厄介な手口: 資格情報盗難マルウェアからビジネスの混乱まで

FireEye は、TEMP.MixMaster と呼ばれる一連の金銭目的の活動を追跡しています。これには、TrickBot マルウェア感染に続く Ryuk ランサムウェアのインタラクティブな展開が含まれます。これらの活動は、少なくとも 2017 年 12 月から活発に行われており、2018 年後半には顕著な増加が見られ、被害組織から多額の身代金を要求することに大きな成功を収めていることが証明されています。複数のインシデントで、組み込みの TrickBot 機能だけに依存するのではなく、TEMP.MixMaster は EMPIRE と RDP 接続を使用して、被害者の環境内で横方向の移動を可能にしました。このようなランサムウェアのインタラクティブな展開により、攻撃者は被害者のネットワーク内で貴重な偵察を実行し、重要なシステムを特定して事業運営への混乱を最大化し、最終的に組織が要求された身代金を支払う可能性を高めます.これらの操作は、現在の BTC 価値で約 370 万ドルを稼いだと伝えられています。

特に、Ryuk マルウェアが北朝鮮に起因するものであるという報告は数多くありますが、FireEye の調査では、これを示す証拠は見つかりませんでした。この物語は、Ryuk と、APT38 によって使用されたランサムウェアであるHermes のコードの類似性に基づいているようです。しかし、Hermes ランサムウェア キットはかつてアンダーグラウンド コミュニティでも宣伝されていたため、これらのコードの類似性だけでは、北朝鮮が Ryuk 攻撃の背後にいると結論付けるには不十分です。

TEMP.MixMaster は、TrickBot 感染に続いて Ryuk が展開されたのを確認したインシデントへの言及に過ぎず、すべての TrickBot 感染が Ryuk ランサムウェアの展開につながるわけではないことに注意することが重要です。東ヨーロッパに拠点があると疑われる TrickBot 管理者グループは、作戦で使用する限られた数のサイバー犯罪者にマルウェアを提供する可能性が最も高いです。これは、特定の TrickBot ユーザーを識別するために使用される一意のキャンペーン識別子であると思われる「gtags」の使用によって部分的に明らかです。 Mandiant のインシデント対応チームが調査した最近のインシデントでは、Ryuk も展開されたさまざまな被害者ネットワークから収集された TrickBot サンプルの構成ファイルに表示される gtags 全体で一貫性がありました。これらのインシデント全体で観察された gtag の均一性は、これらの gtag 値を使用するように構成されたマルウェアのワーム モジュールを介して伝播されている TrickBot のインスタンスによるものと思われます。

現在のところ、TEMP.MixMaster の活動全体 (TrickBot の配布と運用から、Ryuk の展開まで) が共通のオペレーターまたはグループによって行われているという決定的な証拠はありません。また、TrickBot マルウェアを使用している複数の eCrime 攻撃者が Ryuk マルウェアを利用できる可能性、または少なくとも 1 人の TrickBot ユーザーが侵害した環境へのアクセスを第三者に販売している可能性もあります。 Ryuk を展開する侵入操作はGRIM SPIDERとも呼ばれています。

Ryukの展開につながるTrickBot感染

以下は、Ryuk ランサムウェアの配布に先立って TrickBot が使用されたインシデント対応調査で観察された戦術の概要です。注目すべきは、Ryuk 展開のインタラクティブな性質のため、その実行につながる TTP はインシデントごとに異なる可能性があることです。さらに、少なくとも 1 つのケースでは、TrickBot の実行に関連するアーティファクトが収集されましたが、観察された Ryuk の活動を TrickBot の使用と明確に結び付けるには十分な証拠がありませんでした。

初期感染

すべてのインシデントで最初の感染経路が確認されたわけではありません。あるケースでは、Mandiant は、攻撃者が XLS 添付ファイル付きの給与をテーマにしたフィッシング メールを利用して、TrickBot マルウェアを配信したことを特定しました (図 1)。 FireEye テクノロジーのデータによると、このキャンペーンは主に米国の組織に広く配布され、政府、金融サービス、製造、サービス プロバイダー、ハイテクなどのさまざまな業界に広がっていました。

被害者が添付ファイルを開いてマクロを有効にすると、リモート サーバーから TrickBot マルウェアのインスタンスをダウンロードして実行しました。 FireEye テクノロジーから得られたデータは、この特定の悪意のあるスパムによってさまざまなドキュメントが配布された可能性があることを示唆していますが、キャンペーンが地理的および全体的に広範囲に配布されたにもかかわらず、ドキュメントが 2 番目のペイロードを取得しようとした URL は、添付ファイルや受信者によって異なりませんでした。業界の垂直。

