ここ数か月で、Microsoft は、 ZINCとして追跡しているアクターによる武器化された正当なオープンソース ソフトウェアを使用した、さまざまなソーシャル エンジニアリング キャンペーンを検出しました。 Microsoft Threat Intelligence Center (MSTIC) は、米国、英国、インド、ロシアのメディア、防衛、航空宇宙、IT サービスなど、複数の業界の組織の従業員を標的とする活動を観察しました。 MSTIC は、観察された貿易技術、インフラストラクチャ、ツール、およびアカウントの提携に基づいて、スパイ活動、データ盗難、金銭的利益、およびネットワークの破壊に焦点を当てた目的で、北朝鮮を拠点とする国家支援グループである ZINC によるものであると確信を持って考えています。
2022 年 6 月から、ZINC は従来のソーシャル エンジニアリング戦術を採用し、まず LinkedIn で個人とつながり、ターゲットとの信頼レベルを確立しました。接続が成功すると、ZINC は、悪意のあるペイロードの配信手段として機能する WhatsApp を介した継続的な通信を奨励しました。
MSTIC は、ZINC がこれらの攻撃のために、PuTTY、KiTTY、TightVNC、Sumatra PDF Reader、muPDF/Subliminal Recording ソフトウェア インストーラーなど、さまざまなオープンソース ソフトウェアを兵器化していることを確認しました。 ZINC は横方向に移動し、被害者のネットワークから収集した情報を盗もうとしているのが観察されました。攻撃者は 2022 年 6 月以降、多数の組織への侵入に成功しています。武器化された PuTTY に関連する進行中のキャンペーンも、今月初めにMandiantによって報告されました。 ZINC がこのキャンペーンで利用するプラットフォームとソフトウェアが広く使用されているため、ZINC は複数のセクターや地域の個人や組織に重大な脅威をもたらす可能性があります。
Microsoft Defender for Endpoint は、ZetaNile など、ZINC で使用されるツールやカスタム マルウェアに対する包括的な保護を提供します。このブログの最後に記載されているハンティング クエリは、お客様が環境を包括的に検索して関連する指標を見つけるのに役立ちます。観察された国家の攻撃者の活動と同様に、Microsoft は、標的にされた、または侵害された顧客に直接通知し、アカウントを保護するために必要な情報を提供します。
ジンクとは?
ZINC は、非常に操作性が高く、破壊的で、洗練された国家活動グループです。 2009 年から活動を開始したこの活動グループは、2014 年にソニー ピクチャーズ エンタテインメントに対する攻撃が成功した後、さらに世間の悪名を馳せました。 ZINC は、Microsoft が FoggyBrass や PhantomStar として検出したものを含め、さまざまなカスタム リモート アクセス ツール (RAT) を武器の一部として使用することが知られています。
Microsoft の研究者は、スピア フィッシングが ZINC 攻撃者の主要な戦術であることを確認していますが、目的を達成するためにソーシャル メディア全体で戦略的な Web サイト侵害やソーシャル エンジニアリングを使用していることも確認されています。 ZINC は、侵入しようとしている企業の従業員を標的にし、これらの個人に一見無害なプログラムをインストールさせたり、悪意のあるマクロを含む兵器化されたドキュメントを開いたりさせようとします。 Twitter や LinkedIn を介して、セキュリティ研究者に対しても標的型攻撃が行われています。
ZINC 攻撃は、従来のサイバースパイ活動、個人および企業データの盗難、金銭的利益、および企業ネットワークの破壊によって動機付けられているようです。 ZINC 攻撃には、運用上のセキュリティの強化、時間の経過とともに進化する高度なマルウェア、政治的動機による標的設定など、国家が後援する活動の多くの特徴があります。
Labyrinth Chollima や Black Artemis などの他のセキュリティ企業によって追跡されている ZINC は、2022 年 4 月下旬から 9 月中旬にかけてこのキャンペーンを実行していることが確認されています。
観測されたアクターの活動
なりすましと接触の確立
