サマリー
Cisco Talos は最近、悪意のあるファイルを大量にホストする新しいサーバを発見しました。ファイルを分析すると、これらのファイルを利用する攻撃者は、被害者のインフラに対して高いレベルのアクセス権を取得できていたことがわかりました。分析結果から攻撃のターゲットをいくつか特定でき、その中には米国の製造会社も 1 社含まれていました。Talos が特定した被害者には、攻撃に関して通知してあります。
先述のサーバでは、DopplePaymer のようなランサムウェアから、TinyPOS のようなクレジットカード情報を取得するマルウェアに至るまで、さまざまな悪意のあるファイルが確認されました。また、コマンドアンドコントロール(C2)から直接配信されたコードを実行するローダーもありました。
サーバで確認されたデータを分析すると、同じインフラを使用しながら異なる組織や個人を標的にする手口を読み取れます。今回の分析結果は、豊富なリソースを備えた大規模なインフラがさまざまな攻撃で共有されていることを示しています。
ターゲットのプロファイル
分析した際に、スクリーンショットとメモリダンプから少なくとも 2 つのターゲットを特定しました。
ターゲット 1:スクリーンショットから特定
特定できた最初のターゲットは、米国にあるアルミニウムおよびステンレスの格子メーカー(HPE Data Protector Manager のスクリーンショットから特定)です。下のスクリーンショットにはドメイン名(Talos で黒塗り)が表示されており、そこから会社名を特定できたのです。スクリーンショットから、被害者のインフラに対する攻撃者のアクセスレベルがわかります。
HPE Data Protector Manager のスクリーンショット
このスクリーンショットには、攻撃者にとって重要な情報が含まれています。どのサーバがバックアップされ、どのサーバが被害者にとって重要かがわかります。
サーバ上のランサムウェアも併せて考慮すると、被害者のインフラにランサムウェアを導入する目的を推測できます。つまり、これは単なるマルウェア攻撃ではなく、より高度な手動の標的型攻撃だと言えます。
ターゲット 2:LSASS ダンプから特定
サーバ上で確認されたプロセスダンプから、2 番目のターゲットを特定しました。ダンプされたプロセスは、Windows でクレデンシャルを管理しています(lsass.exe)。Mimikatz などのツールを使用すれば、プロセスダンプからクレデンシャルを取得できます。
ダンプの内容から、システムのホスト名と Windows ドメイン、および「support」というユーザ名を取得できました。プロセスダンプを実行するために、攻撃者はシステムに対して高い権限を持っていました。そのため、攻撃者はネットワークを水平方向に移動できます。これは、このターゲットに絞った手動の標的型アプローチであることを示しています。
ダンプは、メモリダンプに保存されているログイン時刻と同じ日付の 9 月 24 日にサーバにアップロードされています。
サンプル
DopplePaymer サンプル
サーバで使用可能な Windows バイナリの大部分は、DopplePaymer サンプルです。このマルウェアは、Crowdstrike
に記載されている Bitpaymer が進化したランサムウェアです。Talos では、7 つの異なるバイナリを特定しました。最も古いものは 10 月 5 日にアップロードされており、最も新しいものは、10 月 20 日から発生しています。以前記載したように、ランサムウェアは、引数にキーを指定して実行する必要があり、Talos は、この攻撃者が引数にキーを指定した方法を特定しました。WinRAR の自己解凍アーカイブ(SFX)を使用してランサムウェアを抽出し、次のコマンドを実行します。
| Path=C:\Users\–redacted–\DesktopSetup=C:\Users\–redacted–\Desktop\p1q135no.exe QWD5MRg95gUEfGVSvUGBY84h |
この例のキーは「QWD5MRg95gUEfGVSvUGBY84h」です。ハードコードされたパスから、攻撃者はターゲットのインフラについて予め把握していたか、あるいはターゲットのインフラ内でパッケージを準備していたことがわかります。
この亜種は、別のデータストリームを使用してデータを部分的に隠蔽します。
それ以外の振る舞いと身代金に関する表示内容は、以前に記載した亜種と一致しています。
TinyPOS サンプル
同じサーバで TinyPOS サンプルも見つかりました。このマルウェアは、バッチファイルを使用してインストールされます。
バッチファイルは、6 時間ごとに Local System として実行されるようにスケジュールされたタスクを作成します。
スクリプトによって、次のようなスケジュールされたタスクが展開されます。
PowerShell には TinyPOS コードが含まれています。このコードは、16 進数の値で書かれたバイトの配列として定義されています。PowerShell スクリプトは、事前にメモリにコピーされた TinyPOS を使用して脅威の実行ファイルを作成します。
