Tag Archives: Elderwood Project

シマンテックは 2012 年、さまざまな業種に対するスピア型フィッシングや水飲み場型攻撃に利用された Elderwood プラットフォームについて調査しました。Elderwood プラットフォームは基本的に一連の悪用コードから構成されており、それらが「ユーザーフレンドリーな」形で作成されパッケージ化されているため、技術力の高くない攻撃者でも、標的に対して簡単にゼロデイ悪用コードを使うことができます。

軍需産業、軍事関係のサプライチェーン、製造業、IT、人権問題など幅広い分野に対して、Elderwood プラットフォームを使った攻撃が確認されています。特に注目すべきなのは、「Operation Aurora」として知られる攻撃活動で一連の悪用コードが使われたことです。

Elderwood プラットフォームが初めて確認されたのは 2012 年のことですが、それ以来、最新のゼロデイ悪用コードをいくつも取り入れながら更新が続けられています。2014 年に入ってから最初の 1 カ月だけでも、Elderwood プラットフォームは 3 件のゼロデイ脆弱性の悪用に利用されており、このプラットフォームが依然として手ごわい脅威であることが証明されました。

当初の調査では、Elderwood プラットフォームは単一の攻撃グループによって使われていると思われていましたが、最新の調査結果を踏まえると、複数のグループによって利用されていると考えられます。1 つの供給元がプラットフォームの販売に関与しているか、あるいは大きな 1 つの組織が、その内部の攻撃チームのために一連の悪用コードを開発しているかのいずれかであるという証拠もあります。どちらにしても、今なお活動している最大規模の攻撃グループが、これほど早くゼロデイ悪用コードを利用できる理由を解明する手掛かりになりそうです。

Elderwood を作成したのは誰か
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成については、いくつかの仮説が立てられていますが、シマンテックの調査ではさらに 2 つのシナリオも想定しています。

• 1 つの上位グループがあって、複数のサブグループから構成されているケース。この場合、各サブグループは特定の業種を標的にするタスクを割り当てられています。それぞれが個別に開発したマルウェアファミリーを使っており、利用しているネットワークインフラも独自のものです。上位グループがゼロデイ悪用コードを入手し、その配布と利用をサブグループ間で調整します。

図 1. 複数のサブグループを束ねる上位グループを通じてゼロデイ悪用コードが配布される

• 攻撃グループが、目標も異なる別々の組織であるというケース。この場合、各グループが共通して接触している供給元があり、そこからゼロデイ悪用コードが各グループに同時に配布されます。供給元は、一部の攻撃グループを優遇して、他のグループより数日早くそのグループにゼロデイ悪用コードを渡している可能性もあります。

図 2. 共通する 1 つの供給元から複数のグループにゼロデイ悪用コードが配布される

シマンテックがつかんだ証拠（後述）から、何者かが 1 つの仲介組織に、または複数のグループに直接、Internet Explorer や Adobe Flash のさまざまなゼロデイ悪用コードを供給している可能性が高いと考えられます。これだけでも、攻撃者が確保しているリソースのレベルの大きさがうかがえます。

悪用コードがサードパーティの供給元を通じて販売されている場合、購入するグループはそれを支払えるだけの潤沢な財源を持っていることになります。悪用コードが組織の内部で開発されている場合、グループは技術力の高い個人を何人も雇っていることになります。こうした技術者は、相当額の報酬を受け取っているか、あるいは何か別の理由があって自分自身では公開市場で悪用コードを販売できないかのいずれかです。

Elderwood による顕著な悪用例
2012 年には、Internet Explorer と Adobe Flash に対する複数の悪用コードが Elderwood プラットフォームによって利用されました。以下の脆弱性を含め、数多くの脆弱性が悪用されています。

• Adobe Flash Player に存在するオブジェクト型の混乱によるリモートコード実行の脆弱性（CVE-2012-0779）
• Microsoft XML コアサービスに存在するリモートコード実行の脆弱性（CVE-2012-1889）
• Microsoft Internet Explorer の Same ID プロパティに存在するリモートコード実行の脆弱性（CVE-2012-1875）

