Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

軍事関連文書を装った Office ドキュメントで標的を誘い込み Cobalt Strike を仕掛ける IndigoDrop が拡散中


2020年7月3日

 

  • Cisco Talos は長年にわたり、軍事関連文書を装った不正な Microsoft Office ドキュメント(Maldoc)を使うマルウェア攻撃の動向を観察し続けてきました。攻撃の狙いは、本格的な RAT を備えた Cobalt Strike ビーコンの拡散にあります。
  • 問題の Maldoc を開いたエンドポイントでは悪意のあるマクロが実行され、高度にモジュール化されたマルウェアへの感染が段階的に進行します。
  • 攻撃の標的は、南アジア諸国の軍組織および政府機関であると考えられます。
  • ネットワークベースの検出技術も重要ですが、今回のような脅威に備えるには、エンドポイント保護と組み合わせて複数のセキュリティレイヤを実装することが不可欠です。

最新情報

Cisco Talos が最近発見した攻撃は、標的となるエンドポイントを段階的に感染させる手段として、カスタマイズされた Cobalt Strikepopup_icon ビーコンを使っています。攻撃に利用されている不正文書(Maldoc)のテーマが軍事であることから推測すると、標的になっているのは南アジア諸国の軍組織および政府機関であると考えられます。

仕組み

攻撃には高度にモジュール化されたドロッパ型の実行可能ファイルが使われています。Maldoc を使用して被害者のエンドポイントにマルウェアを投下することから、Talos ではこの実行可能ファイルを「IndigoDrop」と呼んでいます。IndigoDrop の役割はダウンロード URL から最終的なペイロードを取得して展開することです。現在までに Talos が特定している最終的なペイロードは Cobalt Strike ビーコンです。

本稿では、以下のトピックを含め、このキャンペーンで使われている Maldoc、IndigoDrop、Cobalt Strike ビーコンの中心的機能について説明します。

  • Maldoc をベースとした連鎖的感染プロセス
  • IndigoDrop の機能
  • 感染の原因となるアーティファクトのダウンロードに利用される通信のメカニズムとインフラストラクチャ
  • Cobalt Strike ビーコンの設定の詳細

詳細

攻撃者は次の方法で標的に攻撃を仕掛けます。

  • 本物の文書に見せかけた不正文書で標的を誘い込み、マルウェアに感染させる。
  • IndigoDrop を通じ、高度にモジュール化された連鎖的感染プロセスを使用して、最終的なペイロードをインストルメント化する。
  • 既存の攻撃フレームワーク(Cobalt Strike)を利用して制御を奪い、標的のネットワークに常駐する。既存のフレームワークを利用しているため、攻撃者は独自のリモートアクセス型トロイの木馬(RAT)を開発する必要がありません。

最近発見された連鎖的攻撃プロセスのバリエーションを分析してみると、脅威が徐々に進化していることがわかります。進化の過程をたどっていくと、攻撃者が、検出を逃れて攻撃を継続するために、次々と新しい戦術や手法を取り入れていることがわかります。こうした動向を鑑みても、ネットワークベースの脅威検出だけでなく、システム動作分析やエンドポイント保護も組み合わせてセキュリティを重層化することが不可欠です。

Maldoc の分析

攻撃では、悪意のあるマクロを配信し、標的のエンドポイントで実行する方法として、次の 2 つの手法が使われています。

  • 悪意のあるマクロを最初から実行可能な状態でドキュメントに埋め込む
  • 外部にリンクされたテンプレートの一部として悪意のあるマクロをダウンロードし、元の Maldoc に差し込む

標的の誘い込みに使用される Maldoc

攻撃には政府機関または軍組織の内部文書を装った Maldoc が使用されます。たとえば、Talos が発見した Maldoc の一部は、インド空軍(IAF)の IT インフラの保護手順を記載したインシデント アクション プラン(IAP)文書を装っています。

Talos が発見した Maldoc には次のような名前が付けられています。

  • doc:悪意のあるマクロが最初から埋め込まれています。
  • docx:テンプレートを介して悪意のあるマクロが後から差し込まれます。

標的の誘い込みに使用される Maldoc の内容の例:


偽文書だけでなく本物の文書のコピーに悪意のあるマクロを組み込むケースも

Maldoc を使った標的特化型攻撃では、数ページ程度のおとりコンテンツが使用されるのが一般的ですが、この攻撃で使われている文書には、本物の軍事関連文章が約 64 ページ(15,000 語)分も流用されているため、真偽の見極めがかなり難しくなっています。また、Maldoc とまったく同じ内容を含む本物の文書も見つかっていることから、攻撃者は Web から本物の文書を入手し、RAT を仕込んで標的に配布している可能性が高いと考えられます

