ACTINIUM はウクライナの組織を標的にしています

news

Microsoft Threat Intelligence Center (MSTIC) は、ACTINIUM という名前の脅威グループに関する情報を共有しています。ACTINIUM は、ほぼ 10 年間活動しており、ウクライナの組織やウクライナの問題に関連するエンティティへのアクセスを一貫して追求してきました。 MSTIC は以前、ACTINIUM の活動を DEV-0157 として追跡しており、このグループは公式には Gamaredon とも呼ばれています。

注:このブログは Microsoft CEE Multi-Country News Center でウクライナ語で利用でき、ウクライナの組織がこの活動に対する保護を実装するのに役立ちます: ACTINIUM はウクライナの組織を攻撃します。

過去 6 か月間、MSTIC は、ACTINIUM がウクライナの政府、軍、非政府組織 (NGO)、司法、法執行機関、非営利団体にまたがる組織を標的にしていることを観察してきました。取得したアクセスを使用して、関連する組織に横方向に移動します。 MSTIC は、ACTINIUM がサイバースパイ活動と一致する目的でクリミアの外で活動していることを確認しています。ウクライナ政府は、このグループがロシア連邦保安庁 (FSB) の仕業であると公言しています

2021 年 10 月以来、ACTINIUM は、緊急対応とウクライナ領土の安全確保に不可欠な組織、および危機におけるウクライナへの国際的および人道的援助の配布の調整に関与する組織のアカウントを標的にしたり、侵害したりしてきました。観察された国家の攻撃者の活動と同様に、Microsoft は、オンライン サービスが標的にされたり侵害されたりしたことを顧客に直接通知し、アカウントを保護するために必要な情報を提供します。 Microsoft は、この情報をウクライナ当局と共有しています。

ACTINIUM は、以前のブログ記事で説明した DEV-0586 による破壊的なマルウェア攻撃とは別の、独自のアクティビティ セットを表しています。この記事の執筆時点で、MSTIC はこれら 2 つのアクターまたはその操作を関連付ける指標を発見していません。このブログで詳述されている ACTINIUM の活動は、ウクライナ国内の組織のみに限定されています。この攻撃者が、Microsoft 製品またはサービスのパッチが適用されていない脆弱性を使用していることは確認されていません。

地政学的な状況と観測された活動の規模を考慮して、MSTIC は、ACTINIUM の戦術、技術、および手順 (TTP) に関する知識と、広範な分析から得られた多数の侵害の兆候 (IOC) を共有することを優先しています。私たちの目標は、潜在的な攻撃の調査を導くための最新のインテリジェンスと、将来の試みに対するプロアクティブな保護を実装するための情報を組織に提供することです。

活動内容

マイクロソフトは、ACTINIUM による操作全体で繰り返される一連の手法と手順を観察しており、これらの活動を理解するために重要であると考えられる重要な要素がいくつかあります。 ACTINIUM の戦術は常に進化していることに注意することが重要です。このブログで説明されているアクティビティは、Microsoft による最も一貫性のある注目すべき観察結果の一部ですが、これらは攻撃者の TTP をすべて網羅しているわけではありません。

リモート テンプレートを使用したフィッシング

ACTINIUM が最もよく使用するアクセス ベクトルの 1 つは、リモート テンプレートを使用する悪意のあるマクロが添付されたスピア フィッシング メールです。リモート テンプレート インジェクションとは、悪意のあるコード (この場合はマクロ) を含むリモート ドキュメント テンプレートをドキュメントに読み込ませる方法を指します。リモート テンプレート インジェクションを使用した配信により、必要な場合 (ユーザーがドキュメントを開いたときなど) にのみ悪意のあるコンテンツが読み込まれるようになります。これにより、攻撃者は、添付ファイルをスキャンして悪意のあるコンテンツをスキャンするなど、静的な検出を回避できます。悪意のあるマクロをリモートでホストすることで、攻撃者は悪意のあるコンポーネントが配信されるタイミングと方法を制御できるようになり、自動化されたシステムが悪意のあるコンポーネントを取得して分析するのを防ぐことで、検出をさらに回避できます。

MSTIC は、無害な添付ファイルを使用してターゲットとの信頼と親しみを確立するために、合法的な組織になりすまして偽装するものを含め、ACTINIUM が使用するさまざまな電子メール フィッシング ルアーを観察しました。

ACTINIUM が使用するフィッシング メールのスクリーンショット
ACTINIUM からのこのフィッシング メールは、送信者ドメイン who-int[.]info を使用して、正規の who.int ドメインになりすまし、世界保健機関になりすましていると評価されています。

フィッシング メッセージの本文内に、ACTINIUM が Web バグを挿入することが確認されています。これは、アクターがメッセージを開いてレンダリングしたときに追跡できるようにする小さな外部画像参照です。これらの Web バグ自体には悪意はありませんが、電子メールが悪意のある目的で使用されていることを示している可能性があります。 ACTINIUM で使用される Web バグの例を次に示します。

ACTINIUM で使用されるサンプル Web バグのスクリーンショット

ACTINIUM のルアー ドキュメントは正当なもののように見えますが、スタイルと内容はさまざまです。たとえば、以下のルアー ドキュメントには、hxxp://usa-national[.]info/USA/sensible[.]dot という URL にリモート テンプレートが含まれていました。この例ではドメインが使用されていましたが、静的 IP アドレスを使用したリンクも使用されています。

