APT10 (MenuPass Group): 新しいツール、グローバル キャンペーン、長期にわたる脅威の最新の兆候

APT10の背景

APT10 (MenuPass Group) は、FireEye が 2009 年から追跡している中国のサイバー スパイ グループです。APT10 は、歴史的に、米国、ヨーロッパ、および日本の建設およびエンジニアリング、航空宇宙、通信会社、および政府を標的にしています。これらの業界を標的とすることは、貴重な軍事および諜報情報の取得や、中国企業を支援するための機密ビジネス データの盗難など、中国の国家安全保障の目標を支援するものであると考えています。 PwC と BAE は最近、大規模な APT10 活動を詳述した共同ブログを発行しました。

APT10 の復活

2016 年 6 月、FireEye iSIGHT インテリジェンスは、APT10 が活動を拡大したことを初めて報告しました。このグループは当初、日本の大学を標的としていることが検出され、その後、日本でのより広範な標的が明らかになりました。 FireEye as a Service (FaaS)、Mandiant、および FireEye iSIGHT インテリジェンス間のさらなるコラボレーションにより、世界中の追加の被害者、新しいツール スイート、および斬新な手法が明らかになりました。

新しいツールを使用したグローバル ターゲティング

FireEye はそのグローバルな足跡を活用して、2016 年と 2017 年に 6 大陸で APT10 の活動を検出しました。南米の鉱山会社。および世界中の複数の IT サービス プロバイダー。これらの企業は、最終的なターゲットと、最終的なターゲットに足場を提供できる組織が混在していると考えられます。

APT10 は、2016/2017 年の活動で新しいツールを明らかにしました。 SOGU の継続的な使用に加えて、現在の侵入の波には、APT10 に固有であると思われる新しいツールが関与しています。 HAYMAKER と SNUGRIDE は第 1 段階のバックドアとして使用され、BUGJUICE とオープン ソースの QUASARRAT のカスタマイズ バージョンは第 2 段階のバックドアとして使用されています。これらの新しいマルウェアは、APT10 が機能の開発と革新にリソースを費やしていることを示しています。

  • HAYMAKER は、モジュールの形式で追加のペイロードをダウンロードして実行できるバックドアです。また、被害者の基本的なプロファイリング アクティビティを実行し、コンピュータ名、実行中のプロセス ID、%TEMP% ディレクトリ パス、および Internet Explorer のバージョンを収集します。これは、システムのデフォルトの User-Agent 文字列を使用して、エンコードされたシステム情報を単一のハードコードされたコマンド アンド コントロール (C2) サーバーに伝達します。
  • BUGJUICE は、無害なファイルを起動し、検索順序を乗っ取って悪意のある dll をロードすることによって実行されるバックドアです。この悪意のある dll は、バイナリから暗号化されたシェルコードをロードします。これは復号化され、最終的な BUGJUICE ペイロードを実行します。 BUGJUICE はデフォルトで、カスタム バイナリ プロトコルを使用して C2 と通信する TCP を使用しますが、C2 からの指示があれば HTTP および HTTPS を使用することもできます。ファイルの検索、ドライブの列挙、データの抽出、スクリーンショットの取得、リバース シェルの提供などの機能を備えています。
  • SNUGRIDE は、HTTP リクエストを介して C2 サーバーと通信するバックドアです。メッセージは、静的キーを使用して AES を使用して暗号化されます。このマルウェアの機能には、システム調査の実施、ファイルシステムへのアクセス、コマンドの実行、およびリバース シェルが含まれます。永続性は、Run レジストリ キーによって維持されます。
  • QUASARRAT は、こちらから入手できるオープンソースの RAT です。 APT10 が使用するバージョン (1.3.4.0、2.0.0.0、および 2.0.0.1) は、GitHub の公開ページからは入手できません。これは、APT10 がオープン ソース バージョンをさらにカスタマイズしたことを示しています。 2.0 バージョンでは、AES で暗号化された QUASARRAT ペイロードを解読して起動するドロッパーが必要です。 QUASARRAT は、過去に複数のサイバー スパイ グループによって使用されてきた、完全に機能する .NET バックドアです。

従来の方法と新しい方法

この最近の APT10 活動には、従来のスピア フィッシングと、サービス プロバイダーを介した被害者のネットワークへのアクセスの両方が含まれています。 (サービス プロバイダーを介した感染の詳細については、 M-Trends 2016を参照してください)。 APT10 スピア フィッシングは比較的単純で、アーカイブ内の .lnk ファイル、二重の拡張子を持つファイル (例: “[Redacted]_Group_Meeting_Document_20170222_doc_.exe)” を利用し、場合によっては、同じアーカイブ内の単に同じ名前のおとりドキュメントと悪意のあるランチャーを利用します。

スピア フィッシングに加えて、FireEye ISIGHT Intelligence は、APT10 がグローバル サービス プロバイダーを介して被害者にアクセスすることを確認しています。サービス プロバイダーは顧客のネットワークに大量にアクセスできるため、サービス プロバイダーを侵害した攻撃者は、サービス プロバイダーの顧客のネットワークに横方向に移動できます。さらに、サービス プロバイダーの顧客とサービス プロバイダーの間の Web トラフィックは、顧客のネットワーク防御担当者からは無害であると見なされる可能性が高く、攻撃者がデータを密かに盗み出すことができます。 FireEye が観測した注目すべき事例には、被害者のサービス プロバイダーに属するサーバーを介して C2 と通信するように設定された SOGU バックドアが含まれていました。

APT10 攻撃者は、被害者の SOGU インプラントに次のコマンドを発行しました。

  • sc create CorWrTool binPath= “”C:WindowsvssvixDiskMountServer.exe”” start= auto displayname= “Corel Writing Tools Utility” type= own
  • sc description CorWrTool 「Corel Graphics Corporation アプリケーション」。
  • ping -a [編集済み]
  • psexec.exe <orghost> d.exe
  • net view /domain:[編集済み]
  • proxyconnect – “ポート”: 3389、”サーバー”: “[IP アドレスが編集されました]”

これらのコマンドには、被害者のシステムに永続性を設定することが含まれていました。次に攻撃者は、被害者のサービス プロバイダーが管理する IP への接続をテストしました。サービス プロバイダー IP への接続が確認されると、攻撃者はサービス プロバイダー IP を被害者の SOGU バックドアのプロキシとして確立しました。これにより、被害者のサービス プロバイダーを介して SOGU マルウェア トラフィックが効果的にルーティングされます。これは、サービス プロバイダーのネットワークに足がかりがあることを示している可能性があります。この戦術は、悪意のある C2 および流出トラフィックをマスクし、無害に見せることにも役立ちます。

含意

APT10 は世界中の組織にとって脅威です。彼らによるサービス プロバイダー ネットワークへのアクセスの悪用は、悪意のある攻撃者、特に別の角度からの攻撃を求めている攻撃者にとって、周辺組織が引き続き関心を持っていることを示しています。 PwC/BAE ブログによる公開後、APT10 の活動ペースは鈍化する可能性があると考えています。しかし、彼らは大規模な作戦に戻り、新しい戦術、技術、手順を採用する可能性があると考えています。

参考: https ://www.mandiant.com/resources/blog/apt10-menupass-group

コメント

タイトルとURLをコピーしました