(本物の文書のハッシュ:0d16b15972d3d0f8a1481db4e2413a2c519e8ac49cd2bf3fca02cfa3ff0be532)。

悪意のある VBA の分析

本セクションでは、攻撃の実行に使用される悪意のあるマクロの分析結果について説明します。マクロには次の 2 種類があります。

  • Maldoc に直接埋め込まれた悪意のあるマクロ
  • 外部からダウンロードされて Maldoc に差し込まれる悪意のあるマクロ

これらのマクロは、次のようなアクティビティを実行します。

  1. Windows 実行可能ファイルにハードコーディングされたバイトを解析し、ディスク上のファイルに書き込めるバイトに変換する。
  2. 解析したバイトを実行可能ファイルに書き込み、次のように、現在ログインしているユーザの Startup ディレクトリに配置する。
    %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\anything.exe
  3. 悪意のある実行可能ファイル(第 2 ステージのペイロードになる IndigoDrop)をユーザの Startup ディレクトリに書き込んだ後、第 2 ステージのペイロードを実行せずにマクロの実行を終了する。
  4. 感染したエンドポイントでは、ユーザがログインし直すかシステムを再起動するまで第 2 ステージのペイロードは実行されません。
  5. 第 2 ステージのペイロードは、さまざまなタスクを実行するカスタムのドロッパ(IndigoDrop)です。

悪意のあるマクロのコード:

 

Maldoc の配信

本稿で公開している Maldoc の 1 つは、(2020 年 1 月 23 日に作成された)bit.ly の短縮 URL(hxxp://bit[.]ly/iaf-guidelines)で参照されています。この URL にアクセスすると、hxxp://tecbeck[.]com/IAP39031[.]docx にリダイレクトされます。

攻撃者は Maldoc をパブリックサーバに置くことが多く、スピアフィッシングメールを使って直接リンクまたは bit.ly リンクを標的に配信します。これは、メール添付ファイル内のマルウェアをスキャンするシステムによって検出されるのを回避するための措置と考えられます。

ステージ 2:ドロッパのバイナリ(IndigoDrop)

Maldoc によってディスクにドロップされる第 2 ステージのバイナリ「IndigoDrop」(Talos が命名)は、悪意のあるドロッパ(ローダ)です。カスタマイズされた Cobalt Strike ビーコン(最終的なペイロードとなる DLL)を外部からダウンロードして実行する役割を担っています。

詳細な分析に入る前に、IndigoDrop の動作の主な特徴をいくつか紹介しておきましょう。

  • 高度にモジュール化された構造:一般に IndigoDrop には 3 つのロケーションがハードコーディングされています。後続のペイロードをダウンロードして起動するために使われます。
  • この攻撃に使われる IndigoDrop では、攻撃者が運用するリモートロケーションと、pastebin[.]com などのパブリック データ ホスティング プラットフォームの両方が後続ステージのペイロードをホストするために使用されます。通常は、それらのリモートロケーションから最終的なペイロードがダウンロードされます(他の亜種も同様と考えられます)。
  • 今回発見された攻撃では、ハードコーディングされたリモートロケーションから Metasploit シェルがダウンロードされていました。本稿では、この Metasploit シェルコードを「ステージ 2A」と呼んでいます(詳細は後述)。ステージ 2A は、ダウンロード元の場所では Base64 エンコード形式の文字列としてホストされています。エンドポイントで IndigoDrop が実行されるタイミングで Base64 からデコードされて 16 進数に変換されます。

Base64 でエンコードされた Metasploit シェルコード:

Base64 からデコードされた Metasploit シェルコード:

IndigoDrop の分析

ドロッパはエンドポイントで次のアクションを実行します。

  • レジストリの Run キーを使用してエンドポイントに常駐する。
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run | iexplorer = cmd /c <file_path_of_Dropper> /onboot -hide
    例:
  • ステージ 2A の Metasploit シェルコードをダウンロードして実行する。
  • 感染対策チェック:現在のユーザ名、コンピュータ名、親フォルダ名、MAC アドレス、パブリック IP アドレスを、ブロックされている値のリストと比較して照合する。一致する値が見つかると、IndigoDrop は終了します(ブロックされている値については「IOC」セクションのリストをご覧ください)。