件名: FW: 給与計算スケジュール
添付:給与明細.xls

支払実行概要レポートと個々の給与明細。
敬具、
アダム・ブッシュ
機密保持通知:
この電子メール メッセージおよび添付ファイルの内容は、宛先のみを対象としており、機密情報や機密情報が含まれている可能性があり、開示から法的に保護されている可能性があります。あなたがこのメッセージの意図された受信者または代理人でない場合、またはこのメッセージが誤ってあなたに宛てられた場合は、すぐに返信メールで送信者に警告し、このメッセージと添付ファイルを削除してください。あなたが意図された受信者ではない場合、このメッセージまたはその添付ファイルの使用、流布、コピー、または保存は固く禁じられていることをここに通知します.

図 1: TrickBot をダウンロードし、最終的に Ryuk に誘導したフィッシング キャンペーンからの電子メール

持続性と横方向の動き

実行されると、TrickBot は侵害されたシステム上でスケジュールされたタスクを作成して自身を実行し、システムの再起動後も持続するようにしました。これらの TrickBot インスタンスは、SMB と収集した認証情報に依存するネットワーク伝播モジュール (sharedll と tabdll) を使用して、ネットワーク内の追加のシステムに伝播するように構成されていました。 TrickBot が拡散されたシステムの数は、10 未満から数百までさまざまな侵入に対応していました。

滞在時間とエクスプロイト後のアクティビティ

TrickBot を制御する攻撃者によって足場が確立された後、非アクティブな期間が続くことがありました。 TrickBot のインストールから Ryuk の配布までの滞留時間は侵入ごとに異なりますが、少なくとも 1 つのケースでは 1 年にも及ぶ可能性があります。この長い滞留時間にもかかわらず、Ryuk マルウェアの最初の報告は 2018 年 8 月にさかのぼるだけです。Ryuk が利用可能になる前に、被害者の環境へのアクセスを維持するために使用されていた Trickbot インスタンスを制御している攻撃者が、さまざまな方法でこのアクセスを収益化していた可能性があります。さらに、これらの侵入操作には人間主導の要素が疑われるため、最初の感染とRyukの展開またはその他の悪用後の活動の間に遅延が見られることが一般的に予想されます。同時に組織。

活動が再開されると、攻撃者は、TrickBot の組み込み機能に依存して被害者のネットワークとやり取りする代わりに、Empire を展開したり、リバース シェルを介してトンネリングされた RDP 接続を利用したりして、対話型の侵入に移行しました。複数の侵入で、TrickBot のリバース シェル モジュール (NewBCtestDll) を使用して難読化された PowerShell スクリプトが実行され、最終的にEmpireバックドアがダウンロードされて起動されました。

エンゲージメント全体でのRyuk展開のバリエーション

各 Ryuk インシデントに関連するエクスプロイト後の活動は、過去および現在進行中の Mandiant インシデント対応業務によって異なります。収集された証拠が、Ryuk の展開が人間と対話するポストエクスプロイトによって管理されていることを示唆していることを考えると、方法論、ツール、およびアプローチの変化と進化は、時間の経過とともに、侵入全体にわたって予想されます。

以下の大まかな手順は、私たちが洞察しているほとんどのインシデントに共通しているようです。

  • アクターはターゲット システムのリストを生成し、1 つまたは複数の .txt ファイルに保存します。
  • アクターは、Ryuk のインスタンスである PsExec のコピーと、1 つまたは複数のバッチ スクリプトを、被害者の環境内の 1 つまたは複数のドメイン コントローラーまたはその他の高い権限を持つシステムに移動します。
  • アクターはバッチ スクリプトを実行して、Ryuk サンプルを .txt ファイルに含まれる各ホストにコピーし、最終的にそれらを実行します。

Ryuk の展開が変化した注目すべき方法には、次のようなものがあります。

  • 1 つのケースでは、アクターが被害者のネットワーク上のホストを列挙して、Ryuk による暗号化のターゲットを特定したことを示唆する証拠がありましたが、他の複数のケースでは、これらのリストがサーバーに手動でコピーされ、Ryuk の配布に使用されました。それらは生産されました。
  • TrickBot が、少数のホストで足場を維持するために使用されるのではなく、被害者の環境全体に広く展開されたケースが複数あります。
  • すべてのケースでエンパイアが攻撃者によって使用されたという証拠を特定したわけではなく、Ryuk 暗号化が開始された後にのみエンパイアが被害者の環境にアクセスするために使用されることもありました。
  • あるケースでは、攻撃者は、Ryuk がプロセスを終了し、ウイルス対策に関連するサービスを停止するために通常使用するのと同じ taskkill、net、および sc コマンドのほとんどを含むスタンドアロンの .bat スクリプトを伴う、わずかに異なる機能を持つ Ryuk の亜種を使用しました。バックアップ、およびデータベース ソフトウェア。