LinkedIn Threat Prevention and Defense は、ZINC がテクノロジー、防衛、メディア エンターテイメント企業で働く採用担当者を名乗る偽のプロファイルを作成していることを検出しました。この目的は、ターゲットを LinkedIn から遠ざけ、暗号化されたメッセージング アプリ WhatsApp に移動させてマルウェアを配信することです。 ZINC は主に、英国、インド、および米国にあるメディアおよび情報技術企業で働くエンジニアと技術サポートの専門家を標的にしていました。ターゲットは、自分の職業や背景に合わせて調整されたアウトリーチを受け、いくつかの合法的な企業の 1 つで募集中のポジションに応募するように勧められました。ポリシーに従って、これらの攻撃で特定されたアカウントについて、LinkedIn は不正または詐欺行為に関連するすべてのアカウントを迅速に停止しました。
ZetaNile の配信に使用される複数の方法
MSTIC は、ZetaNile マルウェア ファミリとして追跡されている悪意のあるペイロードとシェルコードを含む、トロイの木馬化されたオープンソース アプリケーションの少なくとも 5 つの方法を観察しました。 BLINDINGCAN としても知られる ZetaNile インプラントは、 CISAおよびJPCERTのレポートで取り上げられています。 ZetaNile マルウェア ファミリのインプラント DLL は、Themida や VMProtect などの商用ソフトウェア プロテクターがパックされているか、カスタム アルゴリズムを使用して暗号化されています。悪意のある DLL のペイロードは、図 3 に示すように、正規の Windows プロセスの DLL 検索順序ハイジャックの一部として渡されるカスタム キーを使用して復号化されます。ZetaNile インプラントは、独自のカスタム暗号化方式または AES 暗号化を使用してコマンド アンド コントロールを生成します。 (C2) 侵害された既知の C2 ドメインへの HTTP リクエスト。 HTTP POST のgametypeやbbsなどの一般的なキーワードのパラメータで被害者の情報をエンコードすることにより、これらの C2 通信が正当なトラフィックに紛れ込む可能性があります。
SSH クライアントの武器化
ターゲットとの接続が確立されると、ZINC は 2 つの SSH クライアント、PuTTY と KiTTY の悪意のあるバージョンを運用し、ZetaNile インプラントのエントリ ベクターとして機能しました。どちらのユーティリティも、さまざまなネットワーク プロトコルのターミナル エミュレータ サポートを提供するため、ZINC の標的となる個人にとって魅力的なプログラムになっています。兵器化されたバージョンは、多くの場合、圧縮された ZIP アーカイブまたは ISO ファイルとして配布されました。そのアーカイブ内で、受信者にはReadMe.txtと実行する実行可能ファイルが提供されます。 ZINC のマルウェア開発の進化の一環として、また従来の防御を回避するために、同梱の実行可能ファイルを実行しても ZetaNile インプラントはドロップされません。 ZetaNile を展開するには、SSH ユーティリティでReadMe.txtファイルに記載されている IP が必要です。そのファイルの内容の例を以下に示します。
サーバー: 137[.]184[.]15[.]189 ユーザー: [編集済み] パス: [編集済み]
兵器化された PuTTY マルウェア
ZINC は、トロイの木馬化された PuTTY を攻撃チェーンの一部として長年使用してきました。この最新の亜種は、スケジュールされたタスクを利用して、侵害されたデバイス上で持続性を確立します。この活動は、Mandiant によって最近報告されました。悪意のあるPUTTY.exeは、Event Horizon マルウェアをC:ProgramDatacolorui.dllにインストールし、続いてC:WindowsSystem32colorcpl.exeをC:ProgramDatacolorcpl.exeにコピーするように構成されています。 DLL の検索順序のハイジャックを使用することで、ZINC は第 2 段階のマルウェアであるcolurui.dllをロードし、ペイロードをキー「0CE1241A44557AA438F27BC6D4ACA246」でデコードして、コマンド アンド コントロールに使用できます。 C2 サーバーへの接続が成功すると、攻撃者は侵害されたデバイスに他のタスクのために追加のマルウェアをインストールできます。
最後に、武器化された PuTTY の構成の一部として、毎日スケジュールされたタスクPackageColorを作成することで永続性が確立されます。 ZINC は、次のコマンドでこれを実現します。
兵器化された KiTTY マルウェア
