New Report
Menlo Security Named a Leader in GigaOm Radar Report for Secure Enterprise Browsing
Icon Rounded Closed - BRIX Templates

Discord 経由で政府機関を狙う PureCrypter

|

概要

Menlo Labsは、PureCrypterダウンローダーを使って回避的なキャンペーンを行う未知の攻撃者を発見しました。政府機関を標的とし、Discordを使って配信されるPureCrypterキャンペーンは、侵害されたNPO(非営利法人)のドメインをコマンド&コントロール(C2)サーバーとして使用し、二次的なペイロードを配信します。このキャンペーンでは、Redline Stealer、AgentTesla、Eternity、Blackmoon、Philadelphia Ransomwareなどを含む複数の種類のマルウェアが配信されていたことがわかっています。アジア太平洋(APAC)地域および北米地域の複数の政府顧客において、Menlo Securityのクラウドセキュリティプラットフォームがパスワードで保護されたアーカイブファイルをブロックしたことから、この調査が開始されました。

Menlo Labsは、この攻撃者グループは、新しい攻撃インフラへの移動が必要になるまでの間、できる限り長く今のインフラを使い続けるだろうと考えています。マルウェアに認証情報を残すことはOpSecとしては失敗ですが、これによってアナリストは痕跡を辿ることができます。このケースでは、幸いにもMenlo Securityのクラウドセキュリティプラットフォームがこの攻撃をブロックしたため、Menlo Labsはこの攻撃を確認し、この攻撃者の追跡を開始することができました。

感染チェーン

diagram illustrating download to password protected zip to purecrypter

脅威インテリジェンス

分析の結果、PureCrypterはAgentTeslaと思われる二次マルウェアをダウンロードしていることがわかりました。

PureCrypter は、リモートアクセス型トロイの木馬(RAT)やインフォスティーラーをダウンロードする高度なダウンローダーです。2021年3月から「hxxps[://]purecoder.sellix.io/」で販売されています。 AgentTeslaは、さまざまなブラウザーからの保存されたパスワードの窃取、クリップボードロギング、画面キーロギング、画面キャプチャなどの機能を持つ高度なバックドアです。.netで書かれており、Windowsオペレーティングシステムのすべてのバージョンをサポートしています。

調査の結果、AgentTeslaはFTPサーバーへの接続を確立し、盗んだ被害者の認証情報を保存することがわかりました。このFTPサーバーは乗っ取られたもののようで、このドメインから流出した認証情報がオンラインで発見されたことから、攻撃者はこれらの認証情報を使ってサーバーにアクセスしたと考えられます。

Screenshot showing collected victim information on FTP server
収集された被害者情報を表示する侵害されたFTPサーバー
screenshot showing collected victim information

また二次マルウェアのダウンロードリンクが、侵害された非営利法人のドメイン(この認証情報も漏洩がオンライン上で確認されました)になっていることも注目すべき点です。

私たちが分析したAgentTeslaマルウェアに似たサンプルは、Alejandro Gonzalo (e052450f2@891f4e7e1668[.]com) から送られてきた「FW: New Order no.5959」という件名のフィッシングメールから発見されました。悪意のある添付ファイルは「Nuevo pedido 7887979-800898.gz」という名前で、最初のケースで見つかったものと同じFTPサーバーの認証情報が含まれていました。

同じメールアドレスで、「New Order」と題された別の悪質なメールも発見され、「Ppurchase order6007979-709797790.gz」というファイルが添付されていましたが、こちらも感染プロセスの一部に同じFTPサーバー(ftp[://]ftp.mgcpakistan[.]com)が使われていたのです!

