更新:Menlo Labsは、この研究の最初の分析が2021年11月に行われたことを明確にしたいと考えています。この間、この記事で紹介したTTPはTA551に関連付けられていました。この時期のその他の分析例はSANSが実施したもので、どちらもインターネット・ストーム・センターにあります。ここにそしてここに。2022年には、これらの同じTTPの一部がTA578にリンクされていることを認識しています。これを指摘する最近の分析は、パロアルトのユニット42。 引き続き、両方の脅威アクターを監視して、明確な帰属関係を確立しています。
エグゼクティブサマリー
メンローラボ脅威グループTA551の新たな標的型キャンペーンを追跡しています。TA551は金銭目的の犯罪脅威グループで、2016年頃からマルウェア配信サービスを運営していたと言われています。このグループは、フィッシング攻撃の手法に基づいて、攻撃の偵察段階にある程度重点を置いているようです。このグループは、Sliver マルウェアを標的型攻撃に利用しています。悪意のあるペイロードは有名なクラウドストレージプロバイダーから提供されるため、悪意のあるリンク分析を回避できます。そのため、チームはこのキャンペーンを次のように分類しています。 高回避型適応型脅威 (HEAT)。
現在までに、Menlo LabsはSliverを使用して被害者を感染させようとする2回の試みを阻止してきました。最初の攻撃はTA551の「盗まれた画像の証拠」フィッシングキャンペーンの一環で、2回目の攻撃は偽の「クライアントプロポーザル」キャンペーンの一部でした。
Sliver malwareは、TA551が悪意のあるペイロードをプッシュするために使用しているレッドチームおよび敵対者シミュレーションフレームワークです。TA551は以前、Ursnif、IceDid、Qbot、Emotetなどのマルウェアペイロードを配布していました。TA551は、これらの脅威、戦術、手続き(TTP)を利用して、最終的にランサムウェアを被害者に届けることが知られています。
盗まれた画像証拠フィッシングキャンペーン
この最初の攻撃では、TA551がさまざまなWebサイトのコンタクトフォームから生成された電子メールを送信します。これらのコンタクトフォームにより、サイト訪問者は企業と連絡を取ることができ、ほとんどの場合、メールアドレスを使用する必要がなくなります。TA551は、正規のGoogleドライブリンクを使用するとともに、被害者自身のインフラストラクチャ上にあるこれらのフォームを活用しています。これにより、保護を迂回できるようになり、この脅威は非常に回避しやすくなります。
フォームから送信されたこれらのメールには、メッセージ本文に悪意のある Google Drive リンクが含まれています。このメールは、著作権侵害につながった盗まれた画像の証拠を受け取るようユーザーに勧め、リンクをクリックさせるようにユーザーを誘導します。ただし、リンクをクリックすると、悪意のある Windows .dll をダウンロードする zip 形式の JavaScript ファイルが配信されます。
クライアント提案キャンペーン
2 回目の攻撃では、TA551 が 2 つの異なるメールを送信します。攻撃者からの最初のメールは、潜在的な新規クライアントからの問い合わせのように見せかけるためのものです。当社の評価によると、このメールは標的の受信トレイが監視されていることを確認するために使用されます。攻撃者は (メールに返信した被害者によって) 確認されると、「(USERNAME) が TransferNow でファイル (プロジェクトの詳細) を送信しました」という件名のメールをもう一度送信します。その後、このキャンペーンは、メッセージ本文に悪意のあるリンクを含むメールを被害者に送信します。このメールは、潜在的なクライアントからプロジェクト情報が送信されたと示唆して、ユーザーを誤解させてリンクをクリックさせます。ただし、リンクをクリックすると、悪意のあるショートカット LNK ファイルと悪意のある.dll を含む悪意のある ISO ファイルが配信されます。
感染ベクター
盗まれた画像証拠攻撃
- 攻撃者は、共有の Google ファイル/ドライブのように見える悪意のあるリンクをメールで送信しています。
- メールの件名は、「盗まれた画像の証拠」、「重大なエラー報告」、「アラート:お問い合わせフォームの送信」です。
- ユーザーがリンクをクリックすると、偽のGoogleドライブのランディングページに移動します。ユーザーがこのページにアクセスすると、Google Drive ロゴの画像と共有ファイルをダウンロードするためのリンクが表示されます。
