サイバースパイ活動は健在: APT32 とグローバル企業への脅威

Example APT32 Phishing Lure – Fake Gmail Error Message news

現在、FireEye によって APT32 (OceanLotus Group) として指定されているサイバースパイ活動のアクターは、複数の業界の民間企業に侵入し、外国政府、反体制派、ジャーナリストも標的にしています。 FireEye は、APT32 が完全な機能を備えた独自のマルウェア スイートを市販のツールと組み合わせて活用し、ベトナム国家の利益に沿った標的型操作を実行していると評価しています。

APT32 と FireEye のコミュニティの対応

FireEye の Mandiant インシデント レスポンス コンサルタントは、ベトナムにビジネス上の関心を持つ複数の企業への侵入を調査する過程で、重大な侵入キャンペーンを示す活動と攻撃者が制御するインフラストラクチャを発見しました。 2017 年 3 月、FireEye クライアントの積極的な標的化に対応して、チームはCommunity Protection Event (CPE)を立ち上げました。これは、Mandiant のインシデント レスポンダー、FireEye as a Service (FaaS)、FireEye iSight Intelligence、および FireEye 製品エンジニアリングの間で調整された取り組みです。すべてのクライアントを APT32 アクティビティから保護します。

次の数週間で、FireEye は脅威インテリジェンス製品をリリースし、マルウェア プロファイルを更新し、APT32 のツールとフィッシングルアーの新しい検出技術を開発しました。この焦点を絞ったインテリジェンスと検出の取り組みにより、新たな外部被害者の特定につながるだけでなく、以前の 12 件の侵入を関連付けるのに十分な技術的証拠が提供され、これまで無関係だった脅威アクターの活動の 4 つのクラスターが、FireEye の最新の名前付きの高度で永続的な脅威グループである APT32 に統合されました。

東南アジアの民間企業の事業を標的とするAPT32

少なくとも 2014 年以降、FireEye は APT32 がベトナムの製造、消費財、ホスピタリティ セクターに既得権を持つ外国企業を標的にしていることを確認しています。さらに、APT32 アクターが周辺ネットワーク セキュリティおよびテクノロジー インフラストラクチャ企業を標的にしていることを示す兆候もあります。

以下は、FireEye が調査した、APT32 に起因する侵入の概要です。

  • 2014 年には、ベトナムに製造施設を建設する前に、欧州企業が侵害されました。
  • 2016 年には、ネットワーク セキュリティ、テクノロジー インフラストラクチャ、銀行、およびメディア業界で働くベトナムおよび外資系企業が標的にされました。
  • 2016 年半ば、FireEye が APT32 に固有のものであると考えているマルウェアが、ベトナムへの事業拡大を計画している世界的なホスピタリティ業界の開発者のネットワークで検出されました。
  • 2016 年から 2017 年にかけて、ベトナム国内にある米国とフィリピンの消費財企業の 2 つの子会社が、APT32 による侵入活動の標的になりました。

表 1 は、APT32 アクティビティの内訳と、それぞれで使用されたマルウェア ファミリを示しています。

業界

マルウェア

2014年

ベトナム

ネットワークセキュリティー

フロントガラス

2014年

ドイツ

製造業

フロントガラス

2015年

ベトナム

メディア

フロントガラス

2016年

フィリピン

消費者製品

コンプロゴ
フロントガラス
サウンドバイト
ビーコン

2016年

ベトナム

バンキング

フロントガラス

2016年

フィリピン

技術インフラ

フロントガラス

2016年

中国

ホスピタリティ

フロントガラス

2016年

ベトナム

メディア

フロントガラス

2016年

アメリカ

消費者製品

フロントガラス
PHOREAL
ビーコン
サウンドバイト

表 1: FireEye が特定した APT32 民間部門の標的

APT32 政治的影響力と外国政府への関心

APT32 は、少なくとも 2013 年以降、ベトナムと関係のある民間部門を重点的に標的としているだけでなく、外国政府、ベトナムの反体制派やジャーナリストも標的にしています。この活動の概要は次のとおりです。