WHOになりすましたおとり文書のスクリーンショット。
この URL と ACTINIUM からの関連するルアー .dot ドキュメントは、悪意のあるリモート テンプレートをロードする役割を果たします。このドキュメントは、2021 年 7 月 27 日に公開された正規の who.int 状況に関する COVID-19 更新レポートのテキストを使用しています。

ACTINIUM フィッシングの添付ファイルには、さらなるペイロードをダウンロードして実行する第 1 段階のペイロードが含まれています。より完全な機能を備えた悪意のある機能が侵害されたデバイスに展開される前に、複数の後続の「ステージング」スクリプトが存在する可能性があります。多くの場合、複数の段階がある理由は不明です。仮説の 1 つは、これらのステージング VBScript は、新しい難読化やコマンド アンド コントロール (C2) の変更を組み込むための変更が容易であるというものです。また、ACTINIUM がこれらのスクリプトを展開して、検出システムがその主な機能を検出する可能性が低いことを保証することもできます。これらの初期ステージング機能はさまざまです。例には、高度に難読化された VBScript、難読化された PowerShell コマンド、自己解凍型アーカイブ、LNK ファイル、またはこれらの組み合わせが含まれます。 ACTINIUM は永続性を維持するために、これらのスクリプトでスケジュールされたタスクに頻繁に依存します。 MSTIC によって分析された機能の一部に関する詳細は、「マルウェアと機能」セクションに含まれています。

ACTINIUM 運用インフラストラクチャとワードリスト

MSTIC は、ACTINIUM が検出を回避するために運用インフラストラクチャの大量かつ程度の変動を維持していると評価しています。 ACTINIUM の運用インフラストラクチャは、ペイロードのステージングと C2 を容易にするために、多くのドメインとホストで構成されています。 MSTIC は、1 回の 30 日間のスナップショットで、ACTINIUM が 25 を超える新しい一意のドメインと 80 を超える一意の IP アドレスを利用していることを確認し、インフラストラクチャを頻繁に変更または変更していることを示しました。

ACTINIUM ドメイン名 DNS レコードは頻繁に変更されます。おそらく「高速流動」と見なされるほど頻繁ではありませんが、ドメインのほとんどの DNS レコードは、平均して 1 日に 1 回変更されます。最近の 200 以上の ACTINIUM IP アドレスの 70% 以上が ASN 197695 – REG.RU によって所有されています。ほとんどの ACTINIUM ドメインは、同じ所有会社のレジストラ (REG.RU) を通じて登録されています。 ACTINIUM がこれらの正当なプロバイダーを支持しているように見える理由は不明です。

ACTINIUM によって作成されたマルウェアは、多くの場合、ランダム化されたサブドメインを C2 に利用します。これらのサブドメインでは、生成手順に明らかな英語の単語リストの使用が含まれており、ドメイン名のブロックに依存している可能性があるネットワーク防御ツールを苛立たせながら、ドメインをより正当に見せかけています。 MSTIC が観察した最も一般的な単語のリストは、以下の IOC に含まれています。過去 30 日間で、MSTIC は、単語リストの代わりにランダム化されたスキームがサブドメイン パターンにますます使用されていることを観察しており、方法論の変化の可能性を示しています。このランダム化の一例は、 Get-Randomコマンドレットを使用した PowerShell ステージャーの効果です。

Get-Random コマンドレットを使用した PowerShell コードのスクリーンショット

単語リストとランダム化されたサブドメインの両方を含む ACTINIUM サブドメインの例は次のとおりです。

  • 嫉妬[.]ジョナ[.]砲兵[.]ru
  • 意図的な[.]ブロンタガ[.]ru
  • registration83[.]改変[.]運[.]ミロタス[.]ru
  • 001912184[.]retarus[.]ru
  • 637753599292688334[.]ジョロトラ[.]ru

ACTINIUM インフラストラクチャの高速流動性は、IP アドレスがあまり有用でない IOC であることを意味しますが、特定の ASN では IP アドレスが優先されることは明らかです。このような優先度は、ドメインが ACTINIUM によって所有される可能性が高いかどうかを防御者が判断するのに役立ちます。最近の IP アドレスのリストは、以下の IOC に含まれています。

ACTINIUM は、この同じ単語リストを使用して、攻撃の他の側面を難読化しているようです。たとえば、前述のように、ACTINIUM は多くの場合、スケジュールされたタスクを使用して悪意のあるペイロードを実行することで持続性を維持します。ペイロードは、有効な (しかし無関係な) 拡張子を持つランダムな単語やフレーズで名前が付けられることがよくあります。次に、 /E:VBScriptフラグを使用してスクリプトを使用してファイルを実行し、VBScript エンジンを指定して (ペイロードに割り当てられたランダムなファイル拡張子を効果的に無視します)、アラートとエラーをミュートする/bフラグを使用します。次に例を示します。

スケジュールされたタスクを使用して ACTINIUM ペイロードを実行するコマンドのスクリーンショット

上記のdeep-groundeddeerfield 、およびdefianceという用語は、それぞれ、スケジュールされたタスクの名前、フォルダー名、およびファイル名として使用されます。上記の例のような単語リストから生成された用語は、複数のターゲットで生成および使用されており、前述のようにサブドメインの生成にも使用されています。これらの生成された用語は、スケジュールされたタスクの名前、ファイル名、およびその他が各ターゲットでほとんど同じではないため、ネットワーク防御担当者を苛立たせる可能性があります。以下に示す IOC で MSTIC が確認した用語のリストをまとめました。ネットワーク防御者は、上記のリストを使用して、スケジュールされたタスク、ファイル、またはドメインがさらに調査する必要があるかどうかを判断できる場合があります。

持続性を維持し、情報を収集する

MSTIC は、ACTINIUM による活動の主な結果は、情報収集を目的とした、知覚された価値のあるネットワークへの持続的なアクセスであると評価しています。この地域では悪意のある機能が広く展開されているように見えますが、グループによる後続の活動は個別に関心のある分野で発生しており、標的の見直しの可能性を示しています。 MSTIC は、最初のアクセスに続いて、ACTINIUM が「Pterodo」などのツールを展開して、ターゲット ネットワークへのインタラクティブなアクセスを取得していることを確認しました。場合によっては、MSTIC は UltraVNC の展開を観察して、ターゲットへのよりインタラクティブな接続を可能にしました。 UltraVNC は、セキュリティ製品によって検出および削除される可能性のあるカスタムの悪意のあるバイナリに依存することなく、ACTINIUM がターゲット ホストと簡単に対話できるようにする、正当で完全な機能を備えたオープンソースのリモート デスクトップ アプリケーションです。

マルウェアと機能

ACTINIUM は、実行前にリモートで取得または埋め込まれたペイロードを展開するために、評価された目的を持つさまざまなマルウェア ファミリを採用しています。 MSTIC はこれらのペイロードのいくつかを分析し、急速に発展しているバイナリを次のファミリとして追跡しています: DinoTrain、DesertDown、DilongTrash、ObfuBerry、ObfuMerry、および PowerPunch。 PowerPunch マルウェア ファミリは、アジャイルで進化する一連の悪意のあるコードの優れた例であり、以下で詳しく説明します。

攻撃者は、難読化された軽量の新しい機能を迅速に開発して、より高度なマルウェアを後で展開します。これらは、分散度の高い高速で移動するターゲットです。分析されたペイロードは、難読化された VBScript に重点を置いています。攻撃としては、これは新しいアプローチではありませんが、ウイルス対策ソリューションは非常に機敏な脅威に対応するために一貫して適応する必要があるため、成功を収め続けています。

ACTINIUM の活動に関連して当社が追跡している最も機能豊富なマルウェア ファミリは、業界内で「Pterodo」として広く知られています。次のセクションでは、Pterodo をさらに分析し、特にファイルの抽出と監視を目的とした QuietSieve と呼ばれるバイナリを確認します。

パワーパンチ

ドロッパーとダウンローダーのファミリ名は、難読化とシンプルな機能を多用しているため、動きの速いターゲットになる傾向があります。たとえば、PowerPunch は、Base64 を使用してエンコードされた 1 行のコマンドとして PowerShell 内から実行されます。

PowerPunch マルウェアを実行する PowerSHell コマンドのスクリーンショット

これらのバイナリは、侵害されたホストからのデータに依存して次の段階の暗号化を通知する機能も示します。 PowerPunch もこれの優れた例です。次のコード スニペットでは、ホストの VolumeSerialNumber がマルチバイト XOR キーの基礎として機能します。キーは、攻撃者のインフラストラクチャから直接ダウンロードされた実行可能なペイロードに適用され、ターゲット ホストに固有の暗号化キーを使用できます (強調表示されている変数名は明確にするために変更されています)。

XOR キーのベースとしての VolumeSerialNumber の使用を示すコード スニペットのスクリーンショット

最終的に、次の段階の実行可能ファイルがリモートで取得され、実行前にディスクにドロップされます。

最初の PowerPunch ビーコンの後に提供される暗号化された実行可能ファイルを示す図

プテロド

MSTIC はまた、ACTINIUM のより完全な機能を備えた Pterodo マルウェアのいくつかの亜種を調査しました。このマルウェアが検出を回避し、分析を阻止する能力には、いくつかの機能が直接的な役割を果たしています。必要な API コンポーネントをマッピングするための動的な Windows 関数ハッシュ アルゴリズムの使用と、必要なデータを復号化し、割り当てられたヒープを解放するための「オンデマンド」スキームです。使用時のスペース。

関数ハッシュ アルゴリズムは、実行時動的リンクと呼ばれるプロセスを使用して、特定の関数名のハッシュ値をメモリ内の対応する場所にマップするために使用されます。事前に計算されたハッシュは、関連する関数名を含む Windows ライブラリと共にハッシュ アルゴリズムに渡されます。ライブラリ内の各関数名はハッシュされます。一致が見つかると、そのアドレスが保存されます。

ライブラリ内の各関数名をハッシュして一致を見つけるハッシュ アルゴリズムのコードのスクリーンショット

ハッシュ アルゴリズム自体は歴史的にそれほど複雑ではなく、 SHA-256 51b9e03db53b2d583f66e47af56bb0146630f8a175d4a439369045038d6d2a45 のような例を考えると、次のように Python ロジックを使用してエミュレートできます。

ハッシュ アルゴリズムをエミュレートする Python ロジックのスクリーンショット

このようなスキームで一般的に使用されるさまざまな Windows DLL でこれらのハッシュを事前計算する場合、 MITRE malchiveなどのオープンソース ツールを使用して、これらのハッシュ値と対応する Windows 関数名をマッピングすることができます。

Windows DLL の事前計算済みハッシュのスクリーンショット

これまで、さまざまなマルウェア ファミリでこの動作が見られました。ハッシュ アルゴリズムは、これらのファミリ内で一貫しており、このような分析を拡大することができます。残念ながら、Pterodo の場合、アルゴリズムを確実に使用するにはドリフトが多すぎます。アルゴリズムは、レビューしたサンプルの多くで異なっています。さらに、この手法の適用はサンプルによって異なるようです。一部のサンプルではほとんどの Windows 関数呼び出しに使用されていることが確認されていますが、他のサンプルでは非常に控えめに使用されています。

