ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

普通のジョー:XeGroupの攻撃テクニックの分析

メンローラボ
|
May 30, 2023

免責事項:Menlo Labsは、このレポートに記載されている情報について適切な法執行機関に通知しました。

エグゼクティブサマリー

XeGroupは、少なくとも2013年から活動しているハッキンググループです。このグループは、さまざまなサイバー犯罪活動に関与していたと考えられています。この脅威アクターは、次のようなさまざまな攻撃手法を使用しています。

  • クレジットカードのスキマーをウェブページに挿入するMagecartと同様のサプライチェーン攻撃。
  • ユーザーを騙して個人情報を公開させるために、偽のウェブサイトを作成すること。
  • 盗まれたデータをダークウェブで販売する。

このグループは、機会の犠牲者を狙う、低レベルから中程度の脅威であると評価しています。

Intel

XeGroupの戦術、技法、手順(TTP)は、以下のレポートで詳しく説明されています。 ボレキシティこれは、このグループが他のサイバー犯罪組織と関係している可能性があり、国が後援するハッキンググループと関係がある可能性があることを示唆しています。これまで、疑いを持たない顧客から支払いカードのデータを盗むことを目的とした悪意のあるコードで、米国を拠点とする企業から3,000万ドル以上を盗み、複数のウェブサイトやモバイルアプリケーションを侵害していました。

最近、 CISAはフォローアップアドバイザリー(AA21-209A)を発行しました XeGroup攻撃者は現在もこの脆弱性を積極的に悪用しており(CVE-2019-18935)、インターネットインフォメーションサービス(IIS)を実行している米国政府のインターネットに接続しているサーバーへの侵害に成功したと述べています。CVE-2019-18935として追跡されているこの脆弱性により、攻撃者はTelerik.Web.UIアセンブリの逆シリアル化の脆弱性を悪用して、脆弱なサーバー上で任意のコードをリモートで実行できます。Menlo Labsは、XEGroupが当社の顧客ベース全体で政府機関、建設機関、医療機関を標的にしていることを確認しています。

XeGroupはベトナムに拠点を置き、「XeThanh」または「XeGroup」という名前で事業を展開している可能性が非常に高いです。XEGroupはASPXSPYウェブシェルに関連しており、そのインフラストラクチャには「XEGroup」という命名規則が含まれています。xecloud@icloud.com と xemembers@icloud.com という電子メールアドレスには、XEGroupの運営に使用されるものを含め、複数のドメインが登録されていました。Webシェルは、攻撃者がWebサーバーに不正にアクセスしてさらなる攻撃を実行できるように意図的に悪意のあるスクリプトです。この記事の後半では、このグループが使用しているASPXSPY Webシェル、Xe Groupsとの関係、そしてそれがどのようにこのグループのほぼ完全な帰属につながったかについて説明します。

感染チェーン

このグループで広く使われている手法の1つに、Telerik UIコンポーネントに加えて、Magentoの電子商取引プラットフォームとAdobe ColdFusionサーバーソフトウェアの脆弱性を悪用して、悪意のあるJavaScriptをWebページに挿入することが含まれていました。このグループの活動が初めて明らかになったのは、2013年にこの目的のために特別に作成された「Snipr」(Credential-Stuffingツールキット)と呼ばれるマルウェアを通じて、世界中の小売店のPOSシステムへの侵入に成功したときです。

XeGroupは、財務情報を直接盗むだけでなく、PayPalやeBayなどの正規企業に関連するなりすましドメインを使用して送信されたフィッシングメールを介して企業ネットワークへのアクセスを試みました。この活動は2020年8月まで続きました。XeGroupはVolexityの研究者によって追跡され、調査結果を世界中の法執行機関に報告した結果、これらの活動に関与した複数の国で複数人が逮捕されたとされています。

しかし、現在はXEgroupが復活してアクティブになっているようです。CISAは、このグループが積極的に悪用していると報告しています。 CVE-2019-18935 おそらく2021年8月から続いています。

コードにパン粉を残す

Menlo Labsの脅威情報チームは、CISA、Volexity、当社独自のテレメトリを含むさまざまなレポートのサンプルを調べ、類似点や関連性を見つけて、脅威アクターの特定と分析に役立てました。

まず、エクスプロイト後に使用されたEXEを調べました。XeGroupは、検出されないようにPNGファイルとして偽装したEXEファイルをアップロードします。これらの EXE ファイルが C:\Windows\Temp に aspx ファイルを作成して実行すると、通信を行うリバースシェルが作成されます。 Xegroups [.] .com 下の図1に示すように:

