Lemon Duck の活発化により再び注目が集まる暗号通貨マイナー
- 大規模なランサムウェア攻撃や巨額の身代金などが頻繁にニュースの見出しを飾る中、隠密に利益を得ようとする攻撃者もいます。
- Cisco Talos は最近、暗号通貨マイニングボットネット攻撃の増加を確認しました。サイバーセキュリティ専門家であれば簡単に発見できるものの、エンドユーザには気付きにくい手口が使用されています。
- 最近の攻撃では MITRE ATT&CK フレームワーク
の手口がいくつか利用されています。特に目を引くものは、T1203(クライアント実行の脆弱性)、T1089(セキュリティツールの無効化)、T1105(リモートファイルコピー)、T1027(ファイルまたは情報の難読化)、T1086(PowerShell)、T1035(サービス実行)、002(リモートサービス:SMB/Windows 管理者共有)、T1053(スケジュールタスク)、T1562.004(防御システムの弱体化:システムファイアウォールの無効化または変更)、T1218.005(符号付き 2 進数のプロキシ実行:Mshta)などです。
攻撃者は次々と新しい手口を生み出して、金銭的利益をもぎ取ろうとしています。Cisco Talos は最近、マルチモジュール型のボットネットを複数の方法で拡散する複雑なキャンペーンを確認しました。この「Lemon Duck」と呼ばれる脅威は、暗号通貨マイニングペイロードを使用してコンピュータのリソースを奪い取り、仮想通貨 Monero のマイニングを実行します。攻撃者は、悪名高い Eternal Blue や、Windows 10 マシンに影響を与える SMBGhost といった、電子メール、psexec、WMI、SMB の脆弱性をエクスプロイトをし、感染した RTF ファイルを送信するなどの手口を使ってネットワーク中に脅威を拡散します。一部の亜種は RDP ブルートフォース攻撃もサポートしています。ただし最近観察された攻撃では、この機能が省略されていました。またマイニングプールに参加するシステムの数を増やすために、Mimikatz などのツールも利用されています。
最新情報
Lemon Duck に関連する活動は遅くとも 2018 年 12 月末ごろから続いていますが、2020 年 8 月末になって特に活発化していることが確認されています。
仕組み
Lemon Duck への感染は、すでに感染している他のシステムから SMB、電子メール、外付け USB ドライブを通じてローカルに PowerShell スクリプトがコピーされてマルウェアが読み込まれることにより始まります。また、SMBGhost や Eternal Blue などの脆弱性に対するエクスプロイトも複数使用されています。Bluekeep の脆弱性をエクスプロイトするコードも存在しますが、Talos が分析したバージョンでは無効になっていました。
このボットネットでは、複数の実行可能モジュールがメインモジュールによりダウンロードされて実行されます。また、メインモジュールは HTTP 経由でコマンドアンドコントロール(C2)サーバと通信します。
電子メール拡散モジュールは、新型コロナウイルスに関連する件名と本文を生成します。Outlook の自動送信機能を利用して、感染したユーザのアドレス帳に登録されているすべての連絡先に、感染した添付ファイルを送信します。
特徴
防御側は、警戒を怠らず、ネットワーク内のシステムの動作を常に監視して、暗号通貨マイナーをはじめとする新たなリソース窃盗型脅威を発見できるよう努める必要があります。暗号通貨マイニングボットネットに感染すると、コンピューティングリソースが不正に利用され、電力消費量が増えることにより、コストの増大につながる可能性があります。最も貴重な資産の保護が何より重要ですが、インフラストラクチャに照準を当てていない脅威も無視してはなりません。
技術概要
背景
Lemon Duck は、自動拡散機能を備えたボットネットです。最終的に配布されるペイロードは、Monero 暗号通貨マイニングソフトウェアである XMR の亜種です。極めて複雑なマイニングボットネットの 1 つであり、巧妙なトリックがいくつか仕組まれています。以前のレポートでもお伝えしたように、最近、コマンド アンド コントロール サーバやマイニングサーバに関連する DNS リクエストの数が急増しています。
今回 Talos は、メインの PowerShell コンポーネントによって反射的に読み込まれる Linux ブランチモジュールや C# モジュールなど、これまであまり詳しく説明してこなかったモジュールに焦点を当てて、その機能を詳細に調べることにしました。
感染ベクトル
Lemon Duck ボットネットは、他の大半のマルウェアと比べても、飛び抜けて多様な方法でネットワーク中に拡散します。今回の調査では、SMB 共有を介した標準的なコピーから、Redis や YARN Hadoop のリソースマネージャおよびジョブスケジューラの脆弱性を利用した攻撃に至るまで、12 種類の感染ベクトルが確認されています。