ただし、関数ハッシュを計算する前に、Windows ライブラリを読み込む必要があります。これらのライブラリの名前とマルウェアが必要とするその他の文字列は、データを復号化して使用し、不要になった関連するヒープ スペースをすぐに解放する「オンデマンド」スキームを使用して復元されます。

データを復号化して使用し、すぐにヒープ スペースを使用するスキームを使用してライブラリやその他の文字列を回復するマルウェアを示すコードのスクリーンショット

上のスクリーンショットに見られるように、データはGetModuleHandleAの呼び出しで使用される前に復号化関数に渡されます。ハッシュ ルーチンがモジュール ハンドルを使用する前に、関数名を表す復号化された文字列に関連付けられているヒープ領域が解放され、後で上書きされる可能性があります。ただし、このデータの再構築は、私たちが観察した 2 つの主要な復号化アルゴリズム内では簡単です。 1 つ目は、最初の値が DWORD (4 バイト) チャンクの復号化されたデータのサイズとして解釈される暗号化された BLOB に依存しています。

最初の値が復号化されたデータのサイズとして解釈される暗号化された BLOB のスクリーンショット

このデータは一度に 4 バイトずつ復号化され、最後のバイトが暗号化されたコンテンツになります。暗号化された各バイトは、レビューされた各サンプルに固有のマルチバイト キー シーケンスを使用して XOR されます。この例では、ASCII キー シーケンス39d84sdfjhが上記のコンテンツに適用され、モジュール名Kernel32が生成されます。

このアプローチからのわずかな逸脱は、 SHA-256 2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904などのサンプルでも明らかになりました。ここでは、復号化アルゴリズムに 2 つの WORD 値を表すデータが渡されます。これらのパラメーターは回復され、開始インデックスが計算された後、暗号化されたコンテンツに、より長いマルチバイト XOR シーケンスが適用されます。

どちらのアプローチを適用しても、マルウェアが使用する文字列をより高度に分析できます。前に引用した例で使用されたアプローチを続けると、暗号化されたデータ空間全体にマルチバイト XOR キーを適用できるため、次の内容が得られます。

暗号化されたデータ空間全体にマルチバイト XOR キーを適用するスクリーンショット

Pterodo は、分析をより困難にすることを目的としたさまざまな機能を備えた、常に進化しているマルウェア ファミリであることが観察されています。私たちの理解を適用することで、より多くのマルウェア要素を公開して、緩和と検出の取り組みをさらに進めることができます。

静かなふるい

QuietSieve マルウェア ファミリは、ターゲット ホストから情報を盗むように特別に設計された、高度に難読化された一連の .NET バイナリを指します。ホスト上のターゲット ファイルを列挙する前に、QuietSieve はまずテスト ping を 8.8.8.8 (Google パブリック DNS) に送信して接続を確認します。 ICMP 要求のバッファーの作成は、QuietSieve 内で手動で行われ、ICMP パケットの 32 バイト データ部分のすべての null 値が含まれます。このチェックが成功すると、ランダムに生成された英数字のプレフィックスが作成され、HTTPS を介して最初の要求が行われる前にサブドメインとしてコールバック ドメインと結合されます。

接続が成功すると、次のファイル名拡張子がリムーバブル ドライブ、固定ドライブ、またはネットワーク ドライブ内で検索されます: docdocxxlsrtfodttxtjpgpdfrarzip 、および7z 。候補ファイルはアップロードのためにキューに入れられます。また、ボリューム シリアル番号、ファイル サイズ、ファイルに割り当てられた最終書き込みタイムスタンプなど、ターゲット ファイルと侵害されたホストの属性に基づいて計算された特定の MD5 ハッシュ値を介してインベントリも作成されます。計算されたハッシュは、インベントリ ログ ファイルに記録されます。このファイルは、マルウェアによってチェックされる参照ポイントとして機能し、重複した抽出を回避します。また、QuietSieve は、侵害されたホストのスクリーンショットを約 5 分ごとに取得し、 yyyy-MM-dd-HH-mmの形式を使用して、Temp SymbolSourceSymbolsiconsまたはTempModeAuto icons の下のユーザーのローカルApplication Dataフォルダーに保存します。 .jpgファイル拡張子。

盗まれたスクリーンショットを含む .jpg ファイルを含むライブラリのスクリーンショット

QuietSieve マルウェア ファミリは、主に侵入先のホストからデータを盗み出すことを目的としていますが、オペレータからリモート ペイロードを受信して実行することもできます。これらのペイロードは、ユーザーのApplication Dataフォルダーにランダムな英数字の名前で書き込まれ、非表示のウィンドウで実行されます。

Microsoft は引き続き ACTINIUM の活動を監視し、お客様のために保護を実装します。

侵害の痕跡 (IOC)

調査中に次の IOC が確認されました。お客様には、環境内でこれらの指標を調査し、検出と保護を実装して過去の関連アクティビティを特定し、システムに対する将来の攻撃を防止することをお勧めします。

ACTINIUM IOC に関するアナリストのメモ: ACTINIUM は、大量のインフラストラクチャを登録および管理します。どの悪意のあるコンポーネントがどの C2 インフラストラクチャに接続しているかを正確に判断できるとは限りません。 MSTIC では、同じ C2 が異なるコンポーネントに使用されているケースを確認しています (たとえば、coolain[.]ru)。