Ryuk 導入の例 – 2018 年第 3 四半期

  • 攻撃者は以前に盗んだ資格情報を使用してドメイン コントローラーにログインし、ツールを %TEMP% ディレクトリにコピーしました。コピーされたツールには、AdFind.exe (Active Directory 列挙ユーティリティ)、バッチ スクリプト (図 2)、および 7-Zip アーカイブ ユーティリティのコピーが含まれていました。
  • ダウンロードしたユーティリティは C:WindowsSysWOW64 にコピーされました。
  • 攻撃者は、組み込みの Windows コマンドを使用して、ホストとネットワークの偵察を実行しました。
  • AdFind.exe は、前述のバッチ スクリプトを使用して実行されました。このバッチ スクリプトは、Active Directory ユーザー、システム、OU、サブネット、グループ、および信頼オブジェクトに関する情報を収集するために使用される一連のコマンドをユーティリティに渡すように作成されました。各コマンドの出力は、AdFind.exe ユーティリティと共に個別のテキスト ファイルに保存されました (図 2)。
  • このプロセスは、同じドメイン コントローラーで 10 時間間隔で 2 回実行されました。 Adfind の実行の合間に、攻撃者は被害者の環境で複数のドメイン コントローラへのアクセスをテストしました。これには、後に Ryuk の展開に使用されたものも含まれます。
  • 攻撃者はドメイン コントローラーにログインし、PSExec.exe のインスタンス、プロセスを強制終了してサービスを停止するために使用されるバッチ スクリプト、および Ryuk のインスタンスをシステムにコピーしました。
  • 攻撃者は PsExec を使用して、プロセス/サービスを強制終了するバッチ スクリプトを被害者の環境にある数百台のコンピューターの %TEMP% フォルダーにコピーし、そこから実行しました。
  • その後、攻撃者は PsExec を使用して、Ryuk バイナリをこれらの同じコンピューターの %SystemRoot% ディレクトリにコピーしました。その後、Ryuk バイナリを起動するように構成された新しいサービスが作成され、開始されました。
  • Ryuk の実行は通常どおり行われ、影響を受けたシステムのファイルが暗号化されました。

adfind.exe -f (objectcategory=person) > <user_list>.txt

adfind.exe -f objectcategory=computer > <computer_list>.txt

adfind.exe -f (objectcategory=organizationalUnit) > <ou_list>.txt

adfind.exe -subnets -f (objectCategory=subnet) > <subnet_list>.txt

adfind.exe -f “(objectcategory=group)” > <group_list>.txt

adfind.exe -gcb -sc trustdmp > <trustdmp>.txt

図 2: adfind.exe ツールを使用して Active Directory オブジェクトを列挙するバッチ スクリプト

Ryuk 導入の例 – 2018 年第 4 四半期

  • TrickBot に感染したシステムで起動された EMPIRE バックドアのインスタンス。攻撃者は、EMPIRE の組み込み機能を使用してネットワーク偵察を実行しました。
  • 攻撃者は RDP 経由で被害者ネットワークのドメイン コントローラに接続し、いくつかのファイルをホストの C$ 共有にコピーしました。コピーされたファイルには、PsExec のインスタンス、2 つのバッチ スクリプト、Ryuk マルウェアのインスタンス、被害者の環境内のホストのリストを含む複数の .txt ファイルが含まれていました。標的となったホストの多くは、被害者の環境全体で重要なシステムであり、ドメイン コントローラや、キー管理および認証サービスを提供するその他のホストが含まれていました。
  • その後、攻撃者はこれら 2 つのバッチ スクリプトの最初のスクリプトを実行しました。実行されたスクリプトは、PsExec と、攻撃者が以前に盗んだハードコーディングされた資格情報を使用して、記載された .txt ファイルから入力として渡された各ホストに Ryuk バイナリをコピーしました (図 3)。
  • 次に攻撃者は、同じホスト リストを反復処理する 2 番目のバッチ スクリプトを実行し、PsExec を使用して、最初のバッチ スクリプトによってコピーされた Ryuk バイナリを実行しました (図 4)。

start PsExec.exe @C:<共有フォルダー>$<リスト>.txt -u <ドメイン><ユーザー名> -p <パスワード> cmd /c COPY “<共有フォルダー><ryuk_exe>” “C: windowstemp”