最近も、以下の脆弱性に対する新しいゼロデイ悪用コードが利用されていることを確認していますが、その多くは以前に利用された悪用コードと類似しています。

• Adobe Flash Player と AIR に存在するリモートコード実行の脆弱性（CVE-2014-0502）
• Microsoft Internet Explorer に存在する解放後使用によるリモートコード実行の脆弱性（CVE-2014-0322）
• Microsoft Internet Explorer のメモリ破損の脆弱性（CVE-2014-0324）

Elderwood プラットフォームで利用されている悪用コードはこれらに限りませんが、後述するように、これこそ Elderwood 攻撃活動間のつながりを示す証拠なのです。それでは、過去数年間にわたって Elderwood プラットフォームを使ってきた代表的な攻撃グループについて見てみましょう。

Elderwood プラットフォームを使ってきたのは誰か
最近確認された、Elderwood プラットフォームを使う目立った攻撃活動を時系列に並べてみます。

図 3. 最近ゼロデイ脆弱性の悪用が確認された活動の時系列

以下の攻撃グループの多くは、Elderwood プラットフォームだけを使っているわけではありませんが、この数年間の主な活動では一貫して Elderwood を使っていることが確認されています。Elderwood プラットフォームで利用されていることが判明している脆弱性を悪用しているだけでなく、「Microsoft Internet Explorer の ‘CDwnBindInfo’ に存在する解放後使用のリモートコード実行の脆弱性」（CVE-2012-4792）や 「Microsoft Internet Explorer に存在するリモートコード実行の脆弱性」（CVE-2014-1776）など、その他の欠陥も悪用しています。

表 1. Elderwood プラットフォームを使っている攻撃グループ

Elderwood との関連性
攻撃グループがその活動を通じてこれらの脆弱性を悪用していたことに加え、悪用コードのインフラにも関連性があるようです。

最近確認された Internet Explorer の脆弱性、CVE-2014-0322 と CVE-2014-0324 に対する 2 つのゼロデイ悪用コードは多くの機能を共有しており、シェルコードもそのひとつです。どちらも、イメージから取得したマルウェアを復号し、%Temp% フォルダ内の .txt 拡張子のファイルに復号後のマルウェアを書き込むことができます。

そのほか、CVE-2014-0502 と CVE-2014-0322 に対する悪用コードは、同じサイトをホストとして利用していました。さらに、CVE-2014-0324 に対する悪用コードが Backdoor.Linfo の投下に使われていたことを示唆する痕跡もあります。同じマルウェアは、2012 年に CVE-2012-0779 に対する悪用コードによって投下されていました。

これらの攻撃グループが Elderwood プラットフォームを利用している状況の全体像を以下の図に示します。

図 4. 過去と現在におけるゼロデイ悪用コードの相関図

結論
ゼロデイ悪用コードの使用と、中心的な 1 つのグループまたは組織との関係を断定することはできません。ひとたび攻撃に利用されたゼロデイ悪用コードは、リバースエンジニアリングもコピーも、他の攻撃への転用も可能だからです。Elderwood プラットフォームは、悪用コードがコンパクトにパッケージ化され、ペイロードと分離されているため、リバースエンジニアリングが特に容易です。Elderwood の悪用コード実装は、攻撃者が使いやすいように、意図的にこのような手法で作成されたものかもしれません。

とは言え、最近確認された攻撃活動では、Internet Explorer や Flash のゼロデイ悪用コードを利用して同じマルウェアファミリーを拡散するという、攻撃グループの共通パターンが繰り返されています。それだけでなく、これらの悪用コードは実装方法にも多くの類似点が見られます。こうした証拠から、悪用コードが単にリバースエンジニアリングされているだけの場合と比べて、はるかに緊密なコミュニケーションが攻撃グループ間で交わされているものと考えられます。