図 1-実行ファイルの分析クリックするとフルサイズの画像が表示されます

XEGroupは、一部の攻撃でASPXSPYウェブシェルも使用しています。ウェブシェルは C# と ASP.NET で書かれたシンプルな Web アプリケーションです。SQL Server データベースに接続し、SQL コマンドを実行し、結果をテーブルに表示するためのユーザーインターフェイスを提供します。特に、これらのスクリプトの内部には、ハードコーディングされた User-Agent 文字列があります。ハードコードされたユーザーエージェント文字列は base64 でエンコードされており、デコードすると「xethanh|XEGroups」と表示されます。「ismatchagent ()」関数は、ユーザーエージェントがこのパターンに一致するかどうかをチェックし、ユーザーエージェントに「XeThanh」または「XeGroups」のいずれかが含まれている場合は true を返します。この文字列が通信に存在しない場合、Web シェルは偽のエラーページを返します。

図 2-Base64 でエンコードされた文字列

XeGroupsとXeGroups [.] comへの言及は、攻撃者のコードインフラストラクチャ全体で繰り返されており、「XeThanH」への言及も同様です。実際、2010年のサンプルでは、XeThanhが連絡先情報を残した以前のカードスキマーが記録されています。

スキムとシェル

Menlo Labs では、攻撃者が「object [.] fm」から読み込まれた悪意のある Web リソースを使用した際に、当社の顧客ベース全体でクレジットカードのスキミングが行われていることも確認しました。分析の時点で、このドメインは「XeGroups [.] com」のネームサーバーを使用していました。これにより、カードスキマーアクティビティと DLL リバースシェルとのつながりが強化されました。

このグループが使用したクレジットカードスキマーの最近のサンプルを分析したところ、コードの進化にはわずかな違いがあるものの、全体的な機能は同じままであることがわかりました。以下のスクリーンショットは、分析した最新のコードサンプルと、Volexity や MalwareBytes が提供したサンプルとの違いを示しています。

図3-クレジットカードスキマークリックするとフルサイズの画像が表示されます

上記のすべての分析により、このグループのサンプルを遡及的に調べて見つけることができました。2014年までさかのぼると、攻撃者は電子メールを自動生成するAutoItスクリプトと、盗まれたクレジットカードに対応する基本的なクレジットカード検証ツールを作成していました。以下のスクリーンショットは、作成されたスクリプトに関連する脅威アクター名を示しています。

図 4-古い XEgroup マルウェア

脅威アクターのネットワークインフラストラクチャの分析

これらのサイトのWhois履歴を調べたところ、メールアドレスやその他の識別情報が得られ、それをアトリビューションに使用しました。

図 5-Whois レコード

私たちは joynnguyen @msn [.] com に関連する ns1.xegroups [.] com と ns2.xegroups [.] com から始めました。大量のデータを調べたところ、インターネットのいたるところに、Joe Nguyen という名前と「XeThanh」という文字列のインスタンスが多数見つかりました。以下は、この関連が見つかった GitHub コードリポジトリの例です。

図 6-元グループ GitHub

次に、上記のテクニカル分析で述べたobject [.] fmの歴史的記録を見ていきます。5 か月前、サイトのコードを調べたところ、ページヘッダーに「XeThanh」を参照している「ページタイトル」と「タグ」があることに気付きました。

図 7-エクセサン H の関係を示す HTMLクリックするとフルサイズの画像が表示されます
図 8-XeThanH のページタイトル検索

XeThanhというユーザー名とそこに表示されているアイコン/フォントを使用して、OSINTツールを使用して、俳優のInstagramとFriend Finderのアカウントを見つけます。どちらも同じプロフィール写真を使用しています。

図 9-TAのインスタグラム
図10-TAのフレンドファインダー

また、クラウドベースのローカリゼーションテクノロジーおよびサービス企業であるCrowdinでも、GitHubのJoe Nguyenという同じアイコンを見かけました。しかし、小さな変更が 1 つあります。下のスクリーンショットのように、XeThanH ではなく XephanMem というエイリアスです。

図 11-TAのクラウディングプロファイル

オシント・トゥ・ザ・レスキュー

この情報を武器に、私たちはOSINTツールを熱心に活用してデータ収集を最大化し始め、それがさらなる貴重な情報の発見につながりました。また、固有の IP アドレスとパスワードを特定することもできました。

メール joynnguyen @msn [.] com(xegroups [.] com ネームサーバーの登録に使用されました)の OSINT レコードには、IP アドレスと非常にユニークなパスワードが表示されていました。この一意のパスワードを使用し、命名規則に従った新しい電子メールアドレスが見つかりました。これにより、さらに方向転換が可能になりました。

