STOMP 2 DIS: (ビジュアル) 基本の輝き

2020 年 1 月を通して、FireEye は、MINEBRIDGE として追跡するバックドアをダウンロードして展開するように設計された、複数の標的型フィッシング キャンペーンを継続して観察しました。キャンペーンは主に米国の金融サービス組織を標的にしていましたが、FireEye 製品のテレメトリで最初に確認したものよりも標的が広範囲に及んでいる可能性があります。少なくとも 1 つのキャンペーンが、マーケティング エージェンシーを含む韓国の組織を標的にしていました。

これらのキャンペーンでは、フィッシング ドキュメントは慎重に作成され、公的に文書化された (ただし、私たちの経験では珍しく誤解されている) TTP を利用しているように見えました。これは、悪意のあるドキュメントのマクロの検出を減らすためである可能性があります。また、攻撃者は、複数のキャンペーンで自己ホスト型の電子メール マーケティング ソリューションを使用しました。特に、これらのキャンペーンで配信されたペイロードは、以前は一般的に追跡されていた脅威アクターと提携していたパッカーを利用していました。これについては後で調査します。

このブログ投稿では、これらのキャンペーンのテーマとその標的、攻撃者の独自のトレード クラフト、MINEBRIDGE C++ バックドア、いくつかの潜在的な属性の重複、そして重要なこととして、攻撃者のラップ ミュージックへの愛についてレビューします。

ターゲティングとルアーの詳細

最初に MINEBRIDGE のサンプルを特定したのは 12 月でしたが、この活動に関連する最初のフィッシング キャンペーンは 2020 年 1 月初旬に観測されました。フィッシング メッセージの内容とテーマ的に一致していました。

さらに、攻撃者はAcelleと呼ばれる自己ホスト型の電子メール マーケティング ソリューションを使用している可能性があります。 Acelle は、X-Acelle-<変数> の形式で、プラットフォーム経由で送信されるメッセージに拡張電子メール ヘッダーを追加します。これらの TTP を使用するキャンペーンで確認されたメッセージには、「X-Acelle-Customer-Id: 5df38b8fd5b58」に一致する「Customer-Id」値が含まれています。このフィールドは観測されたすべてのキャンペーンで一貫していましたが、個々のキャンペーンは重複する「X-Acelle-Sending-Server_Id」と「X-Acelle-Campaign-Id」の値も共有していました。すべてのメッセージには、45.153.184.84 でホストされているリンクを提供する「List-Unsubscribe」ヘッダーも含まれており、これらのキャンペーンで使用されている Acelle インスタンスをホストしているサーバーであることを示唆しています。以下の 1 つのキャンペーンのサンプル テーブルは、このデータを示しています。

悪意のあるドキュメントによって要求された URL と、これらの各キャンペーンで配信された最終的な MINEBRIDGE ペイロードを提供する URL は、キャンペーン間で追加の重複を提供します。観測されたすべてのケースで、ドメインは同じ防弾ホスティング サービスを使用していました。最終的なペイロードのダウンロードに使用された URI は、「/team/invest.php」または「/team/rumba.php」でした。ただし、おそらく最も興味深い重複は、同様の場所でホストされている追加の関心のあるアーティファクトを特定しようとしたときに発見されました.ほとんどの場合、識別された各ドメインの「/team/」の親ディレクトリへの GET 要求により、ラップ グループ Onyx の「Bang 2 Dis」の名曲の歌詞が配信されました。露骨なコンテンツがあるため、ホストされている特定の詩を共有することは控えます。

この活動の顕著な特徴の 1 つは、ドメイン登録に使用されるテーマの一貫性、ルアー コンテンツ、悪意のあるドキュメント マクロ コンテンツの類似性、およびターゲティングです。これらの電子メールを最初に確認して以来、少なくとも 3 つの異なるキャンペーンを特定しました。