Lemon Duck の感染ベクトル
Talos では、2020 年 8 月末ごろ、Lemon Duck C2 サーバおよびマイニングサーバに関連する DNS リクエストの量が増加していることを発見しました。
(Lemon Duck の活発化による)C2 サーバ t.amynx.com に対するアクティビティの増加
下の地図にも示されているように、リクエストの送信元は地理的に分散していますが、大半はアジアから発信されています。上位 5 か国は、イラン、エジプト、フィリピン、ベトナム、インドの順となっています。
Cisco Umbrella で観察された t.amynx.com に対するリクエストの地理的分布
エンドポイントのテレメトリを詳しく分析してみたところ、mshta.exe 環境寄生型コマンドラインが PowerShell にすばやく切り替えられて Lemon Duck C2 サーバを参照していることが直ちに明らかになりました。
疑わしい mshta.exe の呼び出しを示す AMP テレメトリ
DownloadString 関数が呼び出されると、「bpu」関数を含む PowerShell スクリプトがダウンロードされます。bpu 関数は、メインの PowerShell インストーラ コンポーネントをダウンロードして実行するために後から呼び出されます。bpu 関数は別の機能をダウンロードして実行するためのラッパー(wrapper)です。この機能がダウンロードされると Windows Defender のリアルタイム検出が無効になり、スキャンで除外するプロセスのリストに powershell.exe が追加されます。この関数はまず、スクリプトが管理者権限で実行されているかどうかをチェックします。スクリプトが管理者権限で実行されている場合は、ペイロードがダウンロードされ、Invoke-Expression コマンドレットを使用して実行されます。
スクリプトが管理者権限で実行されていない場合は、既存のシステム実行可能ファイルを利用して次のステージが開始されます。ローダにより HKCU\Software\Classes\ms-settings\shell\open\command or HKCU\Software\Classes\mscfile\shell\open\command のレジストリ値が変更されて、PowerShell ペイロードが起動されます。その結果、「ComputerDefaults.exe」(Windows 10 の場合)または「CompMgmtLauncher.exe」(以前のバージョンの Windows の場合)を起動することによって間接的にペイロードを実行できるようになるため、攻撃者は UAC をすり抜けることができます。
UAC の回避を目的とした PowerShell ペイロードの環境寄生型サイドローディング
この段階は、後から読み込まれるモジュールを分析して取得するための出発点となります。ほとんどの PowerShell モジュールには 4 層から 5 層の難読化が適用されています。多くの場合、難読化には Invoke-Obfuscation モジュールが使用されます。この方式の難読化は比較的簡単に解除できますが、分析プロセスに遅延が生じるため、通常のシグニチャを使用した検出は困難になります。
メインモジュール
Lemon Duck の機能の大部分は PowerShell スクリプトとして配布され、 複数のレベルのローダにより最終的に 1 つ以上の暗号通貨マイニングペイロード、メインの拡散モジュール、Pyinstaller 拡散モジュールまたは電子メール拡散モジュールがインストールされます。
PowerShell コンポーネント
最初のステージで使用されるのは、シンプルなダウンローダです。上述のように、メインローダをダウンロードして実行するコードが、このダウンローダによって最初にダウンロードされます。
メインローダもシンプルで、感染先システムのタイプ、ユーザ権限のレベル、マイニングに関連するコンポーネント(使用可能なグラフィックカードのタイプなど)を確認します。グラフィックカードの名前に次の文字列のいずれかが含まれている場合は、GPU を使用するマイナー xmrig-cuda の亜種がダウンロードされ、実行されます。
- GTX
- NVIDIA
- GEFORCE
- AMD
- RADEON
そうでない場合は、CPU を使用する標準マイナー xmrig がダウンロードされ、実行されます。
ローダは、マイニングペイロードに加え、メインの拡散モジュール、電子メール送信モジュール、Pyinstaller を使用してパッケージ化された Python ベースのモジュール、既知の競合するマイニング ボットネットを無効化するためのキラーモジュールなど、他のモジュールのダウンロードと起動を試みます。
Lemon Duck の感染ステージとモジュール