マルウェア サンプルと関連するインフラストラクチャの例

静かなふるい

インジケータ タイプ コメント
Jolotras[.]ru ドメイン名 複数のマルウェア サンプルに関連する QuietSieve
ムーリン[.]ル ドメイン名 複数のマルウェア サンプルに関連する QuietSieve
0afce2247ffb53783259b7dc5a0afe04d918767c991db2da906277898fd80be5 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
f211e0eb49990edbb5de2bcf2f573ea6a0b6f3549e772fd16bf7cc214d924824 SHA-256 QuietSieve、jolotras[.]ru ドメインと通信
6d4b97e74abf499fa983b73a1e6957eadb2ec6a83e206fff1ab863448e4262c6 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
eb1724d14397de8f9dca4720dada0195ebb99d72427703cabcb47b174a3bfea2 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
e4d309735f5326a193844772fc65b186fd673436efab7c6fed9eb7e3d01b6f19 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
b92dcbacbaaf0a05c805d31762cd4e45c912ba940c57b982939d79731cf97217 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
b3d68268bd4bb14b6d412cef2b12ae4f2a385c36600676c1a9988cf1e9256877 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
a6867e9086a8f713a962238204a3266185de2cc3c662fba8d79f0e9b22ce8dd6 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
a01e12988448a5b26d1d1adecc2dda539b5842f6a7044f8803a52c8bb714cdb0 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
8a8c1a292eeb404407a9fe90430663a6d17767e49d52107b60bc229c090a0ae9 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
15099fc6aea1961164954033b397d773ebf4b3ef7a5567feb064329be6236a01 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
137bfe2977b719d92b87699d93c0f140d659e990b482bbc5301085003c2bd58c SHA-256 QuietSieve、jolotras[.]ru ドメインと通信
0e5b4e578788760701630a810d1920d510015367bf90c1eab4373d0c48a921d9 SHA-256 QuietSieve、moolin[.]ru ドメインと通信
0afce2247ffb53783259b7dc5a0afe04d918767c991db2da906277898fd80be5 SHA-256 QuietSieve、moolin[.]ru ドメインと通信

プテロド

インジケータ タイプ コメント
gorigan[.]ru Domain name Pterodo
teroba[.]ru Domain name Pterodo
krashand[.]ru ドメイン名 複数のマルウェア サンプルに関連する Pterodo
51b9e03db53b2d583f66e47af56bb0146630f8a175d4a439369045038d6d2a45 SHA-256 プテロド、krashand[.]ruドメインと通信
2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 SHA-256 プテロド、gorigan[.]ru ドメインと通信
425ee82f20eb87e07a0d4f77adb72bf3377051365be203ee6ded37b399094f20 SHA-256 プテロド、krashand[.]ruドメインと通信
fe068e324cd4175f857dfee4c23512ed01f3abbf8b6138b715caa1ba5e9486c0 SHA-256 プテロド、krashand[.]ruドメインと通信
798cd714cf9e352c1e9de3d48971a366b09eeffb3513950fd64737d882c25a38 SHA-256 プテロド、krashand[.]ruドメインと通信
ef9b39705decbb85269518705053e7f4087758eea6bab4ba9135bf1ae922b2ea SHA-256 プテロド、krashand[.]ruドメインと通信
a87e9d5e03db793a0c7b8e8e197d14745265422f05e6e50867cdfbd150d0c016 SHA-256 プテロド、krashand[.]ruドメインと通信
2042a2feb4d9f54d65d7579a0afba9ee1c6d22e29127991fbf34ea3da1659904 SHA-256 プテロド、gorigan[.]ru ドメインと通信
c68eb2fa929373cac727764d2cc5ca94f19a0ec7fd8c0876b98f946e72d9fa03 SHA-256 プテロド、gorigan[.]ru ドメインと通信
3b6445cf6f8e9e70cb0fff35d723fec8203375d67cbd67c9a672cddc02a7ff99 SHA-256 プテロド
bae9895ad4e392990a09b1b8a01e424a7ad3769e538ac693919d1b99989f0cb3 SHA-256 Pterodo、teroba[.] ru ドメインと通信
c6e092316f61d2fc9c84299dd224a6e419e74c98c51a44023f8f72530ac28fdc SHA-256 Pterodo、teroba[.]ru ドメインと通信
cb0d151d930b17f6376c18aa15fd976eac53d6f07d065fc27c40b466e3bc49aa SHA-256 プテロド
8ed03b1d544444b42385e79cd17c796fefae71d140b146d0757a3960d8ba3cba SHA-256 Pterodo、teroba[.]ru ドメインと通信

さまざまなステージャーとダウンローダー

(DinoTrain、DilongTrash、Obfuberry、PowerPunch、DessertDown、Obfumerry)