ステージ 2A:Metasploit(MSF)ダウンローダシェルコード

Metasploit シェルコードは、指定されたダウンロード元から悪意のあるファイルをダウンロードするために使われる、修正版のリバース HTTP ステージャです。多くの場合、シェルコード(ステージ 2A)は、pastebin[.]com などのパブリック ホスティング サイトに配置されています。

悪意のあるダウンロードファイルは通常、トロイの木馬が組み込まれた jquery[.]min.js ファイルです。この jQuery ファイルには、次のコードが含まれています。

  • ファイルの先頭と末尾にある正規の JavaScript(JS)コード
  • ファイル内の特定のオフセットに埋め込まれたさらに別のシェルコード(ステージ 3A)

Metasploit HTTP ステージャは、次のアクションを以下の順序どおりに実行します。

  1. 攻撃者が制御する、悪意のある IP アドレスに接続する。
  2. 悪意のあるファイル「jquery-3.3.0.min[.]js」を実行可能ファイルのメモリロケーションにダウンロードする。
  3. jQuery ファイルに埋め込まれた悪意のあるシェルコードにジャンプして、ステージ 3A の実行を開始する。

悪意のある jQuery ファイル:

jQuery ファイルを実行可能ファイルのメモリにダウンロードして、指定されたオフセットにジャンプするステージ 2A の Metasploit シェルコード:

ステージ 3A:デコーダシェルコード

悪意のある jQuery ファイルには、デコーダシェルコード(ステージ 3A)と最終的な Cobalt Strike ビーコン DLL が含まれています。ただし、ビーコン DLL は XOR でエンコードされています。デコーダシェルコードは、ドロッパプロセスのメモリ内で最終的なペイロードをデコードして実行する役割を担っています。

最終的な RAT ペイロードをデコードするデコーダシェルコード:

ステージ 3B:Cobalt Strike ビーコン

最終的な RAT ペイロードは、実際には Cobalt Strike ビーコンです。デコーダシェルコード(ステージ 3A)はビーコン DLL をデコードした後、DllEntryPoint ではなく、メモリ内の MZ の先頭にジャンプします。ローダルーチン(およびエクスポートされるサブルーチン)のアドレスを計算し、そこにジャンプすることが目的です。ローダルーチンは、ドロッパプロセスのメモリ内で Cobalt Strike ビーコン DLL の反射型 DLL 読み込みを実行します。

反射型ローダのアドレスを計算してジャンプする、ビーコンのベースイメージ以降のコード(ebx コールを使用):

ローダルーチンはメモリ内で DLL のセットアップ(インポートの再構築やベースリロケーションなど)を完了すると、ビーコンの DllEntryPoint(または DllMain)にジャンプし、最も重要な感染の最終ステージ(ビーコンの実際の RAT コンポーネント)を実行します。

実際に使用されている設定

Cobalt Strike ビーコンは、フレームワークの「.profile」ファイルで指定されている設定popup_iconを使用します。設定では悪意のあるペイロード(ビーコンバイナリ)の以下のような特性が記述されています。

  • C2 設定
  • 通信プロトコル
  • プロセスインジェクションの方法など

ビーコンバイナリによる攻撃では、正規の jQuery 要求を装ったプロファイルが使用されます。この攻撃で最も多く見られる設定は、次のとおりです。

  • ビーコンタイプ:HTTP
  • CnC URL リソースの場所:/jquery-3.3.1.min.js
  • HTTP Post の場所:/jquery-3.3.2.min.js
  • ユーザエージェント:Mozilla/5.0(Windows NT 10.0; Win64; x64)、AppleWebKit/537.36(Gecko などの KHTML)、Chrome/74.0.3729.157、Safari/537.36
  • HTTP Get メタデータ:
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Host: code.jquery.com
    Referer: http://code.jquery.com/
    Accept-Encoding: gzip, deflate
    __cfduid=
    Cookie
  • HTTP Post メタデータ:
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Host: code.jquery.com
    Referer: http://code.jquery.com/
    Accept-Encoding: gzip, deflate
    __cfduid
  • アイドル DNS IP:74[.]125.196.113 (google[.]com)
  • 生成されるプロセス:
    ◦ %windir%\syswow64\dllhost.exe
    ◦ %windir%\sysnative\dllhost.exe
  • プロセスインジェクションの設定:
    ◦ ntdll:RtlUserThreadStart
    ◦ CreateThread
    ◦ NtQueueApcThread-s
    ◦ CreateRemoteThread
    ◦ RtlCreateUserThread