ローダは、メール一斉送信モジュールをダウンロードして起動する前に、レジストリ内の Microsoft Outlook セキュリティ設定を変更して、ボットネットが Outlook からの警告メッセージなしで電子メールを送信できるようにします。この目的を達成するために、ローダは複数のレジストリパスに ObjectModelGuard という値が存在するかどうかを確認して、値を dword 2 に変更します。この値は、「疑わしいアクティビティについて警告しない」設定に該当します。
チェックされるレジストリパスは次のとおりです。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\{OfficeVersionNumber}\Outlook\Security
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\{OfficeVersionNumber}\Outlook\Security
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\
Software\Microsoft\Office\{OfficeVersionNumber}\Outlook\Security
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Wow6432Node\
Software\Microsoft\Office\{OfficeVersionNumber}\Outlook\Security
Outlook のセキュリティ設定の変更
PowerShell 拡散モジュールは、ボットをネットワーク全体に拡散させるための多様な関数を含んだ、非常に大掛かりなコードです。コードは全体で 10,000 行を超えています。このコードには、さまざまなオープンソースプロジェクトからコピーされた部分もありますが、独自に作成された部分もあります。コード作成者のプログラミングスキルが中級者レベルであることが伺われます。
コードは PowerShell コードと C# ソースコードを組み合わせたものです。ジャストインタイム方式で DLL ベースのアセンブリにコンパイルされてメモリにロードされるため、攻撃者にとっての利便性と実行速度が高くなっています。
さらに、Mimikatz がユーザの一時フォルダに mimi.dat としてダウンロードされます。ダウンロードされる Mimikatz は base64 形式でエンコードされた DLL で、Invoke-Mimikatz モジュールの亜種を使用してデコードおよび実行されます。実行結果は、SMB、RDP、SSH に対するブルートフォース攻撃用のハードコードされたパスワードのリストに追加されます。
MSSQL、SSH、SMB へのブルートフォースアクセスに使用されるパスワードの初期リスト
メインの拡散モジュールには、パスワードブルートフォース攻撃とは別に、いくつかの脆弱性を利用して拡散するための機能も含まれています。内部のプライベートネットワークは、ハードコードされたサブネットのリストを使用してスキャンされます。
水平方向への拡散に使用されるハードコードされたサブネットのリスト
Eternal Blue の脆弱性(CVE-2017-0144)は、Shadow Brokers のリークによって 3 年以上も前に公開されたものですが、現在も SMB プロトコルを介してマルウェアを水平方向に拡散する手口の主流となっています。Lemon Duck の拡散モジュールには、CVE-2017-0144 を PowerShell でエクスプロイトする亜種が含まれています。
SSH による拡散では、既知のパスワードのリストを使用して侵入を試みます。その際に Putty SSH クライアントの Plink コンポーネントが追加されます。Plink は、ルートユーザ名を使用して Linux ベースの SSH サーバへのアクセスを試みる、スクリプト対応型のコマンドライン SSH クライアントです。Plink は多くのマルウェア対策ソフトウェアで望ましくない可能性があるアプリケーションとして検出されます。Lemon Duck は、ダウンロードされた Plink 実行可能ファイルに、ランダムに生成された 100 バイトを追加します。これは、暗号チェックサムベースの検出を回避することを意図したものと考えられます。
Linux システムの場合は、リモートコマンドにより、bash スクリプト形式の Lemon Duck ローダの第 1 ステージがダウンロードされ、実行されます。
YARN と Redis を実行するシステムに対しても、同様の戦略が使われています。YARN の場合、CVE 番号が割り当てられていない 2018 年の脆弱性がエクスプロイトされます。エクスプロイトが成功すると、Linux ローダをダウンロードして起動するスクリプトが実行されます。
Lemon Duck は、設定が不適切であるためにパスワードなしでも接続できる Redis キー/値データベースを狙い撃ちして拡散を試みます。Lemon Duck の拡散モジュールは、接続に成功すると cron ジョブを作成して、同じ Linux ダウンロードを自動的に実行し、メインの Linux ローダモジュールのコードを実行します。
