Zoom For You — BATLOADER と Atera Agent を配布するための SEO 中毒

Attack chain of the BATLOADER campaign news

Mandiant Managed Defenseでは、お客様を脅威から守る一方で、正当なツールや製品に対する信頼を悪用して攻撃を実行する新しい脅威を引き続き確認しています。これらの攻撃は、セキュリティ防御をすり抜け、ネットワーク内で検出されないようにするのに効果的です。

当社のマネージド ディフェンス最前線チームは、プロアクティブな脅威ハンティングを通じて、検索エンジン最適化 (SEO) ポイズニングを使用して、被害者が最初の侵害のためにBATLOADERマルウェアをダウンロードするよう誘導するキャンペーンを発見しました。また、Microsoft HTML アプリケーション (HTA) ファイルを実行するように設計された Windows ネイティブのユーティリティである mshta.exe を使用した巧妙な防御回避手法も確認しました。

SEO ポイズニングは、攻撃者がキーワードを詰め込んだ悪意のある Web サイトを作成し、検索エンジンの最適化手法を使用して検索結果に目立つように表示させる攻撃方法です。

感染連鎖

脅威アクターは、「無料の生産性アプリのインストール」または「無料のソフトウェア開発ツールのインストール」のテーマを SEO キーワードとして使用して、被害者を侵害された Web サイトに誘導し、悪意のあるインストーラーをダウンロードしました。インストーラーには、 BATLOADERマルウェアにバンドルされた正規のソフトウェアが含まれています。 BATLOADERマルウェアは、ソフトウェアのインストール プロセス中に投下され、実行されます

この最初のBATLOADER侵害は、攻撃者に標的組織内の足場を提供する多段階の感染チェーンの始まりでした。すべての段階は、攻撃チェーンの次の段階に向けて準備されました。また、PowerShell、Msiexec.exe、Mshta.exe などの正当なツールにより、悪意のあるペイロードのプロキシ実行が可能になり、検出を回避できます。

CVE-2020-1599 パッチバイパス

攻撃チェーンで見つかった注目すべきサンプルの 1 つは、「AppResolver.dll」という名前のファイルです。この DLL サンプルは、Microsoft が開発した Microsoft Windows オペレーティング システムの内部コンポーネントですが、コード署名が有効なままになるように悪意のある VBScript が内部に埋め込まれています。 DLL サンプルは、単独で実行した場合、VBScript を実行しません。しかし、Mshta.exe と一緒に実行すると、Mshta.exe は問題なく VBScript を見つけて実行します。

この問題はCVE-2020-1599に最もよく似ており、任意のソフトウェア開発者によって署名された HTA 対応スクリプトを追加した後も、PE Authenticode 署名は有効のままです。これらの PE+HTA ポリグロット (.hta ファイル) は、Mshta.exe を介して悪用され、ファイルが信頼できるかどうかを判断するために Microsoft Windows コード署名に依存するセキュリティ ソリューションをバイパスできます。この問題は、CVE-2020-1599 としてパッチが適用されました。

今回のケースでは、合法的に署名された Windows PE ファイルの ASN.1 の末尾を超えた署名セクションに、任意のスクリプト データが追加されていることがわかりました。結果の polyglot ファイルは、ファイルの拡張子が ‘.hta’ 以外である限り、有効な署名を保持します。 Mshta.exe は PE のバイトをスキップし、最後にスクリプトを見つけて実行するため、このポリグロット ファイルを Mshta.exe で実行すると、スクリプトの内容が正常に実行されます。この回避手法は、ホスト設定を変更してペイロードを起動するために、攻撃チェーン中に数回使用されました。

後の段階では、 Gpg4win ユーティリティ、 NSUDOユーティリティ、 ATERA、SplashTop などのグッドウェアが、このキャンペーンの攻撃チェーンの一部としてインストールされていることがわかります。これらは、リモート アクセス、権限昇格、ペイロードの起動、暗号化、永続性をサポートするためのものです。また、 BEACONURSNIFなどのマルウェアが展開され、バックドアや資格情報を盗む機能を提供していました。

Attack chain of the BATLOADER campaign
BATLOADER キャンペーンの攻撃チェーン

代替感染チェーン

あるいは、攻撃者が最初の侵害として ATERA を直接展開する可能性があります。同様に、SEO ポイズニングによって、被害者は ATERA Agent インストール パッケージをダウンロードするように誘導されました。インストーラーは「無料の正当なソフトウェア」を装い、犠牲者をおびき寄せてホストにインストールさせ、最初の侵害を行います。

ATERAは遠隔監視管理ソフトウェアです。 IT 自動化、ホスト、およびネットワーク検出機能を提供します。 SplashTop は ATERA に統合できるソフトウェアで、ホストへのリモート アクセスを提供します。感染経路は次のとおりです。