このFTPサーバー(ftp[://]ftp.mgcpakistan[.]com)は、OneNoteを使ってマルウェアを配信するキャンペーンでも確認されています。攻撃者は、被害者のデバイスから追加のマルウェアをダウンロードしたり情報を盗んだりする、悪意のあるOneNoteファイルへのリンクを含むフィッシングメールを送信しています。Menlo Labsのチームは、当該FTPサーバーを使用したファイルを合計で106個発見しました。

感染ベクター/技術的詳細

このキャンペーンではペイロードをホストするためにDiscordが使用されており、ペイロードへのリンクがメールで送信されます。PureCrypterはパスワードで保護されたZIPファイルを使用して既存の防御を回避します。以下は、VTにおけるこれらのパスワードで保護されたペイロードの検知率の低さを示すスクリーンショットです。

Screenshot showing 1 security vendor and no sandboxes flagged file as malicious

ペイロードを配信するために、攻撃者は以下のステップを踏んでいます:

  • パスワード保護された悪意のあるZIPファイルを指し示すDiscordアプリのURLを含むメールが被害者に送信されます。(https://cdn[.]discordapp.com/attachments/1006638283645784218/1048923462128914512/Private_file__dont_share.zip、pwd - 1234, md5- 967f9bc90202925e1f941c8ea1db2c94)
  • このZIPは、PureCrypter(md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC)という.netで書かれたローダーを展開します。このローダーは、以下のスクリーンショットに示されている、侵害された非営利法人から二次的なペイロードをダウンロードしようとします。調査時点では、侵害された非営利法人のWebサイトはダウンしており、そのセカンダリペイロードを取得することはできませんでした。
screenshot of code

上記のPureCrypterサンプル(md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC)から二次的なペイロードをダウンロードすることはできませんでしたが、感染した非営利法人から悪意のあるペイロードをダウンロードした類似のサンプルを特定することができました。さらに調査を進めると、これはAgentTeslaであり、(上のインテリジェンスのセクションで触れたように)パキスタンにあるFTPサーバーと通信していたことが判明しました。以下の技術的分析は、新しいサンプルmd5 -C3B90A10922EEF6D635C6C786F29A5D0)に対するものです。

screenshot of code

侵害された非営利法人からダウンロードされたセカンドステージのペイロードを示すコードスニペット

このダウンロードされたバイナリは、初期の検知を回避するためにパックされています。以下のスクリーンショットに示すように、リソースセクションにDESアルゴリズムを使って暗号化されたAgentTeslaペイロードが含まれています。

screenshot of code

暗号化されたペイロードのdes.IVとdes.Keyは、以下のスクリーンショットの通りです。

screenshot of des.IV and des.Key of encrypted payload

AgentTeslaは、プロセスホローイング技術を使用して、ペイロード(Md5 - BCF031AB2B43DC382B365BA3DF9F09BC) を cvtres.exe に注入します。これは、Windows OSのすべてのバージョンに存在する標準的なWindowsプロセスです。

AgentTeslaは、XORアルゴリズムを使って設定ファイルを暗号化します。以下のスクリーンショットは、xorでエンコードされた設定ファイルです。

screenshot of xor encoded config file

Menlo Labsは、設定ファイルを復号化することができました。復号化されたファイルは以下の通りです。

screenshot of decrypted config file

復号化されたファイルには、AgentTeslaが被害者のデータをアップロードするFTPサーバーのCnCの詳細が含まれています。

ネットワーク通信

AgentTeslaは、データを流出させるためにFTPを使用します。FtpWebRequestでは、以下のスクリーンショットに示すように、盗んだデータをサーバーに送信するために、FTPサーバーのパスと認証情報が必要です:

screenshot showing required ftp server path and credentials to send stolen data to server

このスクリーンショットはFtpWebRequestの取得方法を示しています:

screenshot of code showing how to get FTPWebRequest
screenshot of code showing how to get FTPWebRequest

"ddd@mgcpakistan[.]com"

パスワード

screenshot of code for password

"password*" - セキュリティ上の理由から、ここには正しいパスワードは入れません。

まとめ

Menlo Labsのチームは、この攻撃者の活動を引き続き監視します。この攻撃者は、脅威ランドスケープにおいて主要な役割を果たしているようには見えませんが、政府機関を標的にしていることから、彼らに注意しておくことは必要です。

IOCS

FTP

“ftp://ftp[.]mgcpakistan[.]com/”

Username: “ddd@mgcpakistan[.]com”

HTTP

cents-ability.org

email

be18d4fc15b51daedc3165112dad779e17389793fe0515d62bbcf00def2c3c2d
5732b89d931b84467ac9f149b2d60f3aee679a5f6472d6b4701202ab2cd80e99