次に、ハードコードされたパスワード候補のリストと、ユーザ名「sa」(システム管理者)を使用して Mimikatz により取得されたパスワードを使用して、Microsoft SQL データベースへの接続を試みます。ログインに成功すると、xp_cmdshell ストアドプロシージャの実行を許可するようにデータベースサーバが設定され、メインの Lemon Duck 拡散モジュールをダウンロードして実行するためのプロシージャが起動されます。
また、新しい .NET アセンブリである evilclr も、新しいストアドプロシージャ dbo.execcommand とともにデータベースサーバに追加されます。これは、最初の Lemon Duck ローダをダウンロードするために呼び出されます。この新たに追加されたアセンブリとプロシージャにより、攻撃者は xp_cmdshell の使用を防止するようにデータベースが再構成された場合でも、引き続き感染済みのデータベースサーバに接続できる可能性があります。
最後に、Lemon Duck の拡散モジュールは、パスワードのリストを使用してリモートシステムに接続します。まず、使用可能なパスワードからあらかじめ計算された NTLM ハッシュのリストを使用して、システムへの接続が試みられます。接続に成功すると、拡散モジュールはリモートドライブ上の c:\users フォルダの内容をリスト化し、各ユーザの AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ にバッチファイル run.bat を作成してすべてのユーザを検出します。その結果、ユーザがシステムにログインしたときにスクリプトが実行されるようになります。このバッチファイルは、さまざまなマルウェア対策製品を無効にする PowerShell スクリプトをダウンロードして実行し、メインのローダモジュールをダウンロードして実行するためのスケジュールタスクを作成します。
メーラー モジュール
電子メール拡散モジュールは、COM オートメーションを使用して Microsoft Outlook を自動化し、ユーザのアドレス帳に含まれるすべての連絡先や、現在のユーザが受信したメッセージの電子メールアドレスに加え、現在のユーザが送信したメッセージの宛先アドレスに対して電子メールメッセージを送信する PowerShell スクリプトです。
収集されたすべての電子メールアドレスに対して選択される電子メールの件名と本文の組み合わせは 1 つのみです。注:以下に示すつづりや文法の誤りはすべて意図的なものであり、感染文書から直接コピーしたものです。
| 件名 | 本文 |
| The Truth of COVID-19(COVID-19 の真実) | Virus actually comes from United States of America(ウイルスの真の発生源は米国です) |
| COVID-19 nCov Special info WHO(COVID-19 nCov 特別情報 WHO) | very important infomation for Covid-19see attached document for your action and discretion.(Covid-19 に関する極めて重要な情報です正しく判断して行動するために添付文書を参照してください。) |
| HALTH ADVISORY:CORONA VIRUS(健康に関する勧告:コロナウィルス) | the outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various intt in near future.see attached document for your action and discretion.(コロナウィルスの大流行は、外国人が最近訪問した場所や、近い将来に訪問が予定されている場所で、特に大きな懸念材料となります。正しく判断して行動するために添付文書を参照してください。) |
| WTF | what’s wrong with you?are you out of your mind!!!!!(一体何があったというのか!!!!!) |
| What the fcuk(何なんだ) | are you out of your mind!!!!!what ‘s wrong with you?(一体何があったというのか!!!!!) |
| good bye(さようなら) | good bye, keep in touch(さようなら、またご連絡します) |
| farewell letter(お別れの言葉) | good bye, keep in touch(さようなら、またご連絡します) |
| broken file(ファイルの破損) | can you help me to fix the file,i can’t read it(添付したファイルを読み取れないのですが、修正を手伝ってもらえませんか) |