  • ユーザーが Google 検索を実行し、侵害された Web サイトで攻撃者が作成したページへのリンクをクリックします (図 1)。
侵害された Web サイトで攻撃者が作成したコンテンツへのリンクを含む Google 検索結果
図 1:侵害された Web サイトで攻撃者が作成したコンテンツへのリンクを含む Google 検索結果
  • 良性のブログ投稿 (図 2) は、トラフィック ディレクション システム (TDS) を悪用して、ダウンロード リンクを投稿したメッセージ ボードになりすました Web ページにユーザーを誘導するかどうかを決定します (図 3)。
無害なブログ投稿
図 2: 無害なブログ投稿
悪意のあるダウンロード リンクを含む攻撃者が作成したディスカッション ボード
図 3: 悪意のあるダウンロード リンクを含む攻撃者が作成したディスカッション ボード
  • ダウンロード リンクは、検索用語にちなんで名付けられた ATERA エージェント インストーラー パッケージを提供します。 (図 4 および図 5)。
検索語にちなんで名付けられた Atera Agent Installer Package
図 4: 検索語にちなんで名付けられた Atera Agent Installer Package
Microsoft Community Visual Studio 2015 を装った ATERA エージェント インストーラー パッケージ
図 5: Microsoft Community Visual Studio 2015 を装った ATERA エージェント インストーラー パッケージ
  • 「Microsoft Community Visual Studio 2015 Free.msi」を装った ATERA Agent のインストール例 (図 6)。
Atera Agent のインストール
図 6: Atera Agent のインストール
  • ATERA エージェントのインストールが成功すると、Splashtop が C:WindowsTemp ディレクトリにダウンロードされ、永続性を維持するために被害者のホストにインストールされます (図 7 および図 8)。
  • ATERA エージェントのインストールが成功すると、ATERA リモート監視および管理機能によって、事前に構成されたスクリプト、Splashtop Streamer などのツールがプッシュダウンされ、被害者のホストにインストールされ、リアルタイムかつ自動化された方法で実行されます。
Splashtop ソフトウェアの自動展開
図 7: Splashtop ソフトウェアの自動展開
  • Splashtop Streamer のインストールが成功すると、ATERA Agent は自身を削除します。 Splashtop Streamer のデフォルト設定は、被害者のホストに接続して永続性を維持するためのセキュリティ認証なしでバックグラウンドで実行される AutoStart に設定されています。
Splashtop ストリーマーのデフォルト設定
図 8: Splashtop Streamer のデフォルト設定
  • スクリプトも ATERA Agent によってプッシュダウンされ、Microsoft Windows Defender の機能を無効にしたり、プロセスとファイルの除外を追加したりするなどの悪意のあるタスクを実行しました (図 9 および図 10)。
Microsoft Windows Defender の機能を無効にする一貫した悪意のあるスクリプト
図 9: Microsoft Windows Defender の機能を無効にする一貫性のある悪意のあるスクリプト
さらにペイロードをダウンロードする悪意のあるスクリプト
図 10: さらなるペイロードをダウンロードする悪意のあるスクリプト

帰属

2021 年 8 月、不満を抱いた CONTI のアフィリエイトが、CONTI ランサムウェアの操作を支援するために使用されるトレーニング ドキュメント、プレイブック、およびツールを漏らしました。 Mandiant は、上記のアクティビティの一部が 8 月に公開されたプレイブックの手法と重複していると判断しました。

現時点では、この情報が公開されているため、他の無関係なアクターが独自の動機と目的でこの手法を複製している可能性があります。これらの被害者は、幅広い業界で活動しているようです。脅威グループの動機は現在のところ不明ですが、ランサムウェア活動につながる一見業界にとらわれないことに基づいて、このグループが金銭的な動機を持っていると思われます。

マネージド ディフェンス 脅威ハンティング

Managed Defense経験豊富な防御者は、世界で最も重大なサイバー攻撃の最前線で得られた Mandiant のグローバルなサイバー脅威インテリジェンスとインシデント対応の経験から常に刺激を受けています。 Managed Defense の脅威ハンティング チームは、最新の脅威インテリジェンスを活用して、最もステルスな脅威アクターを明らかにするためのハント ミッションを設計および実施します。 Mandiant の脅威ハンティングは、強力なデータ分析、自動化、エリート エキスパートを直感と最前線の経験と組み合わせます。マネージド ディフェンス ポータルでハンターの活動をフォローできます。各ミッションは MITRE ATT&CK フレームワークにマッピングされ、関連するインテリジェンスが含まれているため、環境全体で決定的な行動を取ることができます。