TinyPOS は、アセンブリで直接開発された POS マルウェアです。このサンプルでは、ハードコードされた C2(jduuyerm[.]website)にデータが漏洩されます。
ハードコードされたキー(0xcaef3d8a)を使用して XOR 演算を実行することで、送信されるデータが難読化されます。マルウェアは、感染したシステムのホスト名とローカル IP を抽出します。ターゲットのプロセスメモリを検索して解析し、クレジットカード情報を取得します。カード情報は通常、クレジットカードの磁気ストライプのトラック 1 および 2 に格納されています。
攻撃者は 9 月 26 日に tinyPOS をアップロードしています。
SVCHOST サンプル
このサンプルはシンプルなローダーです。ローダーコードは圧縮され、XOR 演算で難読化されます。このサンプルは、オフセット自体をロードし、オフセットの先頭がパターン 0x90909090 に一致するまで XOR 演算を実行します。
パターンに一致したら、XOR キーと一致するパターンが見つかるまで繰り返した回数を基に復号を開始します。
圧縮されたコードは、winsock32 モジュール関数、connect ()、send ()、recv () などの複数の関数をインポートします。これらの関数を使用することで、0x0C バイトで始まるハードコードされた C2 送信メッセージと連携します。
その後ローダーは、すべてのデータを読み取るまで、サーバから 1024 バイトずつ読み取ります。受信したデータには、12 バイトのヘッダーが含まれています。メッセージは、XOR 演算によって難読化されます。この XOR 演算に利用するキーは、メッセージの 0x4 オフセットに設定されています。サンプルは、受信したコードを呼び出す前に、難読化されたコードの最後のバイトが 0xC3 かどうかを確認します。これはオペコード RET を表しています。このコードによりローダーは、C2 から受信したペイロードから実行制御を取得することができます。
その他のバイナリ
サーバ上でその他のバイナリも特定しています。以下のツールは、侵害されたインフラ内でタスクを実行するために攻撃者が使用しているものです。以下が特定したツールです。
- Mimikatz:メモリから Windows クレデンシャルを取得するためのツール
- PsExec:Windows システムでリモート接続するためのツール。攻撃者はおそらく、事前に取得したクレデンシャルを使用してインフラに侵入するためにこのツールを使用しています。
- Procdump:プロセスをダンプするためのツール。攻撃者はこのツールを使用してexe プロセスをダンプし、Mimikatz で利用したと思われます。
想定される感染ベクトル
偽のテクニカルサポート
TinyPOS C2 サーバは jduuyerm[.]website で、IP は、185.254.188 [.]11 です。
IP は次のドメインに対して解決されました。
- techsupport[.]org[.]ru(2019 年 3 月 21 日~ 2019 年 10 月 7 日)
- techsupport[.]org[.]ru(2019 年 5 月 19 日~ 2019 年 10 月 1 日)
- techsupportlap[.]icu(2019 年 3 月 13 日~ 2019 年 4 月 2 日)
- techsupportnet[.]icu(2019 年 3 月 12 日~ 2019 年 4 月 1 日)
今回の投稿で説明したキャンペーン中、2 つのドメインが使用できる状態でした。攻撃者は、インフラストラクチャを侵害するために、テクニカルサポートを偽装することを企てていた可能性があります。従業員に特定のコマンドを実行させたり、攻撃者が用意したマルウェアをダウンロードさせたりすることで侵害しようとしていたと思われます。
VPN アクセス
2019 年 4 月 16 日~ 2019 年 8 月 18 日の期間、IP は aefawexxr54xrtrt[.]softether[.]net に対して解決されていました。SoftEther は、ダイナミック DNS サービスなどの多くの機能を提供する強力な VPN プラットフォームで、この IP アドレスから、攻撃者が検出を回避できた可能性があります。SoftEther は、HTTPS ベースのトラフィックのみを使用しているため、ほとんどのファイアウォールを通過して攻撃できます。スクリーンショットで検出できるソフトウェアは確認できませんでした。理論的には、攻撃者が自分のサーバに対して VPN をオープンすることができれば、間にあるすべてのファイアウォールをバイパスして、システムに RDP 接続できます。Softether は、そのために最適なソリューションだと思われます。