ZINC は何年にもわたって兵器化された PuTTY を利用してきましたが、ZINC は最近、KiTTY と呼ばれる PuTTY のフォークを兵器化する機能を拡張したばかりです。実行可能ファイルは、最初に被害者のシステムのユーザー名とホスト名を収集し、その情報を TCP/22 経由でハードコードされた IP 172[.]93[.]201[.]253 に送信します。 137[.]184[.]15[.]189 でサーバーへの TCP 接続が成功すると、悪意のある KiTTY 実行可能ファイルは、複数回のデコードに続いてマルウェアを%AppData%mscoree.dllとして展開します。 mscoree.dllファイルは、ZetaNile マルウェア ファミリに組み込まれたペイロードで、EventHorizon として検出されます。 ZINC のバージョンの PuTTY と同様に、攻撃者は DLL 検索順序ハイジャックを使用して、これらの正当な Windows プロセスのコンテキスト内でタスクを実行する悪意のある DLL ファイルを読み込みます。具体的には% AppData%KiTTY%PresentationHost.exe -EmbeddingObject を使用します。
mscoree.dllマルウェアは、侵害された C2 ドメインへの接続に成功すると、攻撃者がC:ProgramDataCiscoの実行などの既存の C2 通信を使用して、必要に応じてターゲット システムに追加のマルウェアをインストールできるようにモジュール化されています。 fixmapi.exe -s AudioEndpointBuilderを使用して、侵害された C2 サーバーから悪意のあるmapistub.dllをロードします。 HTTP POST リクエストには、ハードコードされたユーザー エージェント文字列とスペルミスのある「Edge」が含まれており、以下に詳しく説明されています。また、フィールドゲームタイプの一意の ID と、マルウェア キャンペーンの追跡を目的としたフィールドタイプのハードコードされた値が含まれています。
POST /wp-includes/php-compat/compat.php HTTP/1.1 |
兵器化された TightVNC ビューア
2022 年 9 月以降、ZINC はトロイの木馬化された TightVNC Viewer を利用し、WhatsApp を介して兵器化された SSH ユーティリティとともにターゲットに配信されたことが確認されました。このマルウェアには固有の PDBPath があります。
N:.MyDevelopment.Tools_Development.TightVNCCustomizeMunna_Customizetightvncx64Releasetvnviewer.pdb
TightVNC Viewer の武器化されたバージョンは、多くの場合、圧縮された ZIP アーカイブまたは職務内容をテーマにした ISO ファイルとして、WhatsApp などのオンライン プラットフォームを介して配信されました。そのアーカイブ内で、受信者にはReadMe.txtと実行する実行可能ファイルが提供されます。 .txt ファイルの内容は次のとおりです。
プラットフォーム: リストから 2 番目 ユーザー: [編集済み] パス: [編集済み]
従来の防御を回避する脅威アクターの最新のマルウェア技術の一部として、悪意のある TightVNC Viewer はリモート ホストの事前入力リストを持ち、ユーザーがec2-aet-tech.w-ada を選択した場合にのみバックドアをインストールするように構成されています[図 5 に示すように、TightVNC ビューアーのドロップダウン メニューからamazonawsを選択します。
マルウェアは、被害者が C2 にチェックインする際に TCP/22 上の IP 44[.]238[.]74[.]84 にユーザー名とホスト名を送信し、ポート上の同じ IP への VNC 接続を確立するように構成されていました。 TCP/5900。サーバー IP への接続が確立されると、 TightVNC.exeから埋め込まれた第 2 段階の DLL ペイロードがメモリに読み込まれ、既知の侵害されたドメインへの C2 通信が確立されます。
Sumatra PDFリーダーとmuPDF/Subliminal Recordingインストーラーの武器化
ZINC は、ZetaNile インプラントのエントリ ベクターとして機能する 2 つの PDF リーダー、Sumatra PDF および muPDF/Subliminal Recording インストーラーの悪意のあるバージョンを運用しています。この配信メカニズムは、IT および防衛部門の求職者に配信される不正な求人情報に関連してよく利用されます。兵器化されたバージョンは、多くの場合、圧縮された ZIP アーカイブとして配布されました。そのアーカイブ内で、実行する実行可能ファイルが受信者に提供されます。悪意のある Sumatra PDF リーダーは完全に機能する PDF リーダーであり、偽の PDF から悪意のあるインプラントを読み込むことができますが、muPDF/Subliminal Recording インストーラーは、悪意のある PDF ファイルを読み込まずにバックドアを設定できます。
トロイの木馬化されたスマトラ PDF リーダー
SecurePDF.exeという名前の Sumatra PDF Reader のトロイの木馬化されたバージョンは、少なくとも 2019 年から ZINC によって利用されており、独自の ZINC トレードクラフトであり続けています。 SecurePDF.exeはモジュール化されたローダーであり、拡張子が .PDF の武器化されたジョブ アプリケーションをテーマにしたファイルをロードすることで、ZetaNile インプラントをインストールできます。偽の PDF には、ヘッダー「SPV005」、復号化キー、暗号化された第 2 段階のインプラント ペイロード、暗号化されたおとり PDF が含まれており、ファイルを開くと Sumatra PDF Reader でレンダリングされます。
メモリに読み込まれると、第 2 段階のマルウェアは、C2 チェックイン プロセスの一環として、カスタム エンコーディング アルゴリズムを使用して被害者のシステム ホスト名とデバイス情報を C2 通信サーバーに送信するように設定されます。攻撃者は、必要に応じて C2 通信を使用して、侵害されたデバイスに追加のマルウェアをインストールできます。
トロイの木馬化された muPDF/Subliminal Recording インストーラー
トロイの木馬化されたバージョンの muPDF/Subliminal Recording インストーラー内で、 setup.exeは、ファイル パスISSetupPrerequisitesSetup64.exeが存在するかどうかを確認し、 setup.exe内に埋め込まれた実行可能ファイルを抽出した後、ディスクにC:colrctlcolorui.dllを書き込むように構成されています。次に、 C:WindowsSystem32ColorCpl.exeをC:ColorCtrlColorCpl.exeにコピーします。第 2 段階のマルウェアでは、悪意のあるインストーラーが新しいプロセスC:colorctrlcolorcpl.exe C3A9B30B6A313F289297C9A36730DB6Dを作成し、引数C3A9B30B6A313F289297C9A36730DB6Dが復号化キーとしてcolorui.dllに渡されます。 Microsoft が EventHorizon マルウェア ファミリとして追跡している DLL colorui.dll は、 C:WindowsSystemcredwiz.exeまたはiexpress.exeに挿入され、被害者のチェックイン プロセスの一部として C2 HTTP 要求を送信し、追加のペイロード。
POST /support/support.asp HTTP/1.1 |
マイクロソフトは引き続き ZINC の活動を監視し、お客様のために保護を実装します。セキュリティ製品全体で現在実施されている検出と IOC の詳細を以下に示します。
お客様に推奨されるアクション
アクターが使用し、「観測されたアクターのアクティビティ」セクションで説明されている手法は、以下に示すセキュリティ上の考慮事項を採用することで軽減できます。
- 含まれている侵害の兆候を使用して、それらが環境内に存在するかどうかを調査し、潜在的な侵入を評価します。
- 「侵害の兆候」の表で指定された IP からのインバウンド トラフィックをブロックします。
- 信頼性を確認し、異常なアクティビティを調査するために、特に単一要素認証で構成されたアカウントに焦点を当てて、リモート アクセス インフラストラクチャのすべての認証アクティビティを確認します。
- 多要素認証 (MFA) を有効にして、資格情報が侵害される可能性を軽減し、すべてのリモート接続に MFA が適用されるようにします。注: Microsoft では、すべてのお客様がMicrosoft Authenticatorなどのパスワードなしのソリューションをダウンロードして使用し、アカウントを保護することを強くお勧めします。
- ISO が添付された迷惑メールや予期しないメールを無視または削除するなど、 マルウェア感染の防止についてエンド ユーザーを教育します。エンド ユーザーが適切な資格情報衛生を実践することを奨励します。ローカルまたはドメインの管理者特権を持つアカウントの使用を制限し、 Microsoft Defender ファイアウォールを有効にして、マルウェアの感染と拡散を防ぎます。
- ソーシャル メディアでの個人情報とビジネス情報の保護、未承諾の通信のフィルタリング、スピア フィッシング メールや水飲み場でのルアーの特定、偵察の試みやその他の疑わしいアクティビティの報告について、エンド ユーザーを教育します。
侵害の痕跡 (IOC)
以下のリストは、調査中に確認された IOC を示しています。お客様には、環境内でこれらの指標を調査し、検出と保護を実装して過去の関連アクティビティを特定し、システムに対する将来の攻撃を防止することをお勧めします。