Malware

a7c006a79a6ded6b1cb39a7118312 3dcaaaa21ea2684a8f199f27e16fcb30e8e
5d649c5aa230376f1a08074aee91129b8031606856e9b4b6c6d0387f35f6629d
f950d207d33507345beeb3605c4e0adfa6b274e67f59db10bd08b91c96e8f5ad
397b94a80b17e7fbf78585532874aba349f194f84f723bd4adc79542d90efed3
7a5b8b448e7d4fa5edc94dcb66b1493ad87b62291be4ddcbd61fb4f25346a8
efc0b3bfcec19ef704697bf0c4fd4f1f1cfb091dbfee9c7bf456fac02bcffcfedf
c846e7bbbc1f65452bdca87523edf0fd1a58cbd9a45e622e29d480d8d80ac331

106 個の FTP ファイルで共有された Imphash:

F34d5f2d4577ed6d9ceec516c1f5a744 (86 files)

61259b55b8912888e90f516ca08dc514 (10 files)

106 個の FTP ファイルのうち 82 個の Reg key が開かれた:

HKLM\Software\Microsoft\Fusion\LoggingLevel

106個のサンプルのうち、半数以上が以下のMITREテクニックを共有していました。

  • Execution TA0002
  • Windows Management Instrumentation T1047
  • Privilege Escalation TA0004
  • Process Injection T1055
  • Defense Evasion TA0005
  • Disable or Modify Tools T1562.001
  • Virtualization/Sandbox Evasion T1497
  • Process Injection T1055
  • Obfuscated Files or Information T1027
  • Software Packing T1027.002
  • Masquerading T1036
  • Credential Access TA0006
  • OS Credential Dumping T1003
  • Discovery TA0007
  • System Information Discovery T1082
  • Security Software Discovery T1518.001
  • Virtualization/Sandbox Evasion T1497
  • Application Window Discovery T1010
  • Process Discovery T1057
  • Collection TA0009
  • Data from Local System T1005
  • Command and Control TA0011
  • Non-Application Layer Protocol T1095
  • Application Layer Protocol T1071

その他の類似ファイル

Md5
14e4bfe2b41a8cf4b3ab724400629214
f1c29ba01377c35e6f920f0aa626eaf5
5420dcbae4f1fba8afe85cb03dcd9bfc
18e9cd6b282d626e47c2074783a2fa78
2499343e00b0855882284e37bf0fa327
0d8b1ad53fddacf2221409c1c1f3fd70
2499343e00b0855882284e37bf0fa327
0d8b1ad53fddacf2221409c1c1f3fd70
17f512e1a9f5e35ce5761dba6ccb09cb
b5c60625612fe650be3dcbe558db1bbc
a478540cda34b75688c4c6da4babf973
765f09987f0ea9a3797c82a1c3fced46
bbd003bc5c9d50211645b028833bbeb2
71b4db69df677a2acd60896e11237146
f4eebe921b734d563e539752be05931d
b4fd2d06ac3ea18077848c9e96a25142
1d3c8ca9c0d2d70c656f41f0ac0fe818
785bfaa6322450f1c7fe7f0bf260772d
2fa290d07b56bde282073b955eae573e
d70bb6e2f03e5f456103b9d6e2dc2ee7
0ede257a56a6b1fbd2b1405568b44015
fdd4cd11d278dab26c2c8551e006c4ed
dbcaa05d5ca47ff8c893f47ad9131b29
c9ca95c2a07339edb13784c72f876a60
c3b90a10922eef6d635c6c786f29a5d0
8ef7d7ec24fb7f6b994006e9f339d9af
f1c29ba01377c35e6f920f0aa626eaf5
fa4ffa1f263f5fc67309569975611640
754920678bc60dabeb7c96bfb88273de
2964ce62d3c776ba7cb68a48d6afb06e
8503b56d9585b8c9e6333bb22c610b54
eaaf20fdc4a07418b0c8e85a2e3c9b27
b6c849fcdcda6c6d8367f159047d26c4
de94d596cac180d348a4acdeeaaa9439
3f92847d032f4986026992893acf271e
ae158d61bed131bcfd7d6cecdccde79b
ブログカテゴリー

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail