Secureworksのリサーチチームであるカウンター・スレット・ユニット(Counter Threat Unit、以下 CTU)が、攻撃者グループ「BRONZE RIVERSIDE」 (別名:APT10、Stone Panda、POTASSIUM、Red Apollo、CVNX)は、中国が関与しているとされるグループであり、バックドアタイプのマルウェア「ANEL (エーネル)」を用いて、2017年9月から日本を標的とした攻撃を行っていることを確認したと発表した。

  • ANEL 5.5.0 rev1による攻撃の流れ(出典: Secureworks)

    ANEL 5.5.0 rev1による攻撃の流れ(出典: Secureworks)

CTUのリサーチャーは、BRONZE RIVERSIDEが利用するANELの新しいバージョンの解析を実施。同攻撃者グループは、定期的にANELのバージョンアップを実施しており、機能を拡張しながら現在も攻撃に利用している。ANELを利用した日本国内への標的型攻撃の対象としては、主に政府関連組織や政治団体などが確認されているという。

ANELに感染すると、端末情報やスクリーンショットが収集され、機密情報の収集や他の端末への横展開を行うためのツールがアップロードされ、実行される。ANELは現在までに、少なくとも11のバージョンが存在し、公開情報では2018年9月中旬にANELバージョン5.4.1に関する情報が発表されている。

今回、CTUが公開したレポートでは、新しいバージョン5.5.0 rev1に関して、感染時の動作や前バージョンからの変更点などについて解説されている。

ANEL 5.5.0 rev1は、パスワード保護されたWord文書に含まれるマクロコードの中に仕込まれており、ユーザーがWord文書を開いてマクロを有効にするとマクロコードが実行され、3つのファイルが生成されてEXEファイルが実行される。同ファイルは不正なDLLをロードし、DLLファイルがバイナリファイルをロードしてその中に含まれるANELを復号。EXEファイルのプロセス上に展開して実行される。さらにANELは、端末が再起動された際に自身を再感染させるように仕込むという。

バージョン5.4.1から最新バージョン5.5.0 rev1の更新点として、窃取した感染端末の情報をC2サーバーに送信する際に利用する暗号化アルゴリズムが、BlowfishからChaCha20に変更されていることを挙げている。

5.5.0 rev1は、HTTP GETおよび POSTリクエストを利用して、C2サーバーと通信を行う。最初の通信で、16 進数表記のANELプロセスID、PC名とGUIDから計算したMD5ハッシュ値、PC名、タイムスタンプ、OSバージョン、ユーザー名、タイムゾーンなど9のアイテムを暗号化して送信する。その際、POSTリクエストの場合は、デスクトップのスクリーンショットであるPNG画像ファイルを暗号化して追加するということだ。

  • ANEL 5.5.0 rev1により窃取したデータの暗号化の流れ(出典: Secureworks)

    ANEL 5.5.0 rev1により窃取したデータの暗号化の流れ(出典: Secureworks)

なお、このレポートの内容は、2019年1月18日に東京・御茶ノ水ソラシティカンファレンスセンターで開催された「Japan Security Analyst Conference 2019」にて、CTUのメンバーとして日本で調査活動を行う玉田清貴氏が「APT10によるANELを利用した攻撃手法とその詳細解析」と題して発表した。Webサイト「JapanSecurityAnalystConference2019開催レポート 〜後編〜」では、同イベントの開催レポートを参照できるほか、発表で使った資料もダウンロード可能となっている。