| インジケータ | タイプ | 説明 |
|---|---|---|
| Amazon-KiTTY.exe | ファイル名 | |
| Amazon_IT_Assessment.iso | ファイル名 | |
| IT_Assessment.iso | ファイル名 | |
| amazon_assessment_test.iso | ファイル名 | |
| SecurePDF.exe | ファイル名 | |
| C:ProgramDataCommscolorui.dll | ファイルパス | 悪意のある PuTTY インプラント |
| %APPDATA%KiTTYmscoree.dll | ファイルパス | 悪意のある KiTTY インプラント |
| 172.93.201[.]253 | IPアドレス | 敵対者の C2 サーバー |
| 137.184.15[.]189 | IPアドレス | 敵対者の SSH サーバー |
| 44.238.74[.]84 | IPアドレス | 悪意のある TightVNC 用のハードコードされた VNC サーバー IP |
| c:windowssystem32schtasks.exe /CREATE /SC DAILY /MO 1 /ST 10:30 /TR “C:WindowsSystem32cmd.exe /c start /b C:ProgramDataPackageColorcolorcpl. exe 0CE1241A44557AA438F27BC6D4ACA246” /TN PackageColor /F | スケジュールされたタスク名 | Putty.exe – スケジュールされたタスク |
| 1492fa04475b89484b5b0a02e6ba3e52544c264c294b57210404b96b65e63266 | SHA-256 | 悪意のある Putty.exe |
| aaad412aeb0f98c2c27bb817682f08673902a48b65213091534f96fe6f5494d9 | SHA-256 | 悪意のある colorui.dll |
| 63cddab76e9d63e3cbea421b607342735d924e462c40f3917b1b5fbdf8d4a20d | SHA-256 | 悪意のある Amazon-Kitty.exe |
| e1ecf0f7bd90553baaa83dcdc177e1d2b20d6ee5520f5d9b44cdf59389432b10 | SHA-256 | mscoree.dll 用の悪意のある KiTTY インプラント |
| c5a470cdf6f57125a8671f6b8843149cc78ccbc1a7bc615f34b23d9f241312bf | SHA-256 | 兵器化されたスマトラ PDFReader.exe |
| 71beb4252e93291c7b14dfcb4cbb5d58144a76181fbe4aab3592121a3dbd9c55 | SHA-256 | 兵器化されたmuPDF/Subliminal Recordingインストーラー |
| olidhealth[.]com/wp-includes/php-compat/compat.php | 侵害されたドメイン | |
| ハリケーンパブ[.]com/include/include.php | 侵害されたドメイン | |
| turncor[.]com/wp-includes/contacts.php | 侵害されたドメイン | |
| elite4print[.]com/support/support.asp | 侵害されたドメイン | |
| cat.runtimerec[.]com/db/dbconn.php | 侵害されたドメイン | |
| Recruitment.raystechserv[.]com/lib/artichow/BarPlotDashboard.object.php | 侵害されたドメイン | |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (Gecko のような KHTML) Chrome/102.0.5005.63 Safari/537.36 Edg/100.0.1185.39 | ユーザーエージェント | ハードコードされた Kitty.exe UA |
| Mozilla/4.0 (互換性; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; InfoPath.3; .NET4.0C ; .NET4.0E) | ユーザーエージェント | ハードコードされた SecurePDF.exe UA |