| This is your order?(こちらはお客様からのご注文ですか?) | file is brokened, i can’t open it(ファイルが破損しているため開けません) |
生成される電子メールメッセージには 2 つのファイルが添付されます。1 つ目は Microsoft Office で見つかったリモートコード実行の脆弱性(CVE-2017-8570)をエクスプロイトする readme.doc という RTF ドキュメントで、2 つ目は readme.zip ファイルです。readme.zip には、第 1 ステージの Lemon Duck ローダをダウンロードして実行する JScript が含まれています。
Lemon Duck によって生成された電子メールメッセージの例
また、他の Lemon Duck モジュールと同様に、msbuild.exe によってリアルタイムでコンパイルされてロードされる、埋め込み済み C# コードの使用も確認されています。電子メール拡散モジュールのコードは、メーラーが管理者権限で実行されている場合にのみ使用されます。モジュールには、Windows ターミナル サービス セッションを列挙し、セッションを実行しているユーザになりすますための機能が含まれています。
この機能は、感染先のシステムが RDP サーバである場合に実装されるものと考えられます。セッションが発生するたびに「\\.\pipe\HHyeuqi7」というリスニングの名前付きパイプが作成されます。サーバ側のコードにより、名前付きパイプクライアントから送信された文字列に対して、PowerShell Invoke-Expression コマンドレットが呼び出されます。これは、Outlook を自動化するための完全なメーラーコードです。
競合する暗号通貨マイナーを無効化するためのキラーモジュール
キラーモジュールは、メインの Lemon Duck ローダにより kr.bin としてダウンロードされます。キラーモジュールには、終了するサービス名とプロセス名のリストに加え、削除するスケジュールタスク名のリストが含まれています。
ハードコードされたサービス名のリストを使用して競合する暗号通貨マイナーを停止するキラーモジュール
また、キラーモジュールは、Lemon Duck や関連するその他の暗号通貨マイナーがマイニングに使用した IP アドレスに接続されているプロセスを終了させないようにします。キラーモジュールはまず、マイニングプロキシの候補をチェックする前に、 OpenSSL 実行可能ファイルのクリーンな亜種をダウンロードし、TLS 経由で接続するためのツールとして使用します。
実行可能ファイル形式のドロッパー
Talos が以前に確認した古いバージョンの Lemon Duck では、.NET フレームワークを使用して開発された実行可能ファイル形式のドロッパーが使用されていました。メインの拡散モジュールは実行可能ファイル内にリソースとして保存され、ハードドライブにドロップされ、PowerShell スクリプト「vip.ps1」としてロードされます。
このスクリプトは、他のすべてのモジュールと同様に Invoke-Obfuscation を使用して難読化されていますが、AES を使用して 100 回暗号化されています。当然ながら、その目的は悪意のあるコンテンツを保護することではなく、分析を困難にすることです。各暗号化レイヤの復号キーはランダムに命名された変数に保存されます。また、次のレイヤは Base64 形式でエンコードされた DeflateStream として保存され、ランダムに命名された別の変数に割り当てられます。
各暗号化レイヤ内に復号キーが存在する場合に 100 層の暗号化を解除するには、残りの復号レイヤが存在しなくなるまで復号タスクを自動化するスクリプトを記述するだけで済みます。
100 層の AES 復号レイヤの 1 つ
Python 向けの Pyinstaller 実行可能ファイル
メインローダによってダウンロードされる Python モジュールの機能は、メインの拡散モジュールとほぼ同じです。Pyinstaller を使用して作成された実行可能ファイルが使用されます。Pyinstaller は、必要なすべてのバイナリ、Python p-code にコンパイルされた Python モジュール、ユーザ定義コンポーネントを含む Python ディストリビューションをパッケージ化するライブラリです。
Lemon Duck で使用されるメインの Python コンポーネントには、Eternal Blue の脆弱性をエクスプロイトし、感染先のシステムに Pyinstaller 実行可能ファイルをコピーすることによってローカルネットワーク内での拡散を試みる機能が含まれています。Python コードによってリモートシステム上にスケジュールタスクが作成され、コピーされた実行可能ファイルがスケジュールに従って実行されます。
