概要
Menlo Labsは、PureCrypterダウンローダーを使って回避的なキャンペーンを行う未知の攻撃者を発見しました。政府機関を標的とし、Discordを使って配信されるPureCrypterキャンペーンは、侵害されたNPO(非営利法人)のドメインをコマンド&コントロール(C2)サーバーとして使用し、二次的なペイロードを配信します。このキャンペーンでは、Redline Stealer、AgentTesla、Eternity、Blackmoon、Philadelphia Ransomwareなどを含む複数の種類のマルウェアが配信されていたことがわかっています。アジア太平洋(APAC)地域および北米地域の複数の政府顧客において、Menlo Securityのクラウドセキュリティプラットフォームがパスワードで保護されたアーカイブファイルをブロックしたことから、この調査が開始されました。
Menlo Labsは、この攻撃者グループは、新しい攻撃インフラへの移動が必要になるまでの間、できる限り長く今のインフラを使い続けるだろうと考えています。マルウェアに認証情報を残すことはOpSecとしては失敗ですが、これによってアナリストは痕跡を辿ることができます。このケースでは、幸いにもMenlo Securityのクラウドセキュリティプラットフォームがこの攻撃をブロックしたため、Menlo Labsはこの攻撃を確認し、この攻撃者の追跡を開始することができました。
感染チェーン
脅威インテリジェンス
分析の結果、PureCrypterはAgentTeslaと思われる二次マルウェアをダウンロードしていることがわかりました。
PureCrypter は、リモートアクセス型トロイの木馬(RAT)やインフォスティーラーをダウンロードする高度なダウンローダーです。2021年3月から「hxxps[://]purecoder.sellix.io/」で販売されています。 AgentTeslaは、さまざまなブラウザーからの保存されたパスワードの窃取、クリップボードロギング、画面キーロギング、画面キャプチャなどの機能を持つ高度なバックドアです。.netで書かれており、Windowsオペレーティングシステムのすべてのバージョンをサポートしています。
調査の結果、AgentTeslaはFTPサーバーへの接続を確立し、盗んだ被害者の認証情報を保存することがわかりました。このFTPサーバーは乗っ取られたもののようで、このドメインから流出した認証情報がオンラインで発見されたことから、攻撃者はこれらの認証情報を使ってサーバーにアクセスしたと考えられます。
また二次マルウェアのダウンロードリンクが、侵害された非営利法人のドメイン(この認証情報も漏洩がオンライン上で確認されました)になっていることも注目すべき点です。
私たちが分析したAgentTeslaマルウェアに似たサンプルは、Alejandro Gonzalo (e052450f2@891f4e7e1668[.]com) から送られてきた「FW: New Order no.5959」という件名のフィッシングメールから発見されました。悪意のある添付ファイルは「Nuevo pedido 7887979-800898.gz」という名前で、最初のケースで見つかったものと同じFTPサーバーの認証情報が含まれていました。
同じメールアドレスで、「New Order」と題された別の悪質なメールも発見され、「Ppurchase order6007979-709797790.gz」というファイルが添付されていましたが、こちらも感染プロセスの一部に同じFTPサーバー(ftp[://]ftp.mgcpakistan[.]com)が使われていたのです!
このFTPサーバー(ftp[://]ftp.mgcpakistan[.]com)は、OneNoteを使ってマルウェアを配信するキャンペーンでも確認されています。攻撃者は、被害者のデバイスから追加のマルウェアをダウンロードしたり情報を盗んだりする、悪意のあるOneNoteファイルへのリンクを含むフィッシングメールを送信しています。Menlo Labsのチームは、当該FTPサーバーを使用したファイルを合計で106個発見しました。
感染ベクター/技術的詳細
このキャンペーンではペイロードをホストするためにDiscordが使用されており、ペイロードへのリンクがメールで送信されます。PureCrypterはパスワードで保護されたZIPファイルを使用して既存の防御を回避します。以下は、VTにおけるこれらのパスワードで保護されたペイロードの検知率の低さを示すスクリーンショットです。
ペイロードを配信するために、攻撃者は以下のステップを踏んでいます:
- パスワード保護された悪意のあるZIPファイルを指し示すDiscordアプリのURLを含むメールが被害者に送信されます。(https://cdn[.]discordapp.com/attachments/1006638283645784218/1048923462128914512/Private_file__dont_share.zip、pwd - 1234, md5- 967f9bc90202925e1f941c8ea1db2c94)
- このZIPは、PureCrypter(md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC)という.netで書かれたローダーを展開します。このローダーは、以下のスクリーンショットに示されている、侵害された非営利法人から二次的なペイロードをダウンロードしようとします。調査時点では、侵害された非営利法人のWebサイトはダウンしており、そのセカンダリペイロードを取得することはできませんでした。
上記のPureCrypterサンプル(md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC)から二次的なペイロードをダウンロードすることはできませんでしたが、感染した非営利法人から悪意のあるペイロードをダウンロードした類似のサンプルを特定することができました。さらに調査を進めると、これはAgentTeslaであり、(上のインテリジェンスのセクションで触れたように)パキスタンにあるFTPサーバーと通信していたことが判明しました。以下の技術的分析は、新しいサンプルmd5 -C3B90A10922EEF6D635C6C786F29A5D0)に対するものです。