Elderwood を作成しているのがサードパーティの供給元であるにせよ、自前のチームを抱えた大きな組織であるにせよ、Elderwood のゼロデイ悪用コードを利用している各グループは潤沢なリソースと十分な動機を持っています。標的となりうる企業や組織にとって深刻な脅威であることは間違いありません。

シマンテック製品をお使いのお客様は、ウイルス対策、侵入防止システム、振る舞い検知やレピュテーション（評価）技術によって、今回のブログで取り上げたさまざまなマルウェアファミリーから保護されています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

지난 2012년, 시만텍은 Elderwood 플랫폼에 주목한 바 있습니다. 당시 이 플랫폼은 각종 산업 분야를 노리는 스피어피싱 및 워터링홀 공격에 사용되고 있었습니다. Elderwood 플랫폼은 “소비자 친화적”으로 설계되고 패키지화된 다양한 익스플로잇의 모음입니다. 따라서 기술적 배경이 없는 공격자도 편리하게 이 플랫폼을 이용하여 원하는 표적을 대상으로 제로데이 익스플로잇을 구사할 수 있습니다.

시만텍은 국방, 군수품 제조, IT, 인권 운동 등 다양한 분야가 Elderwood 플랫폼 기반 공격의 대상이 되고 있음을 확인했습니다. 특히 Operation Aurora와 같이 이목이 집중된 공격 작전에서 이러한 익스플로잇 모음이 사용된 바 있습니다.

Elderwood 플랫폼은 대략 2012년부터 문서화되기 시작했지만, 그 이후에도 꾸준히 업데이트되면서 최신 제로데이 익스플로잇이 추가되었습니다. Elderwood 플랫폼은 2014년이 시작된 지 채 한 달도 지나지 않아 3건의 제로데이 취약점에 대한 익스플로잇 공격에 사용되면서 건재함을 과시했습니다.

시만텍의 조사에 따르면, 원래 Elderwood 플랫폼은 단일 공격 그룹에서 사용되었습니다. 하지만 최근 조사 결과는 여러 그룹에서 이 플랫폼을 사용하고 있을 가능성을 시사합니다. 증거를 검토한 바로는, 단일 유포자가 플랫폼 판매를 담당하거나 한 주요 조직에서 자체 공격 팀들을 위해 해당 익스플로잇 모음을 개발한 것으로 보입니다. 이 두 시나리오 모두 현재 활동 중인 최대 규모의 공격 집단들이 일찍부터 제로데이 익스플로잇을 사용하게 된 경위를 밝히는 데 중요한 단서가 될 수 있습니다.

누가 Elderwood를 개발했을까?

Elderwood 플랫폼의 제로데이 익스플로잇을 활용하는 공격자의 실체에 대해서는 몇 가지 이론이 있습니다. 시만텍이 분석한 결과, 그중 개연성이 높은 두 가지 시나리오는 아래와 같습니다.

• 하나의 모체 조직으로부터 여러 하위 그룹이 갈라져 나왔습니다. 하위 그룹은 각각 특정 업종을 공격할 임무를 맡고 있습니다. 이들은 각자 개발한 악성 코드군을 사용하며 자체 네트워크 인프라스트럭처를 가동합니다. 모체 조직이 제로데이 익스플로잇을 보유하고 있으며 하위 그룹에 이러한 익스플로잇을 배포하고 사용 현황을 감독합니다.

그림 1. 여러 팀으로 구성된 단일 조직 전반에 배포되는 제로데이 익스플로잇

• 공격 집단은 각자 나름의 목적을 가진 개별 독립체입니다. 이러한 그룹 모두 하나의 제로데이 익스플로잇 공급자와 관계를 맺고 있으며, 이 공급자가 동시에 여러 그룹에 익스플로잇을 보급합니다. 공급자는 일부 그룹에 며칠 먼저 제로데이 익스플로잇을 제공하는 등의 특혜를 줄 수도 있습니다.

