Bluebottle hackers used signed Windows driver in attack on banks

署名された Windows ドライバーがフランス語圏の銀行への攻撃に使用されており、さまざまな銀行から 1,100 万ドル以上を盗んだ攻撃者によるものと思われます。

活動と標的は、2018 年から 2020 年の間に少なくとも 35 件の攻撃が成功したとされている OPERA1ER ハッカーのプロファイルに適合しています。

ギャングにはフランス語を話すメンバーがおり、アフリカから活動していると考えられており、この地域の組織を標的にしていますが、アルゼンチン、パラグアイ、バングラデシュの企業も攻撃しています。

Bluebottle TTP は OPERA1ER を指します

本日のレポートで、Broadcom Software の一部門である Symantec の研究者は、彼らが Bluebottle として追跡しているサイバー犯罪グループの活動に関する詳細を明らかにしました。このグループは、OPERA1ER ギャングの戦術、技術、手順 (TTP) と非常に類似しています。

OPERA1ER のキャンペーンは、サイバーセキュリティ会社 Group-IB によって 2022 年 11 月初旬に公開された長いレポートで文書化されており、研究者はカスタム マルウェアの欠如と、すぐに利用できるツール (オープン ソース、コモディティ、フレームワーク) の広範な使用に注目しています。

Symantec のレポートには、マルウェアをロードするための GuLoader ツールの使用や、被害者のネットワークで実行されているセキュリティ製品のプロセスを攻撃者が強制終了するのに役立つ署名付きドライバー (カーネル モード) など、いくつかの技術的な詳細が追加されています。

研究者によると、マルウェアには 2 つのコンポーネントがありました。「3 番目のファイルからプロセスのリストを読み取る制御 DLL と、最初のドライバーによって制御され、リスト内のプロセスを終了するために使用される署名済みの「ヘルパー」ドライバーです。

署名付きの悪意のあるドライバーは、複数のサイバー犯罪グループによって防御を無効にするために使用されているようです。 Mandiant と Sophos 12 月中旬に、 Microsoft の Windows Hardware Developer Programからの Authenticode 署名で検証されたカーネル モード ドライバーを含むリストにこの問題を報告しました。

Microsoft によって署名された POORTRY ドライバー
Microsoft によって署名された POORTRY ドライバー
ソース:

Mandiant はこのドライバーをPOORTRYとして追跡しており、最初の兆候は 2022 年 6 月であり、さまざまな証明書が使用されており、その一部は盗まれ、サイバー犯罪者の間で人気があったと述べています。

シマンテックの研究者が見つけたバージョンは、ドライバーは同じですが、中国企業の珠海聯城科技有限公司のデジタル証明書で署名されていました。

これは、サイバー犯罪者が信頼できるエンティティから正当な署名を提供できるプロバイダーを持っているため、悪意のあるツールが検証メカニズムを通過して検出を回避できることを示しています。

研究者は、同じドライバーが、カナダの非営利団体に対するランサムウェア攻撃につながると疑われる活動で使用されたことに注目しています。

Symantec によると、Bluebottle の活動は 2022 年 7 月に発生し、9 月まで続いたという。ただし、一部は数か月前の 5 月に始まった可能性があります。

最近の攻撃は、攻撃の初期段階での GuLoader の使用を含むいくつかの新しい TTP も示しています。さらに、研究者は、脅威アクターが仕事をテーマにしたスピア フィッシングの最初の感染ベクトルとして ISO ディスク イメージを使用した兆候を確認しました。

「しかし、7 月の仕事をテーマにしたマルウェアは、CD-ROM としてマウントされたことを示唆するパスで観察されました。これは正規のディスクが挿入されたことを示している可能性がありますが、悪意のある ISO ファイルが被害者に配信され、マウントされた可能性もあります」 – Symantec

シマンテックの研究者は、アフリカ諸国の 3 つの異なる金融機関に対する Bluebottle 攻撃を分析しました。そのうちの 1 つで、脅威アクターは、システムですでに利用可能な複数のデュアルユース ツールとユーティリティに依存していました。

  • ユーザー検出用の Quser
  • インターネット接続を確認するための ping
  • ネットワーク トンネリング用の Ngrok
  • ユーザーを追加するための Net localgroup /add
  • Fortinet VPN クライアント – セカンダリ アクセス チャネルの可能性が高い
  • RDP ラッパー ファイルをコピーするための Xcopy
  • ファイアウォールでポート 3389 を開くための Netsh
  • システムで複数の同時 RDP セッションを有効にする Autoupdatebat ‘自動 RDP ラッパー インストーラーおよびアップデーター’ ツール
  • SSH エージェントのアクセス許可を変更するための SC privs – これは、キーの盗難または別のチャネルのインストールのために改ざんされている可能性があります

被害者のネットワークでの最後の活動は 9 月に確認されましたが、Ngrok トンネリング ツールは 11 月まで存在していたと研究者は述べており、侵害されたネットワークに長期間 (3 か月から 12 か月) にわたって OPERA1ER ハッカーが留まっているというグループ IB の調査結果を裏付けています。

Bluebottle はまた、GuLoader、Mimikatz などの悪意のあるツールを使用してメモリからパスワードを抽出し、Reveal Keylogger でキーストロークを記録し、Netwire リモート アクセス トロイの木馬も使用しました。

脅威アクターは、コマンド プロンプトと PsExec を使用して、最初の侵害から約 3 週間後に手動によるラテラル ムーブメント アクティビティを開始しました。

攻撃と使用されたツールの分析は、OPERA1ER と Bluebottle が同じグループであることを示唆していますが、シマンテックは、彼らが見た活動が Group-IB によって報告されたものと同じ収益化の成功を収めたことを確認できません。