SMB のエクスプロイトで使用されるシェルコードは、Python 拡散モジュールでも、PowerShell 拡散モジュールでも同じで、最初の Lemon Duck ローダを hxxp://t[.]amynx[.]com/gim[.]jsp からダウンロードして実行し、管理者のパスワードを「k8d3j9SjfS7」に変更しようと試みます。
SMB エクスプロイトシェルコードの文字列の詳細:最初の PowerShell ローダをダウンロードして実行
Python 拡散モジュールは、ローカルネットワーク内に存在するコンピュータの IPC 共有への接続を試みます。接続には、ハードコードされたパスワードに加え、Mimikatz の埋め込み済みコピーを実行することによって取得されたログイン情報が使用されます。Mimikatz のドロップと起動には、PowerShell が使用されます。
Python 拡散モジュールによって Mimikatz がリロードされ、結果が mkatz.ini に保存される
その他の機能には、Microsoft SQL データベース向けの拡散コードが含まれます。これは、メインの PowerShell 拡散モジュールのセクションで説明したコードの Python 版です。このスクリプトは、新しい .NET アセンブリ evilclr をデータベースシステムに追加します。これにより、攻撃者は新たに保存されたプロシージャを介してリモートでコマンドを実行できるようになります。
Linux モジュール
Lemon Duck の bash スクリプトは、Redis、YARN、または SSH を介して Linux ホストへの感染に成功した後に実行されます。主な bash スクリプトは 2 種類あります。1 つ目は、感染したホストに関する情報を収集し、Linux バージョンの XMRig マイナーをダウンロードして、 lplp[.]ackng[.]com:444. への接続を試みるスクリプトです。このスクリプトは最終的に各種システムログの削除を試みます。
Lemon Duck Linux マイニングサーバ「lplp[.]ackng[.]com」に対する DNS リクエスト
もう 1 つのスクリプトはより複雑です。競合する暗号通貨マイナーが感染先のシステム上にすでに存在する場合に、それらのマイナーを終了して削除することに重点が置かれています。このスクリプトは、既知のマイニングホストに接続するプロセス、既知のマイナープロセス名を持つプロセス、およびこれらのプロセスに関連するファイルを感染先のシステム上で検索します。
また、Alibaba と Tencent のクラウド セキュリティ エージェントに関連するプロセスを終了してアンインストールすることも試みます。このスクリプトは、複数の Linux ベース仮想通貨マイニング ボットネットの間で共有されているものと見られます。
実行時にコンパイルされる C# アセンブリ
Lemon Duck では数多くの C# モジュールが使用され、必要に応じてボットによりコンパイルされて実行されます。一部のモジュールはオープンソースリポジトリから流用されていますが、外付け USB ストレージデバイスを介して拡散するモジュールや、Windows ターミナルサービスを列挙して実行ユーザになりすますモジュールなどは、Lemon Duck 向けに一からプログラミングされたものと見られます。
使用される C# コンポーネントには以下のものがあります。
- PowerShell 拡散モジュールで使用される Ping Castle Eternal Blue 脆弱性スキャナ。
- パスワードリストを含む RDP ブルートフォース攻撃モジュール。今回分析した亜種では使用されていませんが、PowerShell 拡散モジュールでは使用されています。
- LZNT1 の実装。一般公開されている LZNT1 ソースコードからコピーされたものと見られます。
- USB 拡散モジュール。CVE-2017-8464 のエクスプロイトと組み合わせて使用される .lnk ファイルを作成します。
- パスワードハッシュ用の BCrypt ラッパー。PowerShell 拡散モジュールで使用されます。
- WTSEnumerateSessions。Windows リモート デスクトップ サービスで Outlook を自動化する PowerShell メーラーモジュールで使用されます。
USB 拡散モジュール
USB 拡散モジュールは、悪意のある DLL の 32 ビット版亜種または 64 ビット版亜種に加え、感染システム上でユーザの介入なしに DLL を起動する CVE-2017-8464 のエクスプロイトに関連付けられた .LNK ファイルもドロップします。
また、電子メール拡散モジュールによって拡散される readme.js ファイルと同じ内容の readme.js ファイルも作成します。
USB 拡張モジュールは、すべてのリムーバブルドライブとネットワークドライブを列挙して、感染を試みます。感染に成功すると、同じメカニズムによる今後の再感染を防ぐために inf_data ファイルが作成されます。