  • Electronic Frontier Foundationが発行した公開ブログは、2013 年にジャーナリスト、活動家、反体制派、およびブロガーがマルウェアと APT32 の作戦と一致する戦術の標的にされたことを示しました。
  • 2014 年、APT32 は、「ベトナム大使館で抗議者を取り締まる計画.exe」というタイトルのスピア フィッシングの添付ファイルを利用しました。この添付ファイルは、東南アジアのベトナム人ディアスポラの反体制活動を標的にしていました。その国の国会。
  • 2015 年に、中国企業 Qihoo 360 のセキュリティ研究部門である SkyEye Labs は、政府機関、研究機関、海事機関、造船業、海運企業など、中国の公的機関および民間企業を標的とした脅威アクターを詳述したレポートをリリースしました。レポートに含まれる情報は、攻撃者が APT32 と同じマルウェア、重複するインフラストラクチャ、および同様のターゲットを使用したことを示しています。
  • 2015 年と 2016 年には、ベトナムの 2 つのメディアが、FireEye が APT32 に固有のものであると評価するマルウェアの標的になりました。
  • 2017 年、攻撃者が使用したルアーのソーシャル エンジニアリング コンテンツは、オーストラリアのベトナム ディアスポラのメンバーとフィリピンの公務員をターゲットにするために使用された可能性が高いという証拠を提供しました。

APT32 の戦術

現在のキャンペーンでは、APT32 はソーシャル エンジニアリング手法を使用する ActiveMime ファイルを利用して、被害者を誘惑してマクロを有効にしました。実行されると、初期化されたファイルはリモート サーバーから複数の悪意のあるペイロードをダウンロードします。 APT32 アクターは、スピア フィッシング メールを介して悪意のある添付ファイルを配信し続けています。

APT32 攻撃者は、特定の被害者向けに調整された多言語のルアー ドキュメントを作成しました。ファイルのファイル拡張子は「.doc」でしたが、回収されたフィッシングルアーは、テキストと画像を含む ActiveMime の「.mht」Web ページ アーカイブでした。これらのファイルは、Word 文書を単一ファイル Web ページにエクスポートすることによって作成された可能性があります。

表 2 には、復元された APT32 多言語ルアー ファイルのサンプルが含まれています。

ActiveMime ルアー ファイル

MD5

2017年员工工资性津贴额统计报告.doc
(平成29年度職員給与・諸手当統計報告書)

5458a2e4d784abb1a1127263bd5006b5

Thong tin.doc
(情報)

ce50e544430e7265a45fab5a1f31e529

ファン・ヴ・トゥタン CV.doc

4f761095ca51bfbbf4496a4964e41d4f

Ke hoach cuu tro nam 2017.doc
(2017 年救済計画)

e9abe54162ba4572c770ab043f576784

GSIS.docへの指示

fba089444c769700e47c6b44c362f96b

Hoi thao truyen thong doc lap.doc
(伝統的なゲーム)

f6ee4b72d6d42d0c7be9172be2b817c1

Giấy yêu cầu bồi thường mới 2016 – hằng.doc
(2016年新請求書)

aa1f85de3e4d33f31b4f78968b29f175

ホア ドン チ ティエ ティエン no.doc
(債務明細)

5180a8d9325a417f2d8066f9226a5154

Thu moi tham du Hoi luan.doc
(参加者の募集)

f6ee4b72d6d42d0c7be9172be2b817c1

Danh sach nhan vien vi pham ky luat.doc
(従業員の違反行為一覧)

6baafffa7bf960dec821b627f9653e44

Nội-dung-quảng-cáo.doc
(内部コンテンツ広告)

471a2e7341f2614b715dc89e803ffcac

HĐ DVPM-VTC 31.03.17.doc

f1af6bb36cdf3cff768faee7919f0733

表 2: APT32 ルアー ファイルのサンプリング

Base64 でエンコードされた ActiveMime データには、悪意のあるマクロを含む OLE ファイルも含まれていました。多くのルアー ファイルを開くと、ユーザーをだまして悪意のあるマクロを起動させようとして、偽のエラー メッセージが表示されました。図 1 は、偽の Gmail テーマと 16 進数のエラー コードを組み合わせたもので、受信者にコンテンツを有効にしてエラーを解決するよう促しています。図 2 は、偽の Windows エラー メッセージの説得力のある画像を使用した別の APT32 ルアーを示しており、受信者に文書のフォント文字を適切に表示するコンテンツを有効にするように指示しています。

Example APT32 Phishing Lure – Fake Gmail Error Message
図 1: APT32 フィッシングルアーの例 – 偽の Gmail エラーメッセージ
例 APT32 フィッシングのおとり – 偽のテキスト エンコーディング エラー メッセージ
図 2: APT32 フィッシングのおとりの例 – 偽のテキスト エンコーディング エラー メッセージ

APT32 オペレーターは、フィッシングの有効性を追跡し、悪意のあるドキュメントの配布を監視し、メモリに挿入されたバックドアを動的に更新する永続化メカニズムを確立するために、いくつかの新しい手法を実装しました。

誰がフィッシング メールを開き、リンクを表示し、添付ファイルをダウンロードしたかをリアルタイムで追跡するために、APT32 は販売組織向けに設計されたクラウドベースのメール分析ソフトウェアを使用しました。場合によっては、APT32 は電子メールへの直接的な添付ファイルを完全に放棄し、正規のクラウド ストレージ サービスで外部にホストされている ActiveMime ルアーへのリンクを使用して、この追跡手法のみに依存していました。

APT32 は、フィッシングルアーのさらなる配布に対する可視性を高めるために、ActiveMime ドキュメントのネイティブ Web ページ機能を利用して、APT32 の監視対象インフラストラクチャでホストされている外部画像にリンクしました。

図 3 には、APT32 による追加の追跡に使用される HTML イメージ タグを含むフィッシング ルアーの例が含まれています。

追加追跡用の HTML イメージ タグを含むフィッシング ルアー
図 3: 追加の追跡用の HTML イメージ タグを含むフィッシング ルアー

この機能を含むドキュメントを開くと、マクロが無効になっている場合でも、Microsoft Word は外部画像をダウンロードしようとします。分析されたすべてのフィッシングルアーで、外部画像は存在しませんでした。 Mandiant のコンサルタントは、APT32 が Web ログを監視して、リモート イメージのリクエストに使用されたパブリック IP アドレスを追跡していたのではないかと疑っています。メール追跡ソフトウェアと組み合わせることで、APT32 はフィッシングの配信と成功率を綿密に追跡し、セキュリティ企業の関心を監視しながら、被害者の組織についてさらに分析を行うことができました。

標的のシステムでマクロが有効になると、悪意のあるマクロは、感染したシステムの 2 つのバックドアの永続化メカニズムとして、2 つの名前付きスケジュール タスクを作成しました。最初に指定されたスケジュールされたタスクは、APT32 のインフラストラクチャから最初のバックドアを動的にダウンロードしてメモリに挿入する COM スクリプトレットを実行するために、アプリケーション ホワイトリスト スクリプト保護バイパスを起動しました。 2 番目のスケジュールされたタスクは、XML ファイルとして読み込まれ、タスク属性を改ざんされ、マルチステージ PowerShell スクリプトとして配信されるセカンダリ バックドアをダウンロードして起動する JavaScript コード ブロックを実行しました。ほとんどのルアーでは、1 つのスケジュールされたタスクが APT32 固有のバックドアを永続化し、もう 1 つのスケジュールされたタスクが市販のバックドアをバックアップとして初期化しました。

これらのルアーの複雑さを説明するために、図 4 は、回復された APT32 ルアー「2017 Statistical Report on Employee Salary Allowance.doc」の永続化メカニズムの作成を示しています。

APT32 ActiveMime のおとりは、2 つの名前付きのスケジュールされたタスクを作成します
図 4: APT32 ActiveMime ルアーは 2 つの名前付きスケジュール タスクを作成する

この例では、「Windows スケジュール メンテナンス」という名前のスケジュールされたタスクが作成され、Casey Smith の「Squibbledoo」アプリ ホワイトリスト バイパスが 30 分ごとに実行されます。すべてのペイロードは動的に更新できますが、配信時に、このタスクは、images.chinabytes[.]info でホストされている Meterpreter をダウンロードして実行する COM スクリプトレット (「.sct」ファイル拡張子) を起動しました。次に、Meterpreter は Cobalt Strike BEACON をロードし、 Safebrowsing 順応性 C2 プロファイルを使用して 80.255.3[.]87 と通信するように構成し、ネットワーク トラフィックにさらに溶け込ませました。 「Scheduled Defrags」という名前の 2 番目のスケジュールされたタスクは、タスク作成のタイムスタンプが 2016 年 6 月 2 日にさかのぼる生のタスク XML をロードすることによって作成されました。ドメイン blog.panggin[.]org、share.codehao[.]net、および yii.yiihao126[.]net と通信するように構成された、PowerShell スクリプト内のシェルコード。