インジケータ タイプ コメント
%windir%System32schtasks.exe” /CREATE /sc 分 /mo 12 /tn “深さ” /tr “wscript.exe “%PUBLIC%Picturesdeepness.fly” //e:VBScript //b” /ふ コマンドライン DessertDown アーティファクト (生成された単語が使用されていることに注意してください – deepness 、これは異なります)
wscript.exe C:Users[ユーザー名]continue.wav //e:VBScript //b コマンドライン DinoTrain アーティファクト (生成された単語に注意してください – [username]continue 、これらは異なります)
alacritas[.]ru ドメイン名 パワーパンチ
libellus[.]ru ドメイン名 パワーパンチ
brontaga[.]ru ドメイン名 デザートダウン
gortomalo[.]ru ドメイン名 DessertDown およびその他の ACTINIUM 機能
コロライン[.]ル ドメイン名 PowerShell コマンドレットに使用
goloser[.]ru ドメイン名 PowerShell コマンドレットに使用
デリカシー[.]デリケート[.]マイズコ[.]ル ドメイン名 ディノトレイン
0f9d723c3023a6af3e5522f63f649c7d6a8cb2727ec092e0b38ee76cd1bbf1c4 SHA-256 DessertDown、brontaga[.]ru ドメインと通信
bf90d5db47e6ba3a1840976b6bb88a8d0dfe97dfe02c9ca31b7be4018816d232 SHA-256 DessertDown は、gloritapa[.]ru および gortomalo[.]ru ドメインと通信します
b9b41fbbd646f11d148cface520a5d4e0ec502ba85c67b00668e239082a302e3 SHA-256 DinoTrain、delicacy[.]delicate[.]maizuko[.]ruと交信
c05f4c5a6bb940e94782e07cf276fc103a6acca365ba28e7b4db09b5bbc01e58 SHA-256 DilongTrash、privigna[.] ru と通信
3cbe7d544ef4c8ff8e5c1e101dbdf5316d0cfbe32658d8b9209f922309162bcf SHA-256 オブフベリー
3bab73a7ba6b84d9c070bb7f71daab5b40fcb6ee0387b67be51e978a47c25439 SHA-256 オブフメリー

ACTINIUM 所有のインフラストラクチャ

ドメイン

次のリストは、この記事の執筆時点で ACTINIUM が使用している最新のドメインを表しています。 ACTINIUM の機能の多くは、前述のパターンに従って、生成されたサブドメインと通信します。これらの生成された名前でよく見られる単語のリストは、次のセクションで利用できますが、このリストは網羅的ではないことに注意してください。

acetica[.]online lenatara[.]ru oyoida[.]ru riontos[.]ru nerabis[.]ru
adeltorr[.]ru おういちる dushnilo[.]ru ホスタラマ[.]る jokolor[.]ru
arianat[.]ru cryptonas[.]ru akowaika[.]ru artisola[.]ru nokratis[.]ru
bartion[.]ru konoatari[.]ru torogat[.]ru boltorg[.]ru machiwo[.]ru
library[.]ru Moonilar[.]ru イノソコフ[.]る ドラゴン[.]ル コロトラン[.]ル
bilorotka[.]ru repart[.]ru ホロトラン[.]ル ゴルフ[.]ル ヴォロトラ[.]ル
dokkade[.]ru nomukou[.]ru huskari[.]ru goloser[.]ru milopoda[.]ru
goshita[.]ru mirotas[.]ru utemomac[.]ru gortomalo[.]ru zerotask[.]ru
hajimari[.]ru ismetroh[.]ru hortoban[.]ru gloritapa[.]ru vasitron[.]ru
libellus[.]ru vositra[.]ru ホップファー[.]ル bobotal[.]ru nopaster[.]ru
mechatr[.]ru fartopart[.]ru koprotas[.]ru historap[.]ru 待って[.]る
nakushita[.]ru atasareru[.]ru golorta[.]ru jabilen[.]ru haguret[.]ru
naletovo[.]ru うずもれる[.]る 作成[.]る ヘルモットる klotrast[.]ru
nattanda[.]ru sumikko[.]ru bellinor[.]ru saturapa[.]ru sundabokun[.]ru
nokitrav[.]ru vivaldar[.]ru 野方る fortfar[.]ru らわうみ[.]る
のにまる イカラウル[.]ル nemoiti[.]る dudocilo[.]ru wokoras[.]ru
onihik[.]ru ruhodo[.]ru mudarist[.]ru gongorat[.]ru yazibo[.]ru
pertolka[.]ru asdorta[.]ru ホロルタ[.]ル アドバイス[.]ru jupirest[.]ru
ruchkalo[.]ru 有色[.]ル cucart[.]ru フィロルタ[.]ル vostilo[.]ru
shitemo[.]ru warau[.]ru koltorist[.]ru gortova[.]ru lotorgas[.]ru
sorawo[.]ru kimiga[.]ru hokoldar[.]ru amaniwa[.]ru masshir[.]ru
テレファー[.]ル きっぷの[.]る midiatr[.]ru nastorlam[.]ru マルトゥシ[.]ル
ウロビスタ[.]ル クロビティ[.]ル ビビカロ[.]る ヒロトラパ[.]ル コヴァルスコ[.]ル
vadilops[.]ru hibigaru[.]ru gribata[.]ru alebont[.]ru nukegaran[.]ru
zvustro[.]ru ロトルダ[.]父 vnestri[.]ru ドルティスト[.]ル

観察された用語の単語リスト

ACTINIUM は、単語リストからさまざまなコンポーネントで使用する文字列を生成する可能性があります。 ACTINIUM で使用されている用語のサンプルを以下に示します。 ACTINIUM は、これらの用語を次の目的で使用することが確認されています。