キャンペーン #1: 2020 年 1 月 7 日 – 税のテーマ

• このキャンペーンに関連する電子メールは、11 月下旬に登録された CPA をテーマにしたドメイン rogervecpa.com を使用し、件名は「Tax Return File」で、メッセージ本文に IRS 関連のテキストが含まれていました。
• 添付されたペイロードは、H&R Block 関連の納税申告書のように細工されています。
• 観察されたターゲティングには、金融セクターのみが含まれていました。

キャンペーン #2: 2020 年 1 月 8 日 – マーケティングのテーマ

• このキャンペーンに関連する電子メールは、同じく 11 月下旬に登録された pt-cpaaccountant.com とともに、CPA をテーマにした同じドメイン rogervecpa.com を使用していました。
• 件名とメッセージ本文は、被害者にマーケティング パートナーシップの機会を提供していました。
• 添付されたペイロードは、マクロ コンテンツを有効にするようにユーザーを誘導する一般的なテーマを使用していました。
• 韓国のマーケティング代理店に焦点を当てたターゲティングが確認されました。

キャンペーン #3: 2020 年 1 月 28 日 – 募集テーマ

• このキャンペーンに関連する電子メールは複数の異なる電子メール アドレスから送信されましたが、そのすべてが 2020 年 1 月 20 日に登録された採用をテーマにしたドメイン agent4career.com を使用していました。
• 件名とメッセージ本文は、金融部門での経験を持つ求職者に言及しています。
• 添付されたペイロードは、フィッシング メールで参照されているのと同じ金融サービス候補の履歴書になりすました。
• 観察されたターゲティングには、金融セクターのみが含まれていました。

すべてのマクロをステップ実行するのをやめる

フィッシング ドキュメント自体は、Office GUI からのマクロの非表示や VBA ストンピングなど、多数の興味深い TTP を利用しています。

VBA ストンピングは、Office ドキュメントの操作に適用される口語的な用語で、マクロのソース コードがドキュメントの疑似コード (以降、「p-コード」と呼ばれる) と一致しないように作成されます。研究の重複や読者の時間を無駄にすることを避けるために、代わりに業界の前任者や同業者の印象的な仕事を参照します。コンセプトの紹介として、まずOutflankの EvilClippyのツール リリース ブログ投稿を読むことをお勧めします。ウォルマートのセキュリティ チームも、この手法に関する驚くべき調査結果を発表しています。 Vesselin Bontchev は、Office ドキュメントから p-code をpcodedmpにダンプするための便利なオープン ソース ユーティリティを提供しています。このツールを利用して、ドキュメントの P コードをその VBA ソースとは別に検査することができます。これは、VBA ソースでの p コード ニーモニックとキーワード抽出を比較して、ストンピングの存在を検出するために、より広範なオープン ソース分析ツールキットoletoolsによって採用されました。

それは、興味のある人にとっては質の高い読み物です。簡潔にするために、このブログ投稿に関連する VBA ストンプの最も重要な結果は次のとおりです。

• VBA マクロ ソースの抽出に重点を置いた静的分析ツールは、だまされて、悪意のある p コードを含むドキュメントの無害な評価に陥る可能性があります。
• VBA ソースが削除され、p-code が実行用にコンパイルされていないバージョンの Office でドキュメントが開かれると、マクロが正しく実行されず、動的分析が失敗する可能性があります。
• ドキュメントの作成に使用された Office のバージョンと一致しない VBA バージョンを使用する Office のバージョンでドキュメントを開くと、VBA ソース コードは p-code に再コンパイルされます。
• Office でドキュメントを開き、GUI を使用してマクロを表示すると、埋め込まれた p コードが逆コンパイルされて表示されます。

最後の 2 つのポイントは、この方法論をより広く活用することに関して、いくつかの興味深い複雑さを示しています。バージョン管理の複雑さは、EvilClippy のようなツールキットが Office バージョン列挙機能を利用して対処するために発生します。悪意のある VBA ソースを含むアクターの VBA 踏みつけられたドキュメントは、悪意のある p コードが p コードをビルドする Office のバージョンを知っている必要があります。そうしないと、そのサンプルが適切に爆発しません。さらに、攻撃者が踏みつけたドキュメントを送信し、ユーザーまたは研究者が Office エディターでマクロを開くと、悪意のあるコードが表示されます。