図 5 は、2 つのマルチステージ マルウェア フレームワークをメモリに動的に注入する 1 つの成功した APT32 フィッシング ルアーの一連のイベントを示しています。

APT32 フィッシング チェーンのイベント
図 5: APT32 フィッシング チェーンのイベント

印象的な APT32 の活動は、被害者の環境に足場を築いた後も止まりませんでした。 Mandiant のいくつかの調査により、APT32 はアクセスを取得した後、選択したイベント ログ エントリを定期的に消去し、Daniel Bohannon のInvoke-Obfuscationフレームワークを使用して PowerShell ベースのツールとシェルコード ローダーを大幅に難読化したことが明らかになりました。

APT32 は定期的にステルス技術を使用して、正当なユーザー アクティビティに紛れ込みます。

  • ある調査では、APT32 が Windows ホットフィックスを装った権限昇格エクスプロイト (CVE-2016-7255) を使用していることが確認されました。
  • 別の調査では、APT32 が McAfee ePO インフラストラクチャを侵害して、すべてのシステムが独自の SPIPE プロトコルを使用して ePO サーバーからペイロードをプルするソフトウェア展開タスクとしてマルウェアを配布しました。
  • また、APT32 は隠し文字または非印刷文字を使用して、システム上でマルウェアを視覚的にカモフラージュしました。たとえば、APT32 は 1 つのバックドアを永続的なサービスとしてインストールし、正当なサービス名に Unicode の改行なしのスペース文字を追加しました。別のバックドアは、非印刷 OS コマンド制御コードで埋められた正当な DLL ファイル名を使用していました。

APT32 マルウェアとインフラストラクチャ

APT32 は豊富な開発能力を備えているようで、複数のプロトコルにまたがるバックドアのカスタム スイートを使用しています。 APT32 の動作は、WINDSHIELD、KOMPROGO、SOUNDBITE、PHOREAL などのシグネチャ マルウェア ペイロードの展開によって特徴付けられます。 APT32 は、市販の Cobalt Strike BEACON バックドアとともにこれらのバックドアを展開することがよくあります。 APT32 は、macOS 向けのバックドア開発機能も保有している可能性があります。

この独自のマルウェア スイートの機能を表 3 に示します。

マルウェア

機能

フロントガラス

  • TCP raw ソケット経由のコマンド アンド コントロール (C2) 通信
  • 4 つの設定済み C2 と 6 つの設定済みポート – 通信用にランダムに選択された C2/ポート
  • レジストリ操作
  • 現在のモジュールのファイル名を取得します
  • レジストリ値、ユーザー名、コンピューター名、現在のコード ページなどのシステム情報を収集する
  • ディレクトリの作成、ファイルの削除、ファイルの読み取りと書き込みを含むファイル システムの相互作用
  • 追加のモジュールをロードしてコードを実行する
  • プロセスを終了する
  • 分解防止

コンプロゴ

  • プロセス、ファイル、およびレジストリの管理が可能なフル機能のバックドア
  • 逆シェルの作成
  • ファイル転送
  • WMI クエリの実行
  • 感染したシステムに関する情報の取得

サウンドバイト

  • DNS経由のC2通信
  • プロセス作成
  • ファイルのアップロード
  • シェルコマンドの実行
  • ファイルとディレクトリの列挙/操作
  • ウィンドウの列挙
  • レジストリ操作
  • システム情報収集

PHOREAL

  • ICMP による C2 通信
  • 逆シェル作成
  • ファイルシステム操作
  • レジストリ操作
  • プロセス作成
  • ファイルのアップロード

BEACON(コバルトストライク)