그림 2. 단일 공급자가 여러 그룹에 배포하는 제로데이 익스플로잇

이 블로그에서 자세히 살펴보겠지만, 시만텍이 수집한 증거로 미루어볼 때 누군가 중개 조직을 통해 혹은 여러 집단에 직접적으로 다양한 Internet Explorer 및 Adobe Flash 제로데이 익스플로잇을 공급하는 것으로 보입니다. 이것만으로도 이러한 공격자들의 가용 자원 수준을 가늠해볼 수 있습니다.

또한 외부 배포자로부터 익스플로잇을 구매할 수 있다면 해당 구매 조직은 그러한 비용을 지불할 만한 상당한 자금력을 보유하고 있을 것입니다. 만약 자체적으로 익스플로잇을 개발했다면 해당 조직에 뛰어난 기술력을 갖춘 인력이 있음을 의미합니다. 이들은 이미 넉넉한 보수를 받고 있거나 아니면 다른 동기 요인이 있어 직접 공개 시장에 나서서 익스플로잇을 판매하지 않는 것으로 보입니다.

Elderwood의 대표적인 익스플로잇

2012년에는 Elderwood 플랫폼에 여러 Internet Explorer 및 Adobe Flash 익스플로잇이 포함되었는데, 이들은 아래와 같은 버그를 비롯하여 각종 취약점을 이용했습니다.

• Adobe Flash Player 개체 유형 혼동 원격 코드 실행 취약점(CVE-2012-0779)
• Microsoft XML 코어 서비스 원격 코드 실행 취약점(CVE-2012-1889)
• Microsoft Internet Explorer 동일 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

최근 시만텍은 이 플랫폼에서 아래와 같은 취약점을 노리는 새로운 제로데이 익스플로잇이 등장했음을 확인했습니다. 그중 상당수는 기존의 익스플로잇과 유사합니다.

• Adobe Flash Player 및 AIR 원격 코드 실행 취약점(CVE-2014-0502)
• Microsoft Internet Explorer Use-After-Free 원격 코드 실행 취약점(CVE-2014-0322)
• Microsoft Internet Explorer 메모리 손상 취약점(CVE-2014-0324)

이러한 잇스플로잇은 Elderwood 플랫폼에서 사용될 뿐 아니라 여러 Elderwood 캠페인 간의 연관성을 보여주는 단서이기도 합니다. 이에 대해서는 좀더 자세히 설명하겠습니다. 이제 지난 몇 년 동안 등장했던 Elderwood 플랫폼을 사용한 몇몇 주요 공격 집단에 대해 알아보겠습니다.

누가 Elderwood 플랫폼을 사용해 왔는가?
아래 도표는 최근 Elderwood 플랫폼이 사용되었던 유명 사례를 시간순으로 정리한 것입니다. 

그림 3. 최근 대표적인 제로데이 익스플로잇 공격의 타임라인

다음 공격 집단 중 상당수는 Elderwood 플랫폼에만 의존하지는 않지만 오랫동안 대부분의 주요 작전에서 광범위하게 이 플랫폼을 활용해 온 것으로 드러났습니다. 공격자들은 Elderwood 플랫폼에서 공략하는 것으로 알려진 취약점과 함께 Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free 원격 코드 실행 취약점(CVE-2012-4792), Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)과 같은 허점도 이용했습니다.

표 1. Elderwood 플랫폼을 사용하는 공격 집단

Elderwood의 연결성

위와 같은 공격 집단의 작전에 Elderwood가 사용될 뿐 아니라 해당 익스플로잇 인프라스트럭처도 서로 연결되어 있는 것으로 보입니다.

최근 Internet Explorer의 CVE-2014-0322 및 CVE-2014-0324 취약점을 노렸던 두 익스플로잇 공격은 동일한 셸 코드를 비롯하여 많은 공통점을 가지고 있습니다. 또한 둘 다 이미지에서 가져온 악성 코드를 해독한 다음 해독한 악성 코드를 %Temp% 폴더 경로에 “.txt” 확장자 파일 형태로 기록할 수 있습니다.