私たちの攻撃者は、ドキュメントのPROJECT ストリームを変更することで、Office 内のユーザーがマクロ ソースを表示できないようにする、EvilClippy ユーティリティの別の機能であると私たちが判断したものを利用して、この複雑さの後者の点に対処しました。アクターに帰属する公開サンプルを使用して、以下でこれを強調しましょう (SHA256: 18698c5a6ff96d21e7ca634a608f01a414ef6fbbd7c1b3bf0f2085c85374516e )。

ドキュメント PROJECT ストリーム:

ID=”{33C06E73-23C4-4174-9F9A-BA0E40E57E3F}”
Document=ThisDocument/&H00000000
名前=”プロジェクト”
HelpContextID=”0″
VersionCompatible32=”393222000″
CMG=”A3A1799F59A359A359A359A3″
DPB=”87855DBBA57B887C887C88″
GC=”6B69B1A794A894A86B”
【ホストエクステンダー情報】
&H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000
【ワークスペース】
ThisDocument=0, 0, 0, 0, C
Module1=26、26、388、131、Z

上記の PROJECT ストリームは変更されています。プロジェクト ストリーム ワークスペース内で、モジュールが参照されます。ただし、モジュールは定義されていません。ツールを使用して変更する前の、このドキュメントの変更されていないプロジェクト ストリームは、次のようになると予想されます。

ID=”{33C06E73-23C4-4174-9F9A-BA0E40E57E3F}”
Document=ThisDocument/&H00000000
モジュール=”モジュール1”
名前=”プロジェクト”
HelpContextID=”0″
VersionCompatible32=”393222000″
CMG=”A3A1799F59A359A359A359A3″
DPB=”87855DBBA57B887C887C88″
GC=”6B69B1A794A894A86B”
【ホストエクステンダー情報】
&H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000
【ワークスペース】
ThisDocument=0, 0, 0, 0, C
Module1=26、26、388、131、Z

興味深いことに、私たちは当初、この攻撃者が悪意のあるドキュメントに対してこの操作を実行しているだけであり、バージョン管理の複雑さを回避しており、実際に p コードを踏みにじって VBA ソースと一致させていないことを特定しました。これは奇妙な決定のように思われ、攻撃者がキャンペーンで何が「機能する」かを評価していることを示している可能性があります。上記の悪意のあるドキュメントは、両方の手法を利用した例であり、公開されている素晴らしい Web サービスIRIS-H Digital Forensicsの次のスクリーンショットで強調されています。

ドキュメントの VBA ソースが空白の Sub プロシージャ定義であることがわかります。 p-code を一目見ただけで、適切なバージョンの Office でこのサンプルを実行した場合の動作を判断するために使用できる、ネットワーク ベースのインジケーターとホスト ベースのインジケーターの両方を識別できます。 GUI エディターでマクロを開こうとすると、Office が怒ります。

この方法論を全体的に特定しようとしているアナリストには、次の考慮事項をお勧めします。

• GUI 非表示機能により、プロジェクト ストリームが変更され、モジュールは存在しますが、ストリームにはモジュール、クラス、またはベースクラスが定義されていません。これは潜在的な静電気検出です。
• マクロ ソースは存在しなくなりましたが、このサンプルの Module1 にはまだ静的な文字列が存在しており、Windows API が利用されている可能性があります。これは潜在的な静電気検出です。

• 前述の oletools のようなユーティリティは、このすべての検出を行うことができます。偽陰性、偽陽性、またはバグを特定した場合、オープンソース プロジェクトのメンテナーは、スーパーヒーローのように定期的に対応します。