テクニカル指標と警告

MD5

1440caafb45e52b0b315c7467fcde11f

2077d8a65c8b08d64123c4ba3f03cbdd

2141919f65ab3ff4eab25e5032e25598

229152f0b00d55796780b00c233bf641

29bc15a6f0ff99084e986c3e6ab1208c

2b16a731a2e4dedfa3db0bf3068614bc

32885d012fa3b50199d7cde9735bcb8a

32cd02c4cd8938645a744b915056d133

3393bd9d04be1ff4e537464e1b79d078

3abbec0420aaf7a9960d9eabc08006d5

3e06c87faede153d4dab5ef1066fe0d7

3ed96f460438e7fddaa48e96c65cb44c

428166c513ed98c72e35fe127a9b5be6

48942b45679b3646000ac2fb6a99e0ed

5376112bebb371cdbe6b2a996fb6dae6

5cae01aea8ed390ce9bec17b6c1237e4

5cae01aea8ed390ce9bec17b6c1237e4

60db9dff2e50e00e937661d2a6950562

67a4f35cae2896e3922f6f4ab5966e2b

67a4f35cae2896e3922f6f4ab5966e2b

6ad4e37221adf3861bfa99a1c1d5faaa

6cd13e6429148e7f076b479664084488

7127cbc56e42fc59a09fd9006dd09daa

7575ecc5ac5ac568054eb36a5c8656c4

849b46e14df68dd687e71c7df8223082

8eb5f0bbd73b5ca32e60deb34e435320

9ed2084c6c01935dc5bb2508357be5a6

9f03ad59cb06b40e6187ef6d22d3b76b

a046e40693a33a1db2aec6d171d352ce

a0b793ff07493951ed392cdc641d3d62

a45c0a83ce2ea52d8edf915b1e169b8f

b4a8b58857649fad1cf8f247a0496c95

b850920c95b694f63aa47fc991396457

b9c9da113335874d0341f0ac1f5e225d

bd20223cb57c55559db81f17ef616070

c02916697ed71e5868d8ea456a4a1871

c08de039a30c3d3e1b1d18a9d353f44c

c12452167e810cde373d7a59d3302370

c9be3451e713382ecf0f7da656cef657

cb1fcc1c0c35cd4e0515b8bf02ba3303

d14b4a96edf70c74afe3d99101daaff8

e33847174fbd2b09abc418c1338fceec

e5decd05056634eace35396a22148bf1

e66ba648666c823433c473e6cfc2e4fc

e6c2dd8956074363e7d6708fb8063001

e6c2dd8956074363e7d6708fb8063001

f535505f337708fbb41cdd0830c6a2d4

ネットワーク インジケータ

c mdadminu[.]com

zoomvideo-s[.]com

クラウドファイルテクノロジー[.]com

commandaadmin[.]com

cloud222[.]com

websekir[.]com

team-viewer[.]サイト

zoomvideo[.]サイト

sweepcakesoffers[.]com

pornofilmspremium[.]com

kdsjdsadas[.]オンライン

bartmaaz[.]com

firsone1[.]オンライン

178.21.11[.]77

193.124.18[.]128

子供

ルール M_Hunting_Downloader_BATLOADER_1

{

メタ:

著者=「マンディアント」

date_created = “2021-10-28”

date_modified = “2021-10-28”

バージョン = “1.0”

description = “BATLOADER サンプルの文字列を検出”

md5 = “6cd13e6429148e7f076b479664084488”

 

文字列:

$s1 = “launch.bat” ascii

$s2 = “バッチ ファイルへの書き込みエラー:” ascii

$s3 = “cmd.exe” ascii

$s4 = “/C” ascii

$s5 = “無効な電子メールを入力しました。Web サイトに登録されている電子メールを入力してください。”アスキー

 

調子:

uint16(0) == 0x5A4D およびファイルサイズ > 4KB およびファイルサイズ < 5MB およびそれらすべて

}

MITRE ATT&CK マッピング

ATT&CK戦術カテゴリ

テクニック

偵察

開いている Web サイト/ドメインの検索 (T1593.002)

  • 検索エンジン (T1593.002)

資源開発

インフラストラクチャの侵害 (T1584)

ステージ機能 (T1608)

  • マルウェアのアップロード (T1608.001)

開発能力 (T1587)

  • マルウェア (T1587.001)

初期アクセス

サプライ チェーン侵害 (T1195)

実行

ユーザー実行 (T1204)

  • 悪意のあるファイル (T1204.002)

コマンドおよびスクリプト インタープリター (T1059)

  • PowerShell (T1059.001)
  • Windows コマンド シェル (T1059.003)
  • Visual Basic (T1059.005)

持続性

ブートまたはログオンの自動開始の実行 (T1547)

  • レジストリ実行キー/スタートアップ フォルダー (T1547.001)

権限昇格

外部リモート サービス (T1133)

防御回避

マスカレード (T1036)

難読化されたファイルまたは情報 (T1027)

ホストでのインジケータの削除 (T1070)

  • ファイルの削除 (T1070.004)

署名付きバイナリ プロキシの実行 (T1218)

  • ムシュタ (T1218.005)
  • Msiexec (T1218.007)

防御力の低下 (T1562)

  • 防御力の低下: ツールの無効化または変更 (T1562.001)

資格情報へのアクセス

ケルベロス チケットを盗むか偽造する: ケルベロスティング (T1558)

発見

システム情報検出 (T1082)

システム ネットワーク構成の検出 (T1016)

コマンドと制御

リモート アクセス ソフトウェア (T1219)

謝辞 

ハンティング ミッションの IOC を作成した Alip Asri 氏に感謝します。また、Ana Maria Martinez Gomez、Tufail Ahmed、Stephen Eckels、Dhanesh Kizhakkinan、Jacob Thompson は、このトピックについて支援してくれました。

参照: https://www.mandiant.com/resources/blog/what-poisoning-batloader-calls

Comments

タイトルとURLをコピーしました