Softether の説明には、次のような VPN だと記載されています。「SoftEther は、どんなファイアウォールでも通過できます。 組み込みの NAT トラバーサル機能によって、ネットワーク管理者が過剰な保護設定をした面倒なファイアウォールを通過できます。社内のファイアウォールまたは NAT の背後に独自の VPN サーバをセットアップし、ファイアウォール設定を変更することなく、自宅またはモバイル環境から企業のプライベートネットワーク内の VPN サーバにアクセスできます。ディープパケット インスペクション ファイアウォールでも、SoftEther VPN が VPN トンネルで伝送するパケットを検出することはできません。SoftEther VPN は、Ethernet パケットを HTTPS パケットに「偽装」して伝送できるからです」(引用された原文を基に翻訳)
まとめ
このサーバは、さまざまな企業を標的にして侵害しているアクティブな攻撃者を覆い隠します。サーバで利用可能なファイルの大部分をランサムウェアが占めてはいますが、攻撃はランサムウェアだけに限りません。攻撃者は、POS マルウェアを利用してクレジットカード情報を盗み、侵害されたインフラをリモートから管理できます。今回の被害者から、攻撃者は、産業分野における中規模の企業を標的にしていると考えています。Talos では、被害を受けた可能性のある企業が脅威を排除できるよう、必要な通知を送っています。今回の事例は、攻撃者がいかに多様な方法でインフラやさまざまなツール、手法、手順(TTP)を使用するかを示すよい例です。
IOC(侵入の痕跡)
ネットワーク
Jduuyerm[.]website
185.254.188[.]11.
techsupport[.]org[.]ru
www.techsupport[.]org[.]ru
techsupportlap[.]icu
techsupportnet[.]icu
185.212.128[.]189
aefawexxr54xrtrt[.]softether[.]net
サンプル
d4be15adbbe135d172d5e0afcd191ae740df22de5d3beac98e188a3cf01a036b WSDB.bat
a78bacb79d5d229aa8d6c574d1d8386664918a520beebc655975b04a61da1308 WSDB.ps1
e410b949d128ffb513af037355fe777b5b40799001a312843e405070308a3f36 WSDB.xml
3de852ed3bd3579cd9875108e121ba6fd68a66f8f6948cce072e8013ad1955ea c32_217061.exe
fa7c7db9d33e1f4193bfe460d1a61096d75315212042a62bb3a30b3077511610 c64_217061.exe
0273d96cef6683e3fb205b8e841579b44bae16ff1e3ab57647b1a9d2947db5c7 file.exe
bc919680471fd1b631e80c37e83aeb6877f13f4ed47ae22100cf4d60e27a93a4 mimikatz.exe
b9a8710e55bb2d55bbeed9cebb83ac2f18f78818f0c05f18c96f766c8c47e2d9 no135.exe
f658ddcf8e87de957a81bb92d44ce02913b427e8bccbe663669ee2613d355555 p1q135no.sfx.exe
16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5 procdump64.exe
89f8af1eb52f31b011982d7a1ecc1eed25af6c14bf5f317568a3450db5db7247 q108.exe
dcb76dc106e586c6f8bfa82832a66f525a9addb5450912004e92dd578ff2a60a q121k.exe
04d0824f70be3666d79b2a49b85cf6b60b566d7b8cc9efd31195644514fb0cb1 q135.exe
08499612bcf7ccb250438ce8f6eed616511e27c762d66132fef93296007984ac q137k.exe
0273d96cef6683e3fb205b8e841579b44bae16ff1e3ab57647b1a9d2947db5c7 svchost.exe
619f0c489beac9a792b9b42fa6529b3faf4329692fb52d17123ef69733868845 zap32.exe
98a4f69eff1f91f63fb74420ee4c16be508aa203d04f66e98b1dcb554def61ee zap64.exe
b1e883222f3205db59ff812c6f6097291df12b1784c9e64eef674ab3a173c07a q159.exe
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
特定の環境および脅威データに対する追加の保護は、Firepower Management Center から入手できます。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
本稿は 2019年11月4日に Talos Group
Authors