機能

攻撃に使用される Cobalt Strike ビーコンはさまざまな機能(コマンド)をサポートしています。以下に例を挙げます。

  • インジェクションを通じ、標的のプロセスで任意のコードを実行する
  • 感染したエンドポイントで任意のコマンドを実行する
  • ファイルをダウンロード・アップロードする
  • 他のユーザになりすます
  • ファイルの列挙・コピー・削除・タイムスタンプ改ざんを行う
  • Windows レジストリを変更・検索する
  • 順応性のある jQuery CnC プロファイルを使用して正規のトラフィックを偽装する

感染は以下の連鎖的プロセスに沿って進行します。

Pastebin の使用:

この攻撃では、Metasploit ダウンローダシェルコード(ステージ 2A)のホスト場所として pastebin[.]com が極めて頻繁に利用されます。Pastebin でホストされるシェルコードは、ゲストアカウントで作成されたコードか、以下のアカウントを含む 5 つの登録済みアカウントによって所有されているコードのいずれかです。

  • hxxps://pastebin[.]com/u/r_ajeevshikra
  • hxxps://pastebin[.]com/u/ra_jeevshikra
  • hxxps://pastebin[.]com/u/raj_eevshikra
  • hxxps://pastebin[.]com/u/raje_evshikra
  • hxxps://pastebin[.]com/u/rajeev_shikra

攻撃者が運用する Pastebin アカウント:

Pastebin でホストされている、Base64 形式でエンコードされた Metasploit ダウンローダシェルコード(ステージ 2A):

Python コンポーネント

この脅威では、Python ベースのモジュール(pyinstaller 実行可能ファイル)も発見されています。これらのモジュールは別のキャンペーンで使用されていたか、この攻撃を通じて Cobalt Strike ビーコンにより展開されたものと考えられます。Talos が発見した 2 つの Python モジュールには次の機能があります。

  • システムの初期情報を収集して C2 サーバに送信する
  • 感染したシステムからログイン情報を抽出してコンソールに出力する

Python モジュールのシステム情報収集機能:

もう 1 つの Python モジュールは、以下のログイン情報をエンドポイントから盗み出していました。

  • Google Chrome
  • Microsoft Edge
  • Opera
  • Mozilla Firefox
  • Wi-Fi ログイン情報

攻撃に使用されるログイン情報窃盗モジュール(一部を抜粋):

攻撃の進化

Metasploit シェルコードをインストルメント化した後に最終的なペイロード(Cobalt Strike ビーコン)を実行するケースが複数の亜種で確認されています。

本セクションでは、攻撃の進化と、その過程で追加・変更された機能について説明します。

4 月(2018 年):ドロッパを使わない最初の亜種

最初に発見された亜種では、まだドロッパは使われていませんでした。脅威は、悪意のあるマクロを組み込んだ Maldoc により開始されます。ディスクにドロップされるペイロードは「.crt」ファイルです。悪意のあるマクロが「certutil」を使用して .crt ファイルをデコードし、後続ステージのペイロードとなるバイナリ(実行可能ファイル)を取得して、標的のエンドポイント上で実行します。

マクロが実行するペイロードは、ドロッパではありません。最初期の亜種は、中間段階のドロッパにより最終段階のビーコンをエンドポイントにダウンロードして実行するという流れをたどりません。

悪意のあるマクロがエンドポイント上でデコードして実行するバイナリは、SMB ベースの単純な Cobalt Strike ビーコンです。2019 年 9 月ごろまで Maldoc から同じ SMB ビーコンが見つかっています

2019 年 5 月:Cobalt Strike マクロ

2019 年 5 月ごろ、攻撃者は 、Cobalt Strike によって生成される VBA マクロベースのステージャのテストを開始します。連鎖的攻撃プロセスは、マクロを埋め込んだ Maldoc により開始されます。マクロには、ハードコーディングされた MSF ダウンローダシェルコード(ステージ 2A)を通常の 32 ビットプロセスに挿入するコードが含まれています。

rundll32.exe にシェルコードを挿入するマクロコードは、ローカル チーム サーバ 192[.]168.146.137/eKYS と通信して感染テストを実行します。