上記の方法論は、それを使用して大規模なキャンペーンをスケーリングする際の潜在的な効率の問題に関する質問を作成します. EvilClippy のようなツールは、動的および静的な検出をすり抜ける可能性のある、検出が困難な悪意のあるドキュメントを作成する手段を提供しますが、それらのペイロードには、実行を成功させるためにターゲットをフィンガープリントする必要があるという追加の負担があります。十分なリソースと創造性を備えた攻撃者がこれらの要件を説明できることは間違いありませんが、これらの方法論の検出により、よりターゲットを絞った活動がもたらされる可能性が高いことに注意する必要があります。実際、これらの手法を使用したサンプルの 3 次レビューでは、Cobalt Strike BEACON と POSHC2 ペイロードの両方を配信する無関係な活動が特定されました。

最近、これらの手法に対応するために、社内の FireEye 脅威動作ツリーを拡張しました。出版の時点で、著者はメソッド (PROJECT ストリーム操作と VBA ストンピング) をMITRE ATT&CK Matrix™ for Enterprise の既存の手法に直接マッピングすることができませんでした。ただし、私たちのチームはこれらを公開前に ATT&CK ナレッジ ベースへの寄稿として提出しており、 ATT&CK Sightingsで利用できる追加データを作成します。

Khazad-dûm の橋を渡る: MINEBRIDGE 感染チェーン

前述の詳細な悪意のあるドキュメントの起爆に成功すると、URL DownloadToFileA を呼び出して URL hxxps://marendoger[.]com/team/rumba.php を介して「uCWOncHvBb.dll」が作成されます。返された MINEDOOR パック MINEBRIDGE サンプルは、実行中のユーザーの AppData ディレクトリ (例: C:UsersusernameAppDataRoaminguCWOncHvBb.dll) に保存され、その後、「regsvr32.exe /s」の呼び出しを介して DllRegisterServer エクスポートが実行されます。 %AppData%uCWOncHvBb.dll」が発生します:

これにより、Windows API の URLDownloadToFileW を使用して、URL hxxps://creatorz123[.]top/~files_tv/~all_files_m.bin から ZIP ファイルが取得されます。 ZIP ファイルは %TEMP% に書き込まれ、新しく作成されたディレクトリ %AppData%Windows Media Player に解凍されてから削除されます。

ZIP ファイルには、TeamViewer のコピーを実行するために必要な正当なファイルが含まれており、この投稿の IOC セクションのファイル作成エリアにリストされています。解凍中に TeamViewer.exe という名前のファイルが識別されると、wpvnetwks.exe に名前が変更されます。

これらのタスクを完了すると、uCWOncHvBb.dll は自身を %AppData%Windows Media Playermsi.dll に移動します。その後、フィッシング マクロは msi.dll へのハンドルを閉じ、wpvnetwks.exe で CreateProcessA を呼び出します。これにより、名前が変更された TeamViewer インスタンスが、その横にある悪意のある msi.dll をサイドロードします。このマルウェアは、%CISDL_STARTUP%Windows WMI.lnk に %AppData%Windows Media Playerwpnetwks.exe を指すリンク ファイルを作成することで、再起動後も存続し、ユーザーのログオン時に起動します。

最終的な結果は、時代遅れではありますが (バージョン 11、2018 年 9 月 17 日 10:30:12 UTC にコンパイル)、悪意のあるサイドロード DLL (MINEBRIDGE) によってハイジャックされた TeamViewer インスタンスです。

MINEBRIDGE は 32 ビット C++ バックドアであり、DLL のロードオーダー ハイジャックによって、パッチが適用されていない正規のリモート デスクトップ ソフトウェア TeamViewer の古いインスタンスによってロードされるように設計されています。バックドアは Windows API をフックして、被害者が TeamViewer アプリケーションを表示できないようにします。デフォルトでは、MINEBRIDGE はハードコーディングされた C2 ドメインへの HTTPS POST リクエストを介してコマンド アンド コントロール (C2) 通信を行います。 POST 要求には、システムのボリューム シリアル番号から派生した GUID、TeamViewer の一意の ID とパスワード、ユーザー名、コンピューター名、オペレーティング システムのバージョン、およびビーコン間隔が含まれます。 MINEBRIDGE は、カスタム ウィンドウ プロシージャ フックを使用して TeamViewer チャット メッセージを送信することにより、C2 サーバーと通信することもできます。まとめて、2 つの C2 メソッドは、ペイロードのダウンロードと実行、任意のファイルのダウンロード、自己削除と更新、プロセスの一覧表示、システムのシャットダウンと再起動、任意のシェル コマンドの実行、プロセスの昇格、TeamViewer のマイクのオン/オフ、およびシステム UAC 情報を収集しています。

MINEBRIDGE のデフォルトの通信方法は、TCP ポート 443 を介して HTTPS POST リクエストを送信することです。この通信方法は常にアクティブです。ただし、ビーコン間隔時間はコマンドで変更できます。サンプルは C2 ビーコンを送信する前に、SetWindowsTextW フックを介して、TeamViewer が生成した一意の ID (<tv_id>) とパスワード (<tv_pass>) を収集するために待機します。

この特定のサンプルは、応答が受信されるまで、HTTP POST 要求を TCP ポート 443 経由で URI ~f83g7bfiunwjsd1/g4t3_indata.php を使用して、以下にリストされている各ホストに継続的に送信します。

• 123速い[.]トップ
• conversia91[.]トップ
• ファットオブザランド[.]トップ
• Creatorz123[.]トップ
• compilator333[.]トップ

POST 本文には、フォーマットされた文字列 uuid=<guid>&id=<tv_id>&pass=<tv_pass>&username=<user_name>&pcname=<comp_name>&osver=<os_version>&timeout=<beacon_interval> が含まれます。<guid> は派生した GUID です。システムのボリューム シリアル番号から、書式文字列 %06lX-%04lX-%04lX-%06lX を使用して書式設定されます。さらに、要求はハードコードされた HTTP User-Agent 文字列 “Mozilla/5.0 (iPhone; Mac OS X のような CPU iPhone OS 11_1_1) AppleWebKit/604.3.5 (Gecko のような KHTML) Version/11.0 Mobile/15B150 Safari/604.1 を使用します。 “

応答が受信されると、コマンドの処理が行われます。 1 つの応答に複数のコマンドが含まれる場合があります。実行されたコマンドごとに、サンプルは TCP ポート 443 経由で HTTPS POST 要求を送信し、成功または失敗を示します。サンプルは以下のコマンドに応答します。

応答内のすべてのコマンドを実行した後、サンプルは指定された C2 ビーコン間隔時間だけスリープします。上記のプロセスを繰り返して、次の C2 ビーコンを送信します。この動作は無期限に繰り返されます。

自己削除バッチ スクリプト tvdll.cmd には次の内容が含まれます。ここで、<renamed_TeamVeiwer> は名前が変更された TeamViewer 実行可能ファイル (つまり、wpvnetwks.exe) であり、<sample_name> はこのサンプルの名前 (つまり、msi.dll) です。

別の侵入セットへの接続の可能性

識別された MINEBRIDGE サンプルは、MINEDOOR と呼ばれるローダー内にパックされています。 2019 年秋以降、TA505 として公に追跡されているグループが、MINEDOOR を使用して FRIENDSPEAK バックドアを配信するフィッシング キャンペーンを行っていることを確認しました。 MINEDOOR と FRIENDSPEAK の組み合わせも、Get2 という名前を使用して公に議論されています。

MINEBRIDGE を配信するキャンペーンと FRIENDSPEAK を配信するキャンペーンの間の戦術、技術、および手順 (TTP) の限定的な重複は、MINEDOOR が TA505 だけのものではないことを示唆している可能性があります。 FRIENDSPEAK を配信する最近のキャンペーンでは、なりすましの送信者アドレス、ペイロードが埋め込まれた Excel スプレッドシート、一般的なテクノロジー サービスを装ったキャンペーン固有のドメインが使用されているようです。一方、MINEBRIDGE を配信するキャンペーンでは、攻撃者が制御する電子メール アドレス、リモート サーバーからペイロードをダウンロードする悪意のある Word ドキュメント、およびキャンペーンの数週間前に登録されたさまざまなテーマのドメインが使用されています。また、MINEBRIDGE を配信するキャンペーンは、FRIENDSPEAK を配信するキャンペーンよりも、量と範囲の両方で大幅に小さいようです。最後に、ロシア語を話すアクターが一般的に活動していない東方正教会のクリスマスに MINEBRIDGE を配信するキャンペーンを観察しました。休日に関連する週に FRIENDSPEAK を配信するキャンペーンは観察されませんでした。マルウェアの言語リソースは、TA505 攻撃者がロシア語を話していることを示唆している可能性があります。

