はじめに
Cisco Talos では最近、求職中の米国人、特に退役軍人を狙う攻撃者を発見しました。この攻撃者は Symantec 社によって「Tortoiseshell」と名付けられており、退役軍人の雇用支援を装ったサイト(hxxp://hiremilitaryheroes[.]com)に被害者をおびき寄せています。サイトの URL は、米国商工会議所のもの(https://www.hiringourheroes.org)と酷似しています。偽のサイトはアプリのダウンロードをユーザに求めますが、このアプリは実際のところスパイツールといったマルウェアのダウンローダです。
これは Tortoiseshell による攻撃手口のごく一例です。Talos による以前の追跡調査では、サウジアラビアの IT サービス企業への攻撃でも関与が確認されました。ただし攻撃では従来と同じバックドアが使用されていたことから、Tortoiseshell の戦術、手口、手順(TTP)が大きく変化していないことを示唆しています。
偽の退役軍人転職支援サイト
偽の Web サイト(hxxp://hiremilitaryheroes[.]com/)の表題は「Hire Military Heroes(軍の英雄を雇いましょう)」で、ホームページの背景は映画『父親たちの星条旗』のワンシーンです。
Web サイトは 3 つのリンクのみで構成され、各リンクから「PC 用アプリケーションを無料でダウンロードできる」と装っていますが、これらは偽のインストーラです。一般的なマルウェアのインストーラと異なり、この場合はユーザがインストールを想定しているため、秘密裏にインストールさせる必要がありません。以下の画面がユーザ インターフェイスです。問題があった場合は、「ソフトウェア内のデータベースにアクセスできない」という旨のエラー メッセージを常に表示させます。
進捗バーがほぼ 100% になった瞬間、次のエラー メッセージが表示されます。
インストーラは Google に到達可能かチェックし、到達可能でなればインストールを中止します。到達可能であれば、hxxp://199[.]187[.]208[.]75/MyWS.asmx/GetUpdate?val=UID: から 2 つのバイナリをダウンロードします。
ダウンロードされたバイナリは base64 で保存されます。バイナリの 1 つ目は偵察用のツールで、2 つ目はリモート管理ツールです。RAT はサービスとして実行されます。インストーラーは最初にサービス(-install 引数)をインストールし、引数にコマンド アンド コントロール(C2)サーバの IP を指定してサービスを停止/開始します。
インストール中にエラーが発生すると、電子メールが攻撃者に送信されます。資格情報はサンプルにハードコードされています。電子メール アカウントは ericaclayton2020@gmail[.]com で、エラーに関する電子メールは marinaparks108@gmail[.]com に送信されます。ルです。RAT はサービスとして実行されます。インストーラーは最初にサービス(-install 引数)をインストールし、引数にコマンド アンド コントロール(C2)サーバの IP を指定してサービスを停止/開始します。
偵察フェーズ
ダウンロードされた偵察ツールの内部名は Liderc ですが、システム上で「bird.exe」という名前が付けられます。Liderc はハンガリーの民話に登場する妖怪です。妖怪の原形はニワトリであり、ダウンロードされた偵察ツールの名前「Bird.exe」とも重なっています。
偵察ツールの目的は、被害者のマシンで多くの情報を収集することです。
偵察ツールは、日付、時刻、ドライバなどの情報を収集しています。次に、システム、更新プログラムの適用状況、プロセッサ数、ネットワーク構成、ハードウェア、ファームウェア バージョン、ドメイン コントローラー、管理者の名前、アカウントのリストなどの情報も収集されます。こうした大量の情報により、攻撃者は次の攻撃に向けて準備を整えることができます。WMI を使用して画面のサイズも把握しています。システムがサンドボックスであるかどうかを確認するための仕掛けだと考えられます。
これらの情報はすべて、同じ電子メール アドレスから送信されます。
リモート アクセス ツール
今回の手口では、システムに「IvizTech」という名前の RAT も展開されます。RAT のコードと機能は Symantec 社の報告内容と似ています。IP はサービスの引数として入力されます。RAT 単体では C2 に到達できませんが、インストーラを使えば可能であり、攻撃者の狙いもそこにありました。C2 に到達できればマルウェアにモジュールを追加できるうえ、C2 を更新しても再コンパイルする必要がなくなります。インストーラを使用すれば、C2 にアクセスしてマルウェアを分析しようとする研究者を阻むのにも役立ちます。
マルウェアには次の 4 つの機能があります。
- kill_me:サービスを停止させ、マルウェアを削除します。
- アップロード:インターネット上のファイルをダウンロードします。
- 解凍:PowerShell によりシステム上のコードを解凍して実行します。
