APT3 のキャンペーン
APT3 攻撃者は、次の業界の少なくとも 10 の組織を標的にしました。
- 航空宇宙と防衛
- 建設とエンジニアリング
- エネルギー
- ハイテク
- 非営利
- 電気通信
- 交通手段
APT3 フィッシング メールの例を以下の図 1 に示します。
FROM: “<first.last>” <first.last>@perrydale.com
件名: <ターゲット> 分析レポート – 2015
URL:
hxxp://report.perrydale[.]com/ema/RR201507[.]pdf
hxxp://vic.perrydale[.]com/logo2.jpg
hxxp://rpt.perrydale[.]com/en/rep201507101[.]pdf
図 1: CVE-2015-5119 を使用した APT3 フィッシング メールの例
7 月 8 日の時点で、URL で確認された 3 つのドメインはすべて 194.44.130.179 に解決されました。 Operation Clandestine Wolfでの APT3 の活動と同様に、URL は JavaScript プロファイラーと悪意のある Adobe Flash ファイルにリダイレクトされます。 Flash ファイルは難読化された GIF をダウンロードします。これには、APT3 がフィッシング メールを送信した日にコンパイルされた SHOTPUT ペイロードが含まれています。 SHOTPUT は、HTTP 経由で通信する DLL バックドアであり、ファイルのアップロードまたはダウンロード、プロセスの管理、システム コマンドの実行、およびシステム情報の収集が可能である可能性があります。 SHOTPUT は、Backdoor.APT.CookieCutter として検出されることもあります。 SHOTPUT バックドアは、マルウェアにハードコードされている次のコマンド アンド コントロール (CnC) アドレスと通信します。
- psa.perrydale[.]com
- link.angelroofing[.]com
- 107.20.255.57
- 23.99.20.198
APT3 がゼロデイを使用していることを確認したのは、2014 年半ば以来 3 回目であり、新しいエクスプロイトを利用する能力を証明しています。
APT18のキャンペーン
APT18 攻撃者は、以下の業界の少なくとも 13 の組織を標的にしました。
- 航空宇宙と防衛
- 建設とエンジニアリング
- 教育
- 健康とバイオテクノロジー
- ハイテク
- 電気通信
- 交通手段
APT18 フィッシング メールの例を図 2 に示します。
FROM: <さまざまな> @duwrt.com
件名:重要: Flash の更新
体:
親愛なる、
コンピューターに既に Flash がインストールされている場合は、更新プログラムをダウンロードしてインストールするよう求められます。新しいアップデートがインストールされると、Flash は正常に機能するはずです。 Outlook を更新する 多くの Flash の問題は、クライアント ソフトウェアを最新バージョンに更新することで解決できます。お使いのバージョンの Adobe Flash ソフトウェアで利用可能な最新のアップデートがすべてあることを確認してください。方法は次のとおりです。
1.アップデートをダウンロード hxxp://get[.]adobe[.]com/ (マスク URL: hxxp://137.175.4[.]132/index.htm)
2.[アップデートの確認] をクリックします。
3.すべての更新プログラムがインストールされていることを確認したら、コンピューターを再起動します。 Flash をインストールするには、コンピュータの管理者権限が必要です。サポートが必要な場合は、デスクトップ サポート スタッフにお問い合わせください。
図 2: CVE-2015-5119 を使用した APT18 フィッシング メールの例
被害者が URL をクリックすると、システムは図 3 に示すプロパティを持つ悪意のある Adobe Flash (.swf) ファイルをダウンロードします。
ファイル名: movie.swf
MD5: 079a440bee0f86d8a59ebc5c4b523a07
ファイルサイズ: 214976
図 3: APT18 の悪意のある SWF プロパティ
悪用されると、GH0ST RAT の亜種が被害者のシステムに配信され、それが以前に知られていた APT18 CnC アドレス 223.25.233.248 を呼び出します。 GH0ST RAT は、公開ソース コードから派生したバックドアです。 Backdoor.APT.Gh0stRat として検出されることもあります。コンパイルされたソース コードにより、攻撃者は、ファイルの作成、操作、削除、起動、転送など、被害者のシステムを制御するさまざまな方法を利用できるようになります。画面またはオーディオのキャプチャを実行します。ウェブカメラを有効にします。プロセスを一覧表示または強制終了します。コマンド シェルを開きます。イベントログを消去します。ただし、ソース コードは公開されているため、脅威グループが機能を削除または追加してコードを調整する可能性があります。
キャンペーンの比較
APT3 と APT18 は、エクスプロイトを採用する際にわずかに異なるアプローチを採用しており、これらが独立して機能する可能性が高いことを示しています。いつものように、APT3 は侵害されたインフラストラクチャを使用しましたが、APT18 は調達したインフラストラクチャに依存していました。 APT3 は、標的となる組織の名前を含むカスタマイズされたフィッシング メールを使用していましたが、APT18 のメールは特定されておらず、複数の標的で使用されるように細工されている可能性があります。
迅速なターンアラウンド タイムは、適応性と日和見主義を実証します
グループは、脆弱性にパッチが適用される前に、Hacking Team のリークされたゼロデイを迅速に採用することで、適応性とスキルを実証しました。どちらのグループも、セキュリティ研究からの情報を監視して、利用可能なエクスプロイトと、ネットワーク防御者がそれらにどのように反応しているかを知る可能性があります。私たちは以前、公的調査に基づいて、APT3 の監視と急速に変化する戦術を観察してきました。 Operation Clandestine Wolf の詳細を公開した後、APT3 はフィッシング メールを変更し、ファイル名を変更し、バックドアを更新しました。
これまで、APT3 と APT18 は、事前に計画されていた可能性が高い、運用のためのゼロデイ エクスプロイトを頻繁に開発または適応させてきました。 Hacking Team のリークからのデータを使用すると、ターゲットの選択、インフラストラクチャの準備、メッセージの作成、ツールの更新などのリソースをシフトして、新たに公開されたエクスプロイトなどの予期しない機会を利用する方法を示しています。
推奨事項
FireEye は、CVE-2015-5119 のエンドポイントとネットワーク検出、これらのキャンペーンで使用されたバックドア、およびこれらのグループで使用されたその他のツールを維持しています。さらに、次のことを強くお勧めします。
- すぐに Adobe の Flash 用パッチを適用すると、
- 送信元アドレスまたは電子メール インジケーターによる追加のアクティビティのクエリ、
- アウトバウンド通信による CnC アドレスのブロック、および
- インシデント対応に備えて環境を調査します。
注: このキャンペーンの IOC は、こちらで確認できます。
参照: https://www.mandiant.com/resources/blog/demonstrating-hustle
Comments