  • C2 インフラストラクチャのサブドメイン
  • スケジュールされたタスク名
  • フォルダ名
  • マルウェアのファイル名

ACTINIUM は、活動を偽装しようとする他の用途のために文字列を生成する可能性もあります。

突然 忠誠 アレン 路地 同盟した 割り当て
許可する 手当 許可する 許可します 合金 ほのめかした
味方 アーモンド ほとんど 並んで アルファベット すでに
変更する 変更 でも いつも 午前 すばらしい
アンバー 野心的 修正する 真ん中 の中 ビバリー
注意してください 超えて 自転車 大きい より大きい 自転車
バイク 明細書 十億 主張した クランク 拍手
衝突 握りしめた クラス クラスルーム できる
市会議員 表情 対抗する 勇気
勇気のある クロノス 借金 欺く だまされた ちゃんとした
欺くこと 決めます 決めた 断固として 決断 決定的
デッキ 宣言 宣言する 宣言された 却下 断った
デコイ 下降 布告 老朽化した 献身 控除
証書 深い もっと深く 深遠な 深緑 深いうめき声
根深い 深く育った ディープヘブン 濃い ディープキス 深い荷を積んだ
深入り より深く 深く突っ込んだ 深く 深い 口うるさい
物思いにふける 深い裸 深さ 説得力のある 積み重なった 先のとがった
熟考 綿密な計画 深読み 深回し 根深い 根深い
深海 ディープサーチ 根深い 根深い ディープセット 根深い
先見の明のある 沈み込む スカートの深い ディープサム 深い痛み 深ホッチキス
深く沈んだ 甘酸っぱい 絡み深い イラマチオ 深みのある ディープトランスポート
悩んだ 深い丸天井 造詣が深い 声の低い 深層水 深海人
深海人 深くすり減った 深い傷 鹿 ディアベリー ディアブルック
ディアドッグ ディアドル ディア シカ ディアフライ 鹿の餌
ディアホーン デアリング ディアレット 鹿ネズミ 鹿 鹿撃ち
鹿 ディアヤード デフォルト 敗北した 欠陥 不良品
防衛 守る 防衛 防御的な 反抗 反抗的な
欠乏 定義済み 明確な 絶対 挑む 劣化する
程度 意気消沈した 遅れ 遅延 消去
意図的に 故意に おいしい 喜び 喜んで 楽しい
せん妄 救出 配達された 配達 大洪水 掘り下げる
要求する 要求された 取り壊し 示す デモンストレーション デン
でん 拒否 拒否された 示す 密集 歯医者
拒否 出発する 出発した デパートメント 部署 出発
依存した 依存 嘆く 配備 展開 うつ
深さ 深さ 冷笑的な 派生
子孫 降りた 降下 説明 説明 荒野
脱走兵 砂漠 値する 値する デザイン 設計
デザイナー デザイン 欲望 荒涼とした 絶望 やけくそ
必死に 軽蔑する にもかかわらず デザート 貧しい 破壊されました
駆逐艦 切り離す 切り離された 詳細 危険にさらす エンディング
エンドレス 果てしなく 耐える エネルギー 強制する
不誠実 ファルコン 名声 見慣れた 家族
有名 ファン 空想した キラリと光る 滑る 垣間見る
暗がり 暗い 栄光 光沢のある 手袋 グロー
のり かじる ヤギ 行きます 整数 積分
知能 知的 意図する 子孫 降りた 降下
説明 説明 荒野 興味がある 面白い 干渉
小島 隔離 問題 発行済み これは 自体
ジャック ジャッカル ジャケット ジャクソン ジェイク 混雑する
ジェームズ ヤン 一月 あご あご
ジャズ 嫉妬 嫉妬 ジャン ジャンヌ ジーンズ
冷やかす ジェフ ゼリー ぴくぴく動く ジャージー エルサレム
ジェサミー ジェシー それは ジェット また 宝石
宝石商 ジュエリー 宝石 ジル ジョーン 仕事
仕事 ジョー 加入 接合 ジョイント ジョーク
冗談 陽気な ジョナス ジョセフ ジョセフィン ジョシー
喜び 楽しげ うれしそうに ジャッジ 判定 水差し
ジュース ジューシー 7月 ごちゃごちゃ ジャンプした ジャンパー
六月 密林 ジュニア ジャンク ただ 公正に
少年 愛人 低い 低い ロイヤリティ 幸運
ルーシー 荷物 ルーク 木材 ランチ
ランチョン 光沢 豪華な 贅沢 人類 マナー
大邸宅 マーガレット マルガリータ マージン 結婚 素晴らしい
マスカレード 当然 自然 いたずら ナビゲーション 海軍
いや 近く きちんとした 必要な ネックレス ネッド
裁縫 忘れる パーラー パーラー オウム
パセリ 参加 パーティー 別れ ペンナイフ あたり
知覚 パーセント パーシー 完全 実行 行われた
香水 心地よく プレッシャー 推定する ふりをする 演じる
かわいい 勝つ 勝った 前のホスト 獲物 価格
祭司 主要な 王子 王女 印刷 かぼちゃ
規則正しい 罰する 購入 購入者
ピュア パージ 目的 財布 追求 参考文献
反映された 地域 登録済み 登録 レジストリ 後悔
通常 定期的 規制する 拒絶 関係 相対的
リラックス リリース 信頼性のある 給料 セール サーモン
救い 同じ 乏しい
かろうじて 怖がった スカーフ スカーレット 散らばっている シーン
景色 シーン 香り 図式 学者 男子生徒
理科 叱る 範囲 軽蔑 軽蔑する 悪党
スカウト しかめっ面 輝いた 撮影 並べ替え
求めた 鳴っている スープ 酸っぱい ソース
スツール かがむ かがんだ 止まる 停止 ストッパー
スタウト ストリーム 強化する 伸ばした
厳しい 印象的な ストリング 文字列 縞模様の ストライプ
脳卒中 散歩