図 3: Ryuk 実行可能ファイルを各システムにコピーするために使用されるバッチ ファイルの行

start PsExec.exe -d @C:<共有フォルダー>$<リスト>.txt -u <ドメイン><ユーザー名> -p <パスワード> cmd /c “C:windowstemp<ryuk_exe>”

図 4: 各システムで Ryuk を実行するために使用されるバッチ ファイルの行

TrickBot グループ タグの一貫性

個々の TrickBot サンプル ビーコンは、TrickBot の個別の顧客の識別子として機能すると考えられる静的に定義された「gtag」を使用して、コマンド & コントロール (C2) インフラストラクチャに送信されます。被害組織のネットワークから収集された TrickBot サンプルに関連付けられた gtag には、かなりの一貫性がありました。

  • 1 回の侵入で最初の感染経路として考えられる TrickBot のインスタンスは、gtag「ser0918us」を使用するように設定されていました。
    • 配布時に、gtag「ser0918us」を使用して TrickBot サンプルに応答する C2 サーバーは、マルウェアが被害者のネットワークをスキャンし、TrickBot ワーム モジュールを介してホスト全体に伝播するように要求するコマンドを送信していました。
    • 一部またはすべてのケースで、マルウェアのワーム モジュールを介して伝播された TrickBot のインスタンスが、同じ TrickBot クライアントに固有の異なる gtag 値を使用するように構成されている可能性があります。これは、悪用後のインプラントの管理を簡素化するように設計されています。
  • gtag ‘ser0918us’ を使用して感染ベクターがサンプルとして識別された場合を含め、被害者の環境から取得された TrickBot サンプルのかなりの部分に、以下の形式の gtag が含まれていました。これは、これらの gtag が、gtag ‘ser0918us’ およびその他の関連する gtag を介して配布されたキャンペーンの TrickBot のエクスプロイト後のインスタンスを管理するために使用されていることを示唆している可能性があります。
    • libxxx (例: lib373、lib369 など)
    • totxxx (例: tot373、tot369 など)
    • jimxxx (例 jim373、jim369 など)
  • 各 gtag の末尾に追加された数字は、時間の経過とともに増加しているように見えます。また、同じコンパイル時間を共有しているが、異なる gtag を使用している複数のサンプルが同じ犠牲者の環境で観察された場合もあります。 gtag の一致 (たとえば、コンパイル時刻 2018-12-07 11:28:23 を共有する 2 つの異なるサンプルは、gtag ‘jim371’ と ‘tot371’ を使用するように構成されました)。
  • これらのサンプルにハードコードされた C2 インフラストラクチャは、同様の gtag 値を共有するサンプル間で大幅に重複しています。ただし、これらのサンプルと異なる gtag 値を持つサンプルの間には、C2 インフラストラクチャの重複もあります。これらのパターンは、TrickBot 管理者グループの複数のクライアント間で共有されるプロキシ インフラストラクチャの使用を示唆している可能性があります。

含意

2018 年を通して、FireEye は、攻撃者が別の方法で被害者の組織にアクセスした後にランサムウェアが展開され、ネットワークを横断して重要なシステムを特定し、最大の損害を与えるケースの増加を観察しました。 2015 年後半にさかのぼるSamSam の作戦は、間違いなくこの方法論を普及させた最初のものであり、TEMP.MixMaster の作戦は、攻撃者による人気の高まりの一例です。 FireEye Intelligence は、これらの侵入オペレーターが被害者の組織から多額の金を巻き上げることに成功したことから、これらの攻撃は 2019 年を通じて勢いを増し続けると予想しています。

TEMP.MixMaster が、より広く配布されている TrickBot マルウェアに依存して、被害者の組織にアクセスしていることも注目に値します。無差別なキャンペーンに続いて、攻撃者は被害者のプロファイリングを行い、関心のあるシステムとユーザーを特定し、収益を最大化するための潜在的な収益化戦略を決定します。さまざまなマルウェア ファミリに、価値の高いターゲットの発見に役立つ機能が組み込まれています。これは、組織が最初に標的にされたように見える脅威だけでなく、すべての脅威の適切な修復を優先する必要性を強調しています。

謝辞

著者は、このブログ投稿に貢献してくれた Brice Daniels、Edward Li、Eric Montellese、Sandor Nemes、Eric Scales、Brandan Schondorfer、Martin Tremblay、Isif Ibrahima、Phillip Kealy、Steve Rasch に感謝します。

参照: https://www.mandiant.com/resources/blog/a-nasty-trick-from-credential-theft-malware-to-business-disruption

Comments

タイトルとURLをコピーしました