- コマンドの実行
まとめ
雇用支援サイトを装った今回の攻撃は、Tortoiseshell の手口が大きく変化したことを表しています。今回の手口には、大勢が騙される可能性があります。米国人は退役軍人への支援に熱心だからです。つまり、退役軍人を支援する一環としてユーザが SNS でリンクを拡散させ、そこから大量のトラフィックが流れる可能性が高いのです。
記事の執筆時点では、攻撃者がリンクを拡散させている方法について Talos で把握できておらず、実際に被害が出ているかどうかも判明していません。今回の攻撃では資格情報をハードコードするなど、.NET バイナリの OpSec 対策が貧弱であり、洗練度が高いとは言えません。ただし、マルウェアをモジュール化し、被害者のシステム上で実行済みか確認するなどの、より高度な手口も使われています。マルウェアでは要素ごとに洗練度に差があるため、担当する人物が各要素で分かれている可能性も考えられます。
カバレッジ
SNORT® などの侵入防御システムは、各コマンドの末尾にある特定のシグニチャによって、Tortoiseshell のアクティビティを効果的に検出できます。侵入防御システムに加えて、Cisco AMP for Endpoints などのエンドポイントの検出および対応ツール(EDR)を使用することをお勧めします。これにより、プロセスの呼び出しを追跡し、プロセスを検査できます。こちらから AMP を無料でお試しいただけます。
他にも、以下の製品により今回の脅威を検出してブロックできます。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
特定の環境および脅威データに対する追加の保護は、Firepower Management Center から入手できます。
オープン ソースの SNORTⓇ サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
IOC(侵入の痕跡)
ネットワーク
hxxp://199[.]187[.]208[.]75/MyWS.asmx/GetUpdate?val=H7ddew3rfJid97fer374887sdnJDgsdte
hxxp://66[.]42[.]78[.]193/response/
hxxp://66[.]42[.]78[.]193/statement/
hxxp://hiremilitaryheroes[.]com/
サンプル
インストーラ:
c121f97a43f4613d0a29f31ef2e307337fa0f6d4f4eee651ee4f41a3df24b6b5
2a9589538c563c006eaf4f9217a192e8a34a1b371a31c61330ce2b396b67fd10
55b0708fed0684ce8fd038d4701cc321fe7b81def7f1b523acc46b6f9774cb7b
偵察用 Portable Executable(PE):
ec71068481c29571122b2f6db1f8dc3b08d919a7f710f4829a07fb4195b52fac
RAT:
51d186c16cc609ddb67bd4f3ecd09ef3566cb04894f0496f7b01f356ae260424
今回の攻撃者に関連する他の IOC
41db45b0c51b98713bc526452eef26074d034b2c9ec159b44528ad4735d14f4a
78e1f53730ae265a7eb00b65fbb1304bbe4328ee5b7f7ac51799f19584b8b9d4
46873290f58c25845b21ce7e560eae1b1d89000e887c2ff2976d931672390dd8
f31b5e14314388903a32eaa68357b8a5d07cbe6731b0bd97d2ee33ac67ea8817
f1c05ff306e941322a38fffb21dfdb5f81c42a00a118217b9d4e9807743d7275
1848f51d946fa8b348db8ef945a1ebff33ff76803ad26dfd175d9ea2aa56c7d0
ed150d9f6e12b6d669bcede3b7dc2026b7161f875edf26c93296e8c6e99152d5
2682328bde4c91637e88201eda5f5c400a3b3c0bdb87438d35660494feff55cf
e82a08f1514ccf38b3ae6b79e67d7605cb20b8377206fbdc44ddadfb06ae4d0d
185[.]43[.]108[.]134
162[.]220[.]55[.]249
Spreadme[.]international
「You rock」インストーラのスニペット:
本稿は 2019年9月24日に Talos Group のブログに投稿された「How Tortoiseshell created a fake veteran hiring website to host malware?」の抄訳です。