2019 年 9 月:テストサンプルと埋め込み MSF シェルコード

2019 年 9 月、攻撃者は、次段階(ステージ 2A)の新しいモジュールを組み込んだカスタムドロッパの実験・テストを開始します。新しいモジュールは Metasploit ダウンローダシェルコードです。シェルコードはテストサンプルに埋め込まれ、ローカル IP アドレスに接続して第 3 ステージのペイロード(ステージ 3x)をダウンロードします。この時期に発見されたドロッパが最初に発見された IndigoDrop の亜種です。

ドロッパ内でローカル IP に接続する Metasploit ダウンローダ:

 

9 月2019 年 9 月:サンプルと埋め込み MSF シェルコードが本格稼働

2019 年 9 月には IndigoDrop 攻撃の構造が定まり、IndigoDrop の拡散が始まりました。ドロッパは初期のテストサンプルをベースとしています(2019 年 9 月にも新しいテストサンプルが作成されています)。また、MSF ダウンローダシェルコードも同様に埋め込まれています。この段階からドロッパの仕様が変更され、攻撃者の運用するパブリック IP に接続して第 3 ステージのペイロードがダウンロードされるようになります。

2019 年 9 月:MSF シェルコードから Python ダウンローダに移行

2019 年 9 月の終わりごろから攻撃者の感染戦術が変わり、Python に加えて実行可能ファイルベースのダウンローダ/ドロッパが使われ始めます。

当時のドロッパは次の特徴を持つマルチステージドロッパでした。

  • 実際のドロッパは悪意のある実行可能ファイルです。
  • 埋め込み DLL を抽出してディスクにドロップします。
  • その後、exe を使用して DLL を有効化します。
  • DLL の役割は、攻撃者の運用するサーバから第 3 ステージのペイロードをダウンロードして実行することです。
  • DLL はdll ライブラリを使用して最小限の Python コードを実行します。

以前のドロッパでは埋め込み型の MSF シェルコードが使用されていましたが、この時点のドロッパでは、攻撃者が制御または運用するサーバでシェルコードがホストされています。

Python ライブラリによって実行されるダウンローダの Python コード:

Base64 からデコードされた Python コード:

10 月2019 年://Pastebin の導入

2019 年 10 月には、MSF ダウンローダシェルコード(ステージ 2A)が pastebin[.]com でホストされるようになります。同時期に作成された IndigoDrop サンプルでは、レジストリと Windows の Startup フォルダを使用して別の感染コンポーネント(通常は「%userprofile%\AppData\Local\Microsoft\svchost.exe」)を常駐させる機能が追加されています。

Pastebin から MSF シェルコードをダウンロードする IndigoDrop:

2019 年 10 月下旬から現在:複数の Pastebin の使用と感染対策チェック

Pastebin が有用であると確信した攻撃者は、複数の Pastebin を使用して MSF シェルコードをダウンロードするように IndigoDrop の実装をアップグレードしました。Pastebin を複数使用するようになったのは、万一いずれかの Pastebin が削除されても残りの Pastebin をバックアップとして使用するためです。攻撃者は Pastebin が削除された場合のバックアップになるダウンロードサーバも運用し、Pastebin と組み合わせて使用しています。

最近の IndigoDrop インスタンスでは、連鎖的感染プロセスに(前述の)感染対策チェックも追加されています。

IndigoDrop サンプル内で Base64 形式にエンコードされた Pastebin と攻撃者のダウンロード URL:

下図に攻撃の進化の過程を示します。

まとめ

今回の調査結果から、攻撃者が複数のツールと手口を使い、非常に強力な連鎖的攻撃プロセスを実装している様子が伺えます。カスタムツール(IndigoDrop) からカスタマイズ可能な攻撃ツール(Cobalt Strike ビーコン)まで、多様な感染アーティファクトが使われています。攻撃者はパブリックサーバとプライベートサーバの両方で悪意のあるペイロードをホストしていますが、最近ではパブリックサーバのみを使う傾向が高まっています。

軍事書類を装った Maldoc(おとり)が使われるケースでは、文書の内容から、南アジアの政府機関や軍組織が標的とされていることが伺われます。また、Maldoc に本物のコンテンツが含まれていることから推測すると、標的の興味・関心を引くために、攻撃者が本物の公開文書をコピーして RAT を組み込んでいる可能性が高いと考えられます。