뿐만 아니라 CVE-2014-0502 및 CVE-2014-0322 취약점에 대한 익스플로잇 모두 동일한 사이트에서 호스팅되었습니다. 그리고 CVE-2014-0324 익스플로잇이 Backdoor.Linfo 유포에 사용된 징후가 있습니다. 이 악성 코드는 2012년에도 CVE-2012-0779 익스플로잇을 통해 유포된 적이 있습니다.

아래 이미지는 이러한 공격 집단의 Elderwood 플랫폼 사용 연관성을 종합적으로 정리한 것입니다.

그림 4. 최근 및 과거 제로데이 익스플로잇에서 나타난 몇 가지 연관성

결론

제로데이 익스플로잇 사용이 특정 핵심 집단 또는 조직과 연결된다고 단정짓기는 어렵습니다. 제로데이 익스플로잇이 공격에 사용되었다면 이를 리버스 엔지니어링하고 복사하여 다른 공격에 재활용하는 것이 가능합니다. 특히 Elderwood 플랫폼은 익스플로잇이 깔끔하게 패키지화되고 페이로드와 분리되어 있기 때문에 손쉽게 리버스 엔지니어링할 수 있습니다. Elderwood 익스플로잇은 고객의 사용 편의성을 높이기 위해 의도적으로 그와 같이 구현되었을 가능성이 있습니다.

하지만 관찰된 공격 작전에서 확인된 것처럼, 공격 집단들이 Internet Explorer 및 Flash 제로데이 익스플로잇을 구사하면서 동일한 악성 코드군을 배포하는 패턴이 반복적으로 나타납니다. 그뿐 아니라 이러한 익스플로잇은 구현 측면에서도 유사한 점이 많습니다. 증거에 따르면, 공격 집단들 간에 단순한 익스플로잇 리버스 엔지니어링에 국한되지 않은 보다 적극적인 수준의 교감이 이루어지는 것으로 보입니다.

Elderwood 개발자가 제3의 공급자이든지 자체 팀을 운영하는 대형 조직이든지 상관없이 ‘Elderwood’의 제로데이 익스플로잇을 이용하는 여러 집단은 확실한 자원과 동기를 보유하고 있습니다. 이들은 잠재적 표적에게 심각한 위협이 됩니다.

시만텍은 안티바이러스, IPS, 행동 및 평판 기술을 활용하여 이 블로그에 언급된 다양한 악성 코드군으로부터 고객을 보호하고 있습니다.

Back in 2012, Symantec researched the Elderwood platform, which was used in spear-phishing and watering-hole attacks against a wide variety of industries. The Elderwood platform essentially consists of a set of exploits that have been engineered and packaged in a “consumer-friendly” way. This allows non-technical attackers to easily use zero-day exploits against their targets.

We observed attackers using the Elderwood platform against a large number of sectors, including defense, defense supply chain manufacturing, IT, and human rights. Most notably, attackers used this set of exploits in a high-profile campaign known as Operation Aurora.

The Elderwood platform may have first been documented in 2012, but it has continuously been updated with some of the latest zero-day exploits. Within just one month at the start of 2014, the Elderwood platform was used to exploit three zero-day vulnerabilities, proving that this exploit set is still a formidable threat.

Initially, our research suggested that the Elderwood platform was being used by a single attack group. Our latest research leads us to believe that several groups could be using this platform. The evidence suggests that either one distributor is responsible for selling the platform or one major organization developed the exploit set for its in-house attack teams. Either scenario could shed light on how some of the biggest attack groups in action today get such early access to zero-day exploits.

Who could have created Elderwood?
There are several theories which may describe the makeup of the attackers utilizing the Elderwood platform’s zero-day exploits. Our research suggests that there are two more probable scenarios.

• There is a single parent organization broken into a number of subgroups. Each subgroup is tasked with targeting a particular industry. They each use individually developed malware families and operate their own network infrastructure. The parent organization obtains the zero-day exploits and coordinates the distribution and utilization of these exploits amongst the subgroups.