  1. Thanh Nguyen (xephanmem@gmail[.]com)
  2. Shares password with joynnguyen@msn[.]co
  3. Uses name”xephanmem” which was used on Crowdin
  4. There is a Google Play Games account using this email
    1. details for "XePhanMem" are as follows:
      1. Player ID: g02444030915105485496
      2. Avatar:
  5. Joe Nguyen (joyn.nguyen@gmail[.]com) is connected to the registrant organization "Xe Group Inc" and the email address dns@xethanh[.]net, both linked to the malicious infrastructure and share the passwords with xegroups@gmail[.]com
  6. The Vietnamese address “28 (redacted)” is associated with multiple accounts using the email xethanh@gmail[.]com and the name Nguyen Huu Tai (that email is also using the name “Hacker Vietnam” according to other OSINT tools). Other accounts are associated with similar addresses, but the majority share the same address (and same phone number)



    Fig 12 - Leaked records associated to TA
  7. The email addresses xecloud@icloud.com, xethanh@gmail[.]com, joyn.nguyen@hotmail.com, and joyn.nguyen@gmail[.]com are all associated with Nguyen Huu Tai according to leaked data.
    1. The email addresses xethanh@gmail[.]com and xephanmem@gmail[.]com are connected to the same IP addresses 168.122.67.64 and 203.162.3.169.
  8. The username xeodin10 is associated with Nguyen Huu Tai and the email address xethanh@gmail[.]com, which is also connected to the Xe Group.
  9. The email address xxx.corp@gmail[.]com is linked to the IP address 203.162.3.169, which is also associated with xethanh@gmail[.]com, an email address already connected to the Xe Group.
    1. The username xethanh is associated with xxx.corp@gmail[.]com, further strengthening the potential link between xxx.corp@gmail[.]com and the group.
  10. The email address xethanh appears in the leaked database with the password of xxx.corp@gmail[.]com, suggesting a potential overlap or sharing of credentials between these two email addresses as well.
    1. Xxx.corp@gmail[.]com is a google account with showing the name: Nguyen Van Phuc with a profile pic https://lh3.googleusercontent.com/a-/ACB-R5TcNMDqEgfikTpkABwmpDfuFH0Ck1SSIpmbHfQn0Q
      1. Also is using the email on Google Play Games
        1. Username : PineWunderkind22829
        2. Player ID : g18181617716882415267
        3. Avatar : https://play-lh.googleusercontent.com/kFNyY-tHFLJsDMYSbK0bqPLXSePk5ExR2jdCCQXpzF8egcgyfce3MAAvksiKyfjtIVur

提供されたデータによると、ジョー・グエンとタイン・グエンという名前でも呼ばれるグエン・フウ・タイは、XeGroupに関与している可能性が最も高いとされています。さらに、xxx.corp@gmail.com という電子メールアドレスがグループに関連している可能性は高いですが、この関係を明確に確認するには、より具体的な証拠が必要です。

結論

サイバー犯罪活動の歴史を持つ低から中程度の脅威レベルのハッキンググループであるXeGroupが再浮上し、CVE-2019-18935の脆弱性を積極的に悪用しています。グループ解体に向けたこれまでの取り組みにもかかわらず、XeGroupは、政府機関、建設機関、医療機関など、さまざまなセクターにとって依然として脅威となっています。

IOC

  • 妥協ウェブサイト
  • hxxps [://] www.emergencylighting [.] com/
  • hxps [://] www.meiersupply [.] com/
  • hxxps [://] www.onehundred80° [.] com/
  • xethanh によるバイナリのテスト
  • dfab1097f7d345cad468a5e94d03e41701c602898bb9685457f327db3158dfc7
  • 2010 サンプル
  • 5395ef75d7a6325306f186ec636edc65191e82fd6ca705c58e4355c9498bca4a
  • 2014 サンプル
  • 02c48917b15015ddd02738bc1f480f9c6379165618435855030f4c63ce372485
  • ASPXSPY ハッシュ
  • ba2109b5a3ccebbc494ee93880b55640539c7d25b85bc12189f0c671ce473771
  • 884c394c7b3eb757ae57050ac2e6a75385a361555e8e4272de1a3cf24746eec7
  • ネットワークインフラストラクチャのテスト
  • repo.hyperstruct [.] net/mozrepl/1.0/mozrepl.xpi
  • 脅威アクターインフラストラクチャ
  • 184.168.104.171
  • スキマーインフラストラクチャ
  • hivnd [.] com
  • セグループ [.] com
  • Xework [.] .com
  • オブジェクト [.] fm
  • paycashs [.] .com
  • セックスアダルト [.] .com

その他のIOCについては、以下をご覧ください ボレキシティ そして CISA

免責事項:Menlo Labsは、このレポートに記載されている情報について適切な法執行機関に通知しました。

ブログカテゴリー
linkedin logotwitter/x logofacebook logoSocial share icon via eMail