これまでに発見された亜種の分析結果からは、短期間で TTP を進化させられる攻撃者の能力の高さが伺い知れます。同じ攻撃者によるキャンペーンは、2018 年 4 月に初めて見つかってから今日に至るまで着実に進化し続けています。新しいモジュールや IndigoDrop の亜種を次々に考案してテストし、実用化している様子から見ると、攻撃者は極めて意欲的で俊敏な集団のようです。Cobalt Strike のような攻撃フレームワークを使用していることから、カスタマイズ可能な独自開発のアーティファクトでマルウェアの機能を急速に拡張しようとしていると推測されます。

今日のマルウェアによる連鎖的攻撃プロセスは、複数のステージや複数の運用エンティティで構成されているのが一般的です。アーティファクトやエンティティは、ローカルでホストされている場合もあれば、リモートサーバでホストされている場合もあります。たとえば本稿で取り上げた攻撃では、ローカルコンポーネント(IndigoDrop)の実行時にリモートサーバから複数のシェルコードがダウンロードされて、連鎖的攻撃プロセスがインストゥルメント化されます。したがって、ネットワークベースの脅威検出だけでなく、システム動作分析やエンドポイント保護も組み合わせてセキュリティを補完することが極めて重要と言えます。

カバレッジ

今回の脅威は、以下の製品で検出してブロックすることが可能です。

Advanced Malware Protection(AMP)は、記事中で説明したマルウェアの実行を阻止するのに最適です。次のスクリーンショットは、AMP がこの脅威からお客様を保護する様子を示しています。こちらpopup_iconから AMP を無料でお試しいただけます。

Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、および Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する悪意のあるアクティビティを検出します。

Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

特定の環境および脅威データに対する追加の保護機能は、Firepower Management Center から入手できます。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

Cisco AMP ユーザは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが MedusaLocker などの脅威に感染しているかどうかを確認できます。類似の脅威に対応する OSquery の具体例については、以下をクリックしてください。

侵入の痕跡(IOC)

本稿で取り上げた脅威には、以下の IOC が関係しています。

Maldoc のハッシュ

7a5b645a6ea07f1420758515661051cff71cdb34d2df25de6a62ceb15896a1b6
b11dbaf0dd37dd4079bfdb0c6246e53bc75b25b3a260c380bb92fcaec30ec89b
aeb38a11ffc62ead9cdabba1e6aa5fce28502a361725f69586c70e16de70df2c
71c88a59b16dbcf7f061d01ea2015658136a8d4af60beb01caa94eeb74c733cd
ab209db9694a3b69427fc5857a8a47d0822db4d8372434fc091dfc3e85510719
4a6990be2d43f482fe2ab377b5e798da47ba7e02f23dfb6dba26b5011e222d25
7deeb35d7e88b769d286cc7892ee5966a27c39f03c8ac12dec21733faeffa350

ドロッパのハッシュ
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Python モジュールの実行可能ファイル

3aa06700a22808978744aa83d9e084c358517f60525c89236f142b7aa2ce0bef
85e69341f2fe9b97cf0bc81dc63917e62bb17072bcd20fc6125d241623e68660
3066e859109397180c63797c4b779633569ac0c88b54c7cf73752f7895f39629
4260de850b4003c9d4663afea00ba57ec02761f687dba1117ded0a8b20c6b5bb
a657bb83fe62e4b555d20463bf090f3349e55e1560507f2197a42c2c3f152667
ce438b0d30dd1c221e3c7ab99585acb4254deaf68bdfb8fc73eb206d8fd04771

Cobalt Strike ビーコンのハッシュ

482858b70888acf67a5c2d30ddee61ca7b57ff856feaad9a2fa2b5d4bc0bbd7d
689f7d3f0def72248c4ff4b30da5022ec808a20e99b139e097c2a0d0ba5bab66
dbb5bba499e0ab07e545055d46acf3f78b5ed35fff83d9c88ce57c6455c02091
e37a0b4145f22ce7f7478918320c019a6014060cb033aafec18a8d130c4c426b
4b0c2f790c7b9c84517648bb36964c859629736dab1fa5466d91bd23f69c9b55
c2d9bbd5163a8e733483bf5d0d4959f053a2307d275b81eb38e69d87f1f5df7e
a0cfec815cb74a7671265fd5e0790a2a79c05fe0ef16d2d0c87584049d06658b