これらのキャンペーンが TA505 アクティビティのサブセットを表していると考えられます。たとえば、特定のクライアントに代わって実行される操作や、より広範な脅威グループの特定のメンバーによって実行される操作である可能性があります。どちらのキャンペーン セットも、Eranet に登録され、登録者の所在地が「JL, US」または「Fujian, CN」のドメインを使用していましたが、TA505 が登録者情報を再利用するサービスによって登録されたドメインを使用していた可能性があるため、この重複はあまり目立ちません。 .

これらのキャンペーンが TA505 によって実行されたのか、それとも 2 番目の脅威グループによって実行されたのかは、侵害後の活動によって明らかになる可能性がありますが、FireEye は、ホストが MINEBRIDGE によって侵害された例をまだ確認していません。そのため、FireEye は現在、TA505 として一般に追跡されているものとは別に、このアクティビティをクラスター化しています。

謝辞

FireEye は、このブログ投稿で参照されているオープン ソース ツールと調査の献身的な作成者の皆様に感謝いたします。さらに、FireEye は、この件に関して TeamViewer と協力してくれたことに感謝します。このブログ投稿で強調されている安全でない DLL の読み込みは、TeamViewer チームが FireEye から情報を受け取る前に、2019 年 10 月 22 日にリリースされた TeamViewer 11.0.214397 で解決されました。さらに、TeamViewer はマルウェアの機能をさらに軽減するために取り組んでいます。 FireEye は、TeamViewer からの追加データが利用可能になり次第、この投稿を更新します。

侵害の痕跡 (IOC)

不審な行動

• プロセス系統: TeamViewer を起動する Microsoft Word
• ディレクトリの作成: %APPDATA%Windows Media Player
• ファイルの作成:
  • %APPDATA%Windows Media Playermsi.dll
  • %APPDATA%Windows Media Playermsi.dll.old
  • %APPDATA%Windows Media Playertvdll.cmd
  • %APPDATA%Windows Media Playerwpvnetwks.exe
  • %APPDATA%Windows Media PlayerTeamViewer_Resource_en.dll
  • %APPDATA%Windows Media PlayerTeamViewer_StaticRes.dll
  • %APPDATA%Windows Media PlayerTeamViewer_Desktop.exe
  • %APPDATA%Windows Media PlayerTeamViewer.ini
  • %CSIDL_STARTUP%Windows WMI.lnk
  • %CSIDL_PROFILE%<dll_name>.xpdf
  • %TEMP%<ランダムな32文字>
  • %TEMP%<ランダムな32文字>.exe
  • %TEMP%~8426bcrtv7bdf.bin
• ネットワーク アクティビティ:
  • C2 URL への HTTPS Post リクエスト
  • ユーザーエージェント文字列: “Mozilla/5.0 (iPhone; Mac OS X のような CPU iPhone OS 11_1_1) AppleWebKit/604.3.5 (Gecko のような KHTML) バージョン/11.0 Mobile/15B150 Safari/604.1”

C2 ドメイン

• 123速い[.]トップ
• conversia91[.]トップ
• ファットオブザランド[.]トップ
• Creatorz123[.]トップ
• compilator333[.]トップ

ドメインのダウンロード

• ニューロゴン[.]com
• ティパルカン[.]com
• セイゴルタン[.]com
• marendoger[.]com
• badiconreg[.]com

送信者ドメイン

• en-cpaaccountant[.]com
• rogervecpa[.]com
• agent4career[.]com
• bestrecruitments[.]com

フィッシング文書

MINEBRIDGE/MINEDOOR サンプル