侵害された非営利法人からダウンロードされたセカンドステージのペイロードを示すコードスニペット
このダウンロードされたバイナリは、初期の検知を回避するためにパックされています。以下のスクリーンショットに示すように、リソースセクションにDESアルゴリズムを使って暗号化されたAgentTeslaペイロードが含まれています。
暗号化されたペイロードのdes.IVとdes.Keyは、以下のスクリーンショットの通りです。
AgentTeslaは、プロセスホローイング技術を使用して、ペイロード(Md5 - BCF031AB2B43DC382B365BA3DF9F09BC) を cvtres.exe に注入します。これは、Windows OSのすべてのバージョンに存在する標準的なWindowsプロセスです。
AgentTeslaは、XORアルゴリズムを使って設定ファイルを暗号化します。以下のスクリーンショットは、xorでエンコードされた設定ファイルです。
Menlo Labsは、設定ファイルを復号化することができました。復号化されたファイルは以下の通りです。
復号化されたファイルには、AgentTeslaが被害者のデータをアップロードするFTPサーバーのCnCの詳細が含まれています。
ネットワーク通信
AgentTeslaは、データを流出させるためにFTPを使用します。FtpWebRequestでは、以下のスクリーンショットに示すように、盗んだデータをサーバーに送信するために、FTPサーバーのパスと認証情報が必要です:
このスクリーンショットはFtpWebRequestの取得方法を示しています:
"ddd@mgcpakistan[.]com"
パスワード
"password*" - セキュリティ上の理由から、ここには正しいパスワードは入れません。
まとめ
Menlo Labsのチームは、この攻撃者の活動を引き続き監視します。この攻撃者は、脅威ランドスケープにおいて主要な役割を果たしているようには見えませんが、政府機関を標的にしていることから、彼らに注意しておくことは必要です。
IOCS
FTP
“ftp://ftp[.]mgcpakistan[.]com/”
Username: “ddd@mgcpakistan[.]com”
HTTP
cents-ability.org
be18d4fc15b51daedc3165112dad779e17389793fe0515d62bbcf00def2c3c2d
5732b89d931b84467ac9f149b2d60f3aee679a5f6472d6b4701202ab2cd80e99
Malware
a7c006a79a6ded6b1cb39a7118312 3dcaaaa21ea2684a8f199f27e16fcb30e8e
5d649c5aa230376f1a08074aee91129b8031606856e9b4b6c6d0387f35f6629d
f950d207d33507345beeb3605c4e0adfa6b274e67f59db10bd08b91c96e8f5ad
397b94a80b17e7fbf78585532874aba349f194f84f723bd4adc79542d90efed3
7a5b8b448e7d4fa5edc94dcb66b1493ad87b62291be4ddcbd61fb4f25346a8
efc0b3bfcec19ef704697bf0c4fd4f1f1cfb091dbfee9c7bf456fac02bcffcfedf
c846e7bbbc1f65452bdca87523edf0fd1a58cbd9a45e622e29d480d8d80ac331
106 個の FTP ファイルで共有された Imphash:
F34d5f2d4577ed6d9ceec516c1f5a744 (86 files)
61259b55b8912888e90f516ca08dc514 (10 files)
106 個の FTP ファイルのうち 82 個の Reg key が開かれた:
HKLM\Software\Microsoft\Fusion\LoggingLevel
106個のサンプルのうち、半数以上が以下のMITREテクニックを共有していました。
- Execution TA0002
- Windows Management Instrumentation T1047
- Privilege Escalation TA0004
- Process Injection T1055
- Defense Evasion TA0005
- Disable or Modify Tools T1562.001
- Virtualization/Sandbox Evasion T1497
- Process Injection T1055
- Obfuscated Files or Information T1027
- Software Packing T1027.002
- Masquerading T1036
- Credential Access TA0006
- OS Credential Dumping T1003
- Discovery TA0007
- System Information Discovery T1082
- Security Software Discovery T1518.001
- Virtualization/Sandbox Evasion T1497
- Application Window Discovery T1010
- Process Discovery T1057
- Collection TA0009
- Data from Local System T1005
- Command and Control TA0011
- Non-Application Layer Protocol T1095
- Application Layer Protocol T1071