ビーコンを含む、悪意のある jQuery ファイル

1ea22d132c1d478347d7e4e72d79bae29f18df9bec5a3016a5a9971f702a8095
b9efca96d451c0b4028b6081456c1ddd3035ab39e6a60bdd831bcf4a472a31ae
b081b818e5fbd5d2741822c9e161e536a8497764fab5ac79143614bbce8308f6
d2fd448a386416fdad0059be1bb61f49e99fc76e7efbd5f5e377dbbf6e7e3599
bdbc9dc2f2812a9808357aafe908e7206c9168bc7fea761dec871926de23eec0

Maldoc 配布 URL

hxxp://bit[.]ly/iaf-guidelines
hxxp://tecbeck[.]com/IAP39031[.]docx
hxxp://bitly[.]com/38A5BEO

Cobalt Strike ビーコンの CnC URL

hxxp://134[.]209.196.51/jquery-3.3.1.min.js
hxxp://134[.]209.196.51/jquery-3.3.2.min.js
hxxp://139[.]59.1.154/ca
hxxp://139[.]59.1.154/submit.php
hxxp://139[.]59.79.105/jquery-3.3.1.min.js
hxxp://139[.]59.79.105/jquery-3.3.2.min.js
hxxp://188[.]166.14.73/jquery-3.3.1.min.js
hxxp://188[.]166.14.73/jquery-3.3.2.min.js

IP アドレス

134[.]209.196.51
134[.]209.200.91
139[.]59.1.154
139[.]59.79.105
139[.]59.81.167
157[.]245.78.153
165[.]22.201.190
178[.]62.210.85
188[.]166.14.73
188[.]166.25.156
202[.]59.79.131

MSF シェルコードの URL

hxxp://139[.]59.1.154:8201/cmelkmkl.txt
hxxp://157[.]245.78.153/11.txt
hxxp://157[.]245.78.153/12.txt
hxxp://157[.]245.78.153/21.txt
hxxp://157[.]245.78.153/22.txt
hxxp://157[.]245.78.153/31.txt
hxxp://157[.]245.78.153/32.txt
hxxp://157[.]245.78.153/41.txt
hxxp://157[.]245.78.153/42.txt
hxxp://157[.]245.78.153/51.txt
hxxp://157[.]245.78.153/52.txt
hxxp://202[.]59.79.131/7XyT
hxxp://202[.]59.79.131/o2Q7NGUwpFfDzcLMnkuMyAy-IGt8KERPl-6lrRhxcbPJkZwAr33
hxxp://202[.]59.79.131:8080/8g-QvDrvM4hSI0c3D6iC8Aib6wZbs

jQuery/デコーダシェルコードの URL

hxxp://134[.]209.196.51/jquery-3.3.0.min.js
hxxp://134[.]209.200.91/jquery-3.3.0.min.js
hxxp://139[.]59.1.154/ToKN
hxxp://139[.]59.79.105/jquery-3.3.0.min.js
hxxp://139[.]59.81.167/jquery-3.3.0.min.js
hxxp://165[.]22.201.190/jquery-3.3.0.min.js
hxxp://188[.]166.14.73/jquery-3.3.0.min.js
hxxp://188[.]166.25.156/jquery-3.3.0.min.js
hxxp://202[.]59.79.131/YZn_pcfLiUILewp6Vuku9gvUqfMFnPLBP5Aju9QS709n4zRAd-3e4IuPF5kv0uhXSAiJqurq5yPJ-B9zSZ5rHig07RcWcQPIPD04YZhq1JCGWwYI-AfFFHI0qj4LRDhsuaBdQEihGmxzZ8obxUbv5RUfaxm7XwOkWJK8D9xK5gibPGGBiNs41hYB0Kar325FCcCJAIFIzWOw9WLOt6EfrWaEO69aHp

MSF シェルコードの Pastebin URL

hxxps://pastebin[.]com/raw/zT57Pkzj
hxxps://pastebin[.]com/raw/kf3y5uzt
hxxps://pastebin[.]com/raw/ftfSHyPz
hxxps://pastebin[.]com/raw/hAKzruWe
hxxps://hastebin[.]com/raw/ufaxamogav
hxxps://pastebin[.]com/raw/KzmUrrnB
hxxps://pastebin[.]com/raw/aMfFtqjq
hxxps://pastebin[.]com/raw/Q6bMcduX
hxxps://pastebin[.]com/raw/7VmV7jXA
hxxps://pastebin[.]com/raw/8E8YCryu
hxxps://pastebin[.]com/raw/1tKX0v5U
hxxps://pastebin[.]com/raw/kpn2k1jc
hxxps://pastebin[.]com/raw/xiV89Xa9
hxxps://pastebin[.]com/raw/ZMTjGJUn
hxxps://pastebin[.]com/raw/CRuQvJk1
hxxps://pastebin[.]com/raw/zbL0w8sm
hxxps://pastebin[.]com/raw/yP7eQKsv
hxxps://pastebin[.]com/raw/1Q7jYDmz
hxxps://pastebin[.]com/raw/vc8TUZPN
hxxps://pastebin[.]com/raw/R0HzuGWE
hxxps://pastebin[.]com/raw/ehQyY1YX
hxxps://pastebin[.]com/raw/LRztjgkq
hxxps://pastebin[.]com/raw/QyDZhfer
hxxps://pastebin[.]com/raw/MQUG0Q07
hxxps://pastebin[.]com/raw/LtVteHbz
hxxps://pastebin[.]com/raw/k2PQZqzF
hxxps://pastebin[.]com/raw/azzHZ11B
hxxps://pastebin[.]com/raw/4u1ScSn7
hxxps://pastebin[.]com/raw/5tSnVWcn
hxxps://pastebin[.]com/raw/a0kPq7bq
hxxps://pastebin[.]com/raw/cK8nhTYw
hxxps://pastebin[.]com/raw/p34D4vbL
hxxps://pastebin[.]com/raw/YVvG43bi
hxxps://pastebin[.]com/raw/iyKjw7jR
hxxps://pastebin[.]com/raw/0hAzfmrR
hxxps://pastebin[.]com/raw/aGSg1f3Y
hxxps://pastebin[.]com/raw/i5JkU138
hxxps://pastebin[.]com/raw/LQjs18Cy
hxxps://pastebin[.]com/raw/rHeWv7t0
hxxps://pastebin[.]com/raw/bqL6CSp3
hxxps://pastebin[.]com/raw/WJFvRHXv

IndigoDrop の感染対策チェック

ブロックされているユーザ名

admin
8a3YwFo8xYlc
iBqxaDRj5T
dPNNfpR
fnIcszErnay
y9NzUJ
0sNBuzz63Nl8
ZJsji0QShXfiM
3ALPeOppOKOEk
C4EZdigYE64r
0M7vKY
6oVAnp
A0T6Z0j1NFrrQ
Johnson
Olivia
Vh2ij
5Li9Ls
yMBCh9wwy
FWpuxsyMQZZNW
Admin
Lisa
QYbRCr
TyLbns
H0USlDC58dVLE
RmJCA
Administrator_

ブロックされているコンピュータ名

user-pc
8a3YwFo8xYlc-PC
iBqxaDRj5T-PC
dPNNfpR-PC
fnIcszErnay-PC
y9NzUJ-PC
0sNBuzz63Nl8-PC
AVN671124898447
GXKKQO724201067
art-PC
C4EZdigYE64r-PC
0M7vKY-PC
6oVAnp-PC
TFT153265618011
AXWF10479288957
Johnson-PC
Desktop-HRW10
Vh2ij-PC
5Li9Ls-PC
yMBCh9wwy-PC
PGHFTIGN5920348
CPCTBGSA2018901
ADMINIS-HJ9SRP3
Lisa-PC
QYbRCr-PC
TyLbns-PC
SESW54921970303
RmJCA-PC

ブロックされている直接の親フォルダ名

Downloads
mydownload
Desktop
system32
Temp

ブロックされている Mac アドレス

00[:]07:e9:e4:ce:4d
60[:]02:92:e5:2f:30
60[:]02:92:77:fc:94
52[:]54:00:12:34:56
08[:]00:27:55:12:e3
60[:]02:92:89:76:36
00[:]00:00:00:00:00:00:e0

ブロックされている IP アドレス

51[.]68.93.185
79[.]104.209.156
89[.]208.29.214
95[.]25.130.162
51[.]15.76.60
62[.]102.148.68
207[.]102.138.40
51[.]83.15.56
109[.]70.100.24
109[.]70.100.29
128[.]90.148.185
78[.]142.19.43
46[.]165.254.166
221[.]191.21.11
153[.]201.39.205
92[.]211.106.185
51[.]68.91.152
89[.]208.29.215
185[.]220.101.35
95[.]26.100.11

 

本稿は 2020 年 6 月 22 日に Talos Grouppopup_icon のブログに投稿された「IndigoDrop spreads via military-themed lures to deliver Cobalt Strikepopup_icon」の抄訳です。

 

Tags:
コメントを書く