  • 任意のコードをプロセスに挿入して実行できる、公開されているペイロード
  • ユーザーのセキュリティ コンテキストの偽装
  • Kerberos チケットのインポート
  • ファイルのアップロードとダウンロード
  • シェル コマンドの実行
  • 通常のネットワーク トラフィックに溶け込むように柔軟な C2 プロファイルで構成
  • Metasploit フレームワークとの共同展開と相互運用性
  • ピアツーピア C2 と SMB 経由のピボットを可能にする SMB 名前付きパイプのメモリ内バックドア ペイロード

表 3: APT32 マルウェアと機能

APT32 オペレーターは、コマンド アンド コントロール インフラストラクチャとして多数のドメインと IP アドレスを使用しているため、十分なリソースとサポートを受けているようです。 FireEye iSIGHT インテリジェンスの MySIGHT ポータルには、Mandiant による APT32 侵入の調査に基づく、これらのバックドア ファミリに関する追加情報が含まれています。

図 6 は、攻撃ライフサイクルの各段階にマッピングされた APT32 のツールと手法の概要を示しています。

APT32 攻撃のライフサイクル
図 6: APT32 攻撃のライフサイクル

展望と影響

FireEye は、インシデント対応調査、製品検出、インテリジェンス観察、および同じオペレーターに関する追加の出版物に基づいて、APT32 がベトナム政府の利益に沿ったサイバー スパイ グループであると評価しています。 APT32 による民間セクターの利益の標的は注目に値するものであり、FireEye は、アクターがこの国でビジネスを行っている、または投資を準備している企業に重大なリスクをもたらすと考えています。 APT32 による民間部門への侵害の動機はそれぞれ異なり、場合によっては不明でしたが、不正アクセスは法執行機関、知的財産の盗難、または最終的に標的の組織の競争上の優位性を損なう可能性のある汚職対策のプラットフォームとして機能する可能性があります。さらに、APT32 は、東南アジアや世界中の公共部門における政治活動や言論の自由を脅かし続けています。政府、ジャーナリスト、およびベトナム ディアスポラのメンバーは、引き続き標的にされる可能性があります。

中国、イラン、ロシア、および北朝鮮の攻撃者は、FireEye が追跡および対応した最も活発なサイバー スパイ活動の脅威であり続けていますが、APT32 は、この動的な機能を採用した新しい国が増えていることを反映しています。 APT32 は、適切な投資と、新たに利用可能になったツールや手法を柔軟に取り入れることで、アクセス可能で影響力のある攻撃機能を実現できることを示しています。より多くの国が安価で効率的なサイバー作戦を利用するにつれて、これらの脅威に対する国民の認識と、公共部門や諜報機関の標的を超えた国家による新たな侵入についての新たな対話が必要になっています。

APT32 検出

図 7 には、APT32 のフィッシングルアーに関連する悪意のあるマクロを特定するために使用できる Yara ルールが含まれています。

APT32 悪意のあるマクロの Yara ルール
図 7: APT32 悪意のあるマクロの Yara ルール

表 4 には、FireEye が APT32 C2 に関連付けたインフラストラクチャのサンプルが含まれています。

C2 インフラストラクチャ

103.53.197.202

104.237.218.70

104.237.218.72

185.157.79.3

193.169.245.78

193.169.245.137

23.227.196.210

24.datatimes.org

80.255.3.87

blog.docsugs.org

blog.panggin.org

contay.deaftone.com

check.paidprefund.org

datatimes.org

docksugs.org

Economy.bloghop.org

emp.gapte.name

facebook-cdn.net

gap-facebook.com

gl-appspot.org

help.checkonl.org

high.expbas.net

high.vphelp.net

icon.torrentart.com

images.chinabytes.info

imaps.qki6.com

img.fanspeed.net

job.supperpow.com

ライトプレス情報

menmin.strezf.com

mobile.pagmobiles.info

news.lightpress.info

notificeva.com

nsquery.net

pagmobiles.info

payedprefund.org

push.relasign.org

relasign.org

share.codehao.net

seri.volveri.net

ssl.zin0.com

static.jg7.org

syn.timeizu.net

teriava.com

timeizu.net

tonholding.com

tulationeva.com

無題.po9z.com

update-flashs.com

vieweva.com

volveri.net

vphelp.net

yii.yiihao126.net

zone.apize.net

表 4: APT32 C2 インフラストラクチャのサンプル

参考: https ://www.mandiant.com/resources/blog/cyber-espionage-apt32

Comments

Copied title and URL