注: これらの指標は、この観察された活動を網羅しているとは見なされません。

検出

Microsoft 365 ディフェンダー

Microsoft Defender ウイルス対策

エンドポイントの Microsoft Defender

セキュリティ センターの次のタイトルのアラートは、ネットワーク上の脅威の活動を示している可能性があります。

  • アクチニウム活動グループ

次のアラートも、この脅威に関連する脅威の活動を示している可能性があります。ただし、これらのアラートは、無関係な脅威活動によってトリガーされる場合があります。攻撃の重大度を考慮して、これらのアラートを調査し、すぐに修復することをお勧めするため、ここにリストしています。

  • 疑わしい難読化または難読化解除アクティビティ
  • 不審なスクリプトの実行
  • 不審な内容のスクリプトが確認されました
  • PowerShell が疑わしいファイルをマシンにドロップしました
  • エンコードされたコマンドを実行する異常なプロセス
  • 疑わしい動的リンク ライブラリが読み込まれました
  • 異常なスケジュール タスクが作成されました
  • 珍しいファイルが作成され、実行キーに追加されました
  • 疑わしいスクリーン キャプチャ アクティビティ
  • 機密データのステージング
  • 外部ネットワークにデータを転送する疑わしいプロセス

Office 365 向けマイクロソフト ディフェンダー

Microsoft Defender for Office 365 のお客様は、 電子メール エンティティ ページを使用して、組織に対するこれらの攻撃の潜在的な影響を検索して視覚化できます。

次の電子メール セキュリティ アラートは、この脅威に関連する脅威の活動を示している可能性があります。ただし、これらのアラートは、無関係な脅威活動によってトリガーされる場合があります。攻撃の重大度を考慮して、これらのアラートを調査し、すぐに修復することをお勧めするため、ここにリストしています。

  • 配信後に削除された悪意のあるファイルを含む電子メール メッセージ
  • 配信後に削除されたマルウェアを含む電子メール メッセージ
  • 配信後に削除された電子メール メッセージ
  • ユーザーによってマルウェアまたはフィッシングとして報告された電子メール
  • 配信後に検出されたマルウェア キャンペーン
  • マルウェア キャンペーンの検出とブロック
  • ZAP が無効になっているため、マルウェアはザッピングされませんでした

高度なハンティング クエリ

マイクロソフト センチネル

このブログ投稿で言及されている可能性のある ACTINIUM アクティビティを見つけるために、Microsoft Sentinel のお客様は、以下に詳述するクエリを使用できます。

ACTINIUM IOC を特定する

このクエリは、ACTINIUM に関連する IOC のさまざまなデータ フィード全体で一致を識別します。

File not found · Azure/Azure-Sentinel
Cloud-native SIEM for intelligent security analytics for your entire enterprise. - File not found · Azure/Azure-Sentinel

ACTINIUM アクティビティのウイルス対策検出を特定する

このクエリは、ACTINIUM アクターに関連する Microsoft Defender ウイルス対策検出のセキュリティ アラート テーブルでの一致を識別します。

File not found · Azure/Azure-Sentinel
Cloud-native SIEM for intelligent security analytics for your entire enterprise. - File not found · Azure/Azure-Sentinel

Microsoft 365 ディフェンダー

関連するアクティビティを見つけるために、Microsoft 365 Defender のお客様は、次の高度な検索クエリを実行できます。

ACTINIUM 関連のメールを探す

このクエリを使用して、ACTINIUM に関連する環境で受信された可能性がある電子メールを探します。

メールイベント
| | where SenderMailFromDomain =~ 'who-int.info'
    または SenderFromDomain =~ 'who-int.info'

Surface ACTINIUM 関連のアラート

このクエリを使用して、ACTINIUM アラートに関連するアラートを探します。

アラート情報
| |タイトル in~('ACTINIUM 活動グループ')

ACTINIUM 関連のアラートでデバイスを表示し、追加のデバイス アラート情報を収集します

このクエリを使用して、ACTINIUM アラートに関連する脅威アクティビティを探します。

// ACTINIUM 関連のアラート アクティビティを持つデバイスを取得します
let DevicesACTINIUMAlerts = AlertInfo
| |タイトル in~('ACTINIUM 活動グループ')
//証拠情報を結合する
| | AlertId で AlertEvidence に参加する
| |どこで DeviceId != ""
| | DeviceId、Title で要約します。
// デバイスごとに追加のアラート アクティビティを取得します
アラート証拠
| |どこで DeviceId in(DevicesACTINIUMAlerts)
// 追加情報を追加
| |参加 kind=leftouter AlertInfo on AlertId
| | DeviceAlerts = make_set(Title)、AlertIDs = make_set(AlertId) by DeviceId、bin(Timestamp, 1d) の要約

疑わしい MSHTA プロセスの実行を表面化する

このクエリを使用して、AppDataRoaming パスの DLL を参照するコマンド ラインで起動する MSHTA を探します。

DeviceProcessEvents
| |どこで FileName =~ "mshta.exe"
| |ここで ProcessCommandLine has_all (".dll", "Roaming") 
| |ここで、ProcessCommandLine には @"Roamingj" が含まれています
| |拡張 DLLName = 抽出 (@"[jJ][az]{1,12}.dll", 0, ProcessCommandLine)

疑わしいスケジュールされたタスク アクティビティを明らかにする

このクエリを使用して、ACTINIUM アクティビティに関連する可能性のあるスケジュールされたタスクを探します。

DeviceProcessEvents
| |ここで、ProcessCommandLine has_all ("schtasks.exe"、"create"、"wscript"、"e:vbscript"、".wav")

参照: https://www.microsoft.com/en-us/security/blog/2022/02/04/actinium-targets-ukrainian-organizations/

Comments

タイトルとURLをコピーしました