Figure 1. Zero-day exploits distributed throughout an organization consisting of multiple teams

• The attack groups are separate entities with their own agendas. These groups all have contact with a single zero-day exploit supplier which delivers the exploits to the groups at the same time. The supplier may give certain groups preferential treatment, offering zero-day exploits to some attack groups a few days before others. 

Figure 2. Zero-day exploits distributed to different groups but by a common supplier

Based on our evidence, which we will discuss in this blog, it seems likely that someone is supplying various Internet Explorer and Adobe Flash zero-day exploits to an intermediate organization or directly to the various groups. This alone is a sign of the level of resources available to these attackers. 

If the exploits are being purchased from a third party distributor, the purchasing organization must have substantial financial resources to pay for the exploits. If the exploits are developed in-house, this would indicate that the organization has hired several highly technical individuals to do so. These employees are either being well compensated for their work or have some other motivating factor that prevents them from selling exploits on the open market themselves.

Elderwood’s notable exploits
In 2012, several Internet Explorer and Adobe Flash exploits were part of the Elderwood platform, which took advantage of a number of vulnerabilities, including the following bugs.

• Adobe Flash Player Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779)
• Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
• Microsoft Internet Explorer Same ID Property Remote Code Execution Vulnerability (CVE-2012-1875)

Recently, we have seen the platform use new zero-day exploits against the following vulnerabilities, many of which are similar to the previously used exploits.

• Adobe Flash Player and AIR Remote Code Execution Vulnerability (CVE-2014-0502)
• Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322)
• Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324)

These exploits are not the only ones used in the platform, but as we will discuss, they show a connection between Elderwood campaigns. Let’s take a look at some of the major attack groups who have used the Elderwood platform over the past few years.

Who has been using the Elderwood platform?
The following is a timeline of the most recent high-profile use of the Elderwood platform. 

Figure 3. Timeline of known activities of recent zero-day exploits

While many of the following attack groups do not use the Elderwood platform exclusively, they have been observed using it throughout many of their major campaigns over a number of years. Along with taking advantage of vulnerabilities that are known to be covered in the Elderwood platform, the attackers also exploited other flaws, such as the Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792) and the Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).

Table 1. The attack groups using the Elderwood platform

The Elderwood connection
Along with the attack groups’ use of these exploits through their campaigns, the exploits’ infrastructure also appear to be linked.

The two recent Internet Explorer zero-day exploits for CVE-2014-0322 and CVE-2014-0324 share a number of features, including common shellcode. They both can also decrypt malware retrieved from images and write the decrypted malware to a file with a “.txt” extension in the %Temp% folder. 

Along with this, exploits for both CVE-2014-0502 and CVE-2014-0322 were hosted on the same site. Finally, there are indications that suggest that a CVE-2014-0324 exploit was used to drop Backdoor.Linfo. The same malware was dropped in 2012 with the CVE-2012-0779 exploit. 

The following image gives an overall look at how these attack groups’ use of the Elderwood platform are connected.

Figure 4. Some of the connections between recent and previous zero-day exploits

Conclusion
It’s difficult to definitively link the use of zero-day exploits back to one central group or organization. Once a zero-day exploit has been deployed in an attack, it can be reverse-engineered, copied and re-purposed for other attackers to use. The Elderwood platform is particularly easy to reverse-engineer, as its exploits are neatly packaged and separated from the payload. Elderwood’s exploit implementations may have been purposely created in this manner to make it easier for its customers to use. 

However, in these observed attack campaigns, there is a repeating pattern of attack groups using Internet Explorer and Flash zero-day exploits to deliver the same malware families. Not only that, but these exploits share many similarities in their implementation. This evidence indicates that there is a greater level of communication between attack groups than if the exploits were simply being reverse-engineered. 

Whether Elderwood’s creator is a third-party supplier or a major organization equipping its own teams, the various groups using ‘Elderwood’ zero-day exploits are well resourced and motivated. They present a serious threat to potential targets.

Symantec protects customers from the various malware families listed in this blog through our antivirus, IPS, behavioral and reputation technologies.