悪意のある DLL は、名前付きミューテックス「MGYnGYPf」を作成し、メモリ内で 1 つのコピーのみが実行されるようにします。ミューテックスが作成されると、DLL コードによって runDLL32.exe が起動され、プロセス空間にコードが挿入されます。
その後、スレッドが実行されている間シェルコードが実行され続けるように、初期スレッドコンテキストが変更されます。このシェルコードは、初期のテレメトリエントリで確認されたのと同じ方法で mshta.exe を使用し、第 1 ステージの PowerShell ローダをダウンロードして実行します。これは、感染源がリムーバブルドライブであった可能性が高いことを示しています。
mshta.exe を使用して最初のローダをダウンロードする USB DLL シェルコードフラグメント
Lemon Duck コードの起源
Lemon Duck では、オープンソースプロジェクトからコピーされたコードと、このボットネット専用に開発されたコードの両方が使用されています。このことから、コード作成者は、Windows やさまざまなネットワークプロトコルにおけるセキュリティ上の問題について、中級者レベルの技術的スキルと知識を持っていると考えられます。このようなアプローチを取るとコードのメンテナンスは難しくなりますが、目的を極めて迅速に達成できるという利点もあります。
Lemon Duck に含まれるオープンソースの PowerShell プロジェクトコードには、以下のものがあります。
- Invoke-TheHash(Kevin Robertson 氏作成)
- Invoke-EternalBlue PowerShell EternalBlue ポート
- BlueKeep RCE エクスプロイト(CVE- 2019-0708)PowerShell ポート
- Powersploit のリフレクティブローダ(Matt Graeber 氏作成)
- 変更版の Invoke-Mimikatz PowerShell モジュール
ペイロード
Linux 版の系亜種であれ、Windows 版の亜種であれ、Lemon Duck ボットネットの最終目標は、XMRig マイナーの Linux 版亜種または Windows 版亜種を使用して Monero をマイニングすることです。ペイロードについては分析の完全性に関する言及のみにとどめています。
観察された活動と他の暗号通貨マイニングボットネットとの共通点
Cisco Talos はエンドポイントテレメトリを通じ、それぞれ公共部門、小売業界、テクノロジー業界に属する 3 つの企業を標的とした Lemon Duck 暗号通貨マイニングマルウェア関連のアクティビティをこれまでに確認しています。このマルウェアの活動は 2020 年 3 月下旬から現在に至るまで継続的に確認されています。
調査の結果、Lemon Duck と別の暗号通貨マイニングマルウェア Beapy(別名 Pcastle)の間に、多くの共通点があることが判明しています。Cisco Umbrella によると、 awcna[.]com は robertcooper1983[@]protonmail[.]com という電子メールアドレスを使用して登録されています。このアドレスを使用して登録されている他のドメインは bddp[.]net のみで、このドメインは Bedpy が 2019 年 6 月に東アジアを標的とした際に利用されたインフラストラクチャの一部であることがわかっています。
ほとんどの Lemon Duck モジュールは、サブドメイン ackng[.]com に含まれる URL に対して HTTP GET リクエストを送信しますが、この動作は Beapy インフラストラクチャでも確認されています。Talos が以前に行ったマルウェア分析の結果から考えると、Lemon Duck は Beapy とほぼ同じ方法で拡散していると見られます。
Talos では今後も、これらのボットネット間の類似点を示す他のアクティビティがないかを調べるため、データのモニタリングを継続していきます。Talos では、Beapy、DLTMiner、MyKings の間にも、インフラストラクチャや動作の点でさらにいくつの類似点があることを確認しています。これらのキャンペーンでは、同様の戦術、手口、手順(TTP)が使用されているため、それらを区別することは困難です。
シスコが発見した Lemon Duck アクティビティの発生時期は、最近活動を再開した PowerGhost 、Prometei、Tor2Mine など、過去数か月間に Talos が観察した暗号通貨マイナー全般の増加時期とほぼ重なっています。
カバレッジ
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者がマルウェアを実行できないようにするための最適な方法です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISR、Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。
OSquery
Cisco AMP ユーザは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが MedusaLocker などの脅威に感染しているかどうかを確認できます。類似の脅威に対応する OSquery の具体例については、以下をクリックしてください。
SNORT
[SID] 55926 ~ 55928
IOC
Windows サンプル
605ac25ebe8ab41ba291b467281e4f361e87df26fb0085636060d4972725958d – 32 ビット DLL
e783b5235868d8f32f8656218f89ee24138a52e13d91ab5d5950cce1fa25f673 – 64 ビット DLL
df154c314609c61ab33eea7f5d3d959fe3dacee35c8575741e96dfe27b2bd55e – 以前の実行可能ファイル版 .NET ドロッパ
e72b656b15dca5b2dde4784bb113ca7c9768eeb731264fe10d057fc7909ef9c4 – xmrig-cuda
38ffc65ba9896583ba8c8f98dd36c0b391ee590e2011be7f715351965b7bed8c – evilclr モジュール
5dd1c44610d038e0e8e3f572964f4be09ee3e7718d73bcd4c8684c3efea8ff2b – lnk エクスプロイト
aea17e712d9a25e37d0ce3af6adff733e89edd6416b5c4a6a9b95dd5faf13612 – RTF エクスプロイト(readme.doc)
27040edd4917b6963f89d1d80073d20713dcea439a5b0f9a0cdaca655c1b4322 – メインの PowerShell 拡散モジュールの初期バージョン
1d6153f93539fbc7bdd2389120c9f8967197ea81fffaf3df28417bdf2fe1252b – メインの Powershell 拡散モジュール
5beb8128b269067186c5ce002423e1de33fd52986bf0696d5664ac278eae1993 – キラーモジュール
80eb16604550f9a115470acfa300b95d62ae856245666637afa00f8fb9e4808d – メールモジュール
d7d0f18071899c81ee90a7f8b266bd2cf22e988da7d0e991213f5fb4c8864e77 – Pyinstaller モジュール
b660aa7aca644ba880fdee75f0f98b2db3b9b55978cc47a26b3f42e7d0869fff – Powershell マイナードロッパ
ce4ba5d544e566a4a83b5edd7e42e6783c2b03187f834913cdd185b3d453fb10 – Mimikatz
27e94c3f27539d0ed5c5267914860ff97a438acd1ace560e0a746a6d04b39718 – readme.js Javascript
Linux(BASH および ELF)
9e0c65e28bf2539966364468a5fba8bf8bbcbc76b84aa37348b3bad19047c73a – xmrig
7850f7ccba97d37bb89447f04dac93757b96d7270d1ee9797c12034f22363038 – Linux キラースクリプト
7de4497ed46e9e96f66ad0135c018d006a85bbd0c0202da6f0f1bd2030932a30 – Linux マイナーダウンローダ
ホスト名
t[.]amynx[.]com
t[.]zer9g[.]com
p[.]b69kq[.]com
lplp[.]ackng[.]com
d[.]ackng[.]com
w[.]zz3r0[.]com
info[.]amynx[.]com
info[.]ackng[.]com
info[.]zz3r0[.]com
t[.]jdjdcjq[.]top
p[.]awcna[.]com
t[.]zer2[.]com
t[.]tr2q[.]com
IP アドレス
172[.]104[.]7[.]85
66[.]42[.]43[.]37
207[.]154[.]225[.]82
161[.]35[.]107[.]193
167[.]99[.]154[.]202
139[.]162[.]80[.]221
128[.]199[.]183[.]160
128[.]199[.]188[.]255
167[.]71[.]158[.]207
本稿は 2020 年 10 月 13 日に Talos Group
Tags:
