファイル共有サービス「file.io」を利用して攻撃者へ送信。攻撃者は、Twitter、Skype、メッセンジャーアプリ「KakaoTalk」、オンライン掲示板などのコミュニケーションシステム上での活動に関する情報も探索していた。

SLUBとC&C通信の仕組み

 今回の攻撃のために作成されたと考えられるGitHubのアカウントとSlackのワークスペースは、それぞれ2019年2月19日・20日に作成されていた。この2つのマルウェアのコンパイル日は2月22日だと推測される。

攻撃の時系列

 この攻撃に関して、トレンドマイクロはカナダのCSIRTに通知。同センターでは水飲み場型攻撃に利用されたウェブサイトの運営者に注意喚起を行っている。また、GitHubのSIRTと、Slackのセキュリティチームは関連するファイルを削除し、攻撃者とマルウェアとの通信を切断した。

 現時点で類似した亜種の活動は確認されていないという。トレンドマイクロでは、攻撃者がSLUBを独自に開発したか、作成したマルウェアを公開していない開発者から入手した可能性があると見ている。