| N:.MyDevelopment.Tools_Development.TightVNCCustomizeMunna_Customizetightvncx64Releasetvnviewer.pdb | PDBパス | 悪意のある TightVNC の PDBPath |
| 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334 | SHA-256 | 悪意のあるタイトVNC |
| 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745 | SHA-256 | 悪意のあるタイトVNC |
注:これらの指標は、この観察された活動を網羅しているとは見なされません。
検出
Microsoft Defender ウイルス対策
Microsoft Defender ウイルス対策および Microsoft Defender for Endpoint のお客様は、これらの攻撃に関連するアクティビティについて、次のファミリ名を探す必要があります。
- ゼータナイル
- イベントホライズン
- フォギーブラス
- ファントムスター
エンドポイントの Microsoft Defender
次のMicrosoft Defender for Endpointアラートは、この脅威に関連するアクティビティを示している可能性があります。ただし、これらのアラートは、無関係な脅威活動によってトリガーされる可能性があります。
- 不審なタスク スケジューラ アクティビティ
- リモート サービスへの不審な接続
- 不審なファイルが確認されました
- 実行可能ファイルが予期しない dll をロードしました
- リモート セッション資格情報の盗難の可能性
- リモート サービスへの不審な接続
高度なハンティング クエリ
マイクロソフト センチネル
Microsoft Sentinel のお客様は、次のクエリを使用して、環境内の関連する悪意のある兆候を探すことができます。
ZINC IP/ドメイン/ハッシュ IOC を特定する
このクエリは、このブログ投稿で共有されているように、Zinc アクターに関連する IP/ドメイン IOC のさまざまなデータ フィード全体での一致を識別します。
ZINC ファイル名/コマンドライン IOC を特定する
ブログで共有されている可能性のある Zinc ファイル名/コマンド ライン アクティビティを見つけるには、Microsoft Sentinel のお客様は以下のクエリを使用できます。
ZINC AV ヒット IOC を特定する
このクエリは、ブログ投稿で共有されている Zinc アクターに関連する Microsoft Defender AV 検出を検索します。
Microsoft 365 ディフェンダー
関連するアクティビティを見つけるために、Microsoft 365 Defender のお客様は、次の高度な検索クエリを実行できます。
不審な mapistub.dll ファイルの作成
Mapistub.dll を作成している PresentationHost.exe を探します。これは、DLL 検索順序ハイジャック攻撃で使用される可能性があります。
DeviceFileEvents | |どこで InitiatingProcessFileName =~ "presentationhost.exe" | |どこで FileName =~ "mapistub.dll"
疑わしい mscoree.dll ファイルの作成
PuTTY プロセスによって作成された mscoree.dll のインスタンスを調べます。
DeviceFileEvents | |ここで、InitiatingProcessFileName には接尾辞 "kitty.exe" が含まれているか、InitiatingProcessVersionInfoInternalFileName には "PuTTY" が含まれています | |どこで FileName =~ "mscoree.dll"
不審な colorcpl.exe イメージのロード
colorui.dll をロードしている colorcpl.exe プロセスのサーフェス インスタンスが予期されたパスにないため、DLL 検索順序ハイジャック攻撃を示しています。
DeviceImageLoadEvents
| |どこで InitiatingProcessFileName =~ "colorcpl.exe"
| |どこで FileName =~ "colorui.dll" and not(FolderPath has_any("system32", "syswow64", "program files"))
参考: https ://www.microsoft.com/en-us/security/blog/2022/09/29/zinc-weaponizing-open-source-software/
Comments