- 「ダウンロード」ボタンをクリックすると、悪意のある JavaScript ファイルを含む悪質な.zip ファイルがダウンロードされます。
- ユーザーがスクリプトを実行すると、悪意のある.dllをダウンロードして実行します。
- .dll は 10.06MB で、「AppData\ Local\ Temp\ riuQtga.dat」(Qxioyfdvub.dll) に保存されます。
- 悪意のある .dll は C2 接続を確立します。
- 持続性の明らかな兆候は見られませんでしたが(コンピューターを再起動することでこの感染は終了しました)、コンピューターが稼働したままの場合、攻撃者はマルウェアを使用してさらにマルウェアをダウンロードし、被害者の環境での存在を確立または維持する可能性があります。
クライアント提案攻撃
- 攻撃者は、サウジアラムコの米国支店になりすまして、製品の相談を希望すると主張するなりすましメールを送信しています。
- メールヘッダーを調べると、実際のメールは「porkbun [.] com」ドメインから送信されていることがわかります。
- 被害者が最初の要求に応答すると、攻撃者は共有ファイルのように見える悪意のあるリンクを電子メールで送信します。
- メールの件名は「(ユーザー名) が TransferNow でファイル (プロジェクトの詳細) を送信しました」です。
- 被害者がリンクをクリックすると、ダウンロードファイルのランディングページに移動します。
- ダウンロードボタンをクリックすると、悪意のある.lnkファイルと悪意のある.dll (store.dll) を含む悪意のある.isoファイルがダウンロードされます。
- 被害者がショートカットの.lnkファイルをダブルクリックするか、.isoファイルを実行すると、悪意のある.dllファイルが実行されます。
- 悪質な.dllには「Store.dll」という名前が付いており、それを実行するためにロードされるエクスポートは「StoreApp」です。
- .dll は 10.06MB で、「C:\programdata\」ファイルの場所にインストールできます。
- 実行すると、ファイルは C2 への接続を試みます。
テクニカル分析
次に、これらの攻撃に使用された両方の悪意のある.dllサンプルを比較して、Sliverマルウェアをさらに詳しく調べます。最初に気付いたのは、ファイルのサイズが似ていることです。2 つ目に気付いたのは、どちらのサンプルも export (序数 1) としてリストされているエントリポイントを使用していることです。残りのエクスポートはランダム化されているように見えました。それらの数が多いのは反分析戦術であると評価しています。
次に、ファイルが「パックされた」方法を確認しました。これはカスタムパッカーだと評価しています。どちらのファイルも、一般的なパッカーの代わりに XOR 暗号化を使用しているようです。XOR キーはハードコードされていません。以下は主な UNXOR ループのスクリーンショットです。この後、Golang のリファレンスを見ることができるようになります。
各ファイルは、ペイロードに到達する前に同じ解凍メカニズムを経ます。ファイルがペイロードに入ると、Sliver フレームワークに関するすべての記述が表示されます。これらのペイロードの最大の違いは URL コールアウトだったと評価しています。それ以外の点では、「アンパック」ルーチンはほとんど同じであることがわかりました。
両方のファイルのネットワーク情報を調べたところ、次のことがわかりました。
- どちらもポート443を使用していました。
- どちらも同じ自律システムラベルを使用していました。
- リースウェブ-米国
- どちらも同じ URL パスでした。
- /bootstrap.min.js?_ =( #ID)
- /js/bootstrap.min.js?_ =( #ID)
- /dist/underscore.min.js?_ =( #ID)
- /js/jquery.min.js?_ =( #ID)
- /jquery.min.js?_ = (#ID)
結論
TA551は、既知の被害者に対して引き続き標的型攻撃を行う可能性があり、Menlo Labsは引き続き状況を監視します。現時点では、すべての攻撃はブロックされており、この機会に調査結果をコミュニティと共有しました。
この感染の連鎖全体は非常に回避力が高いようで、TA551はこのカスタムパッカーとSliverマルウェアを引き続き使用する可能性が高いと評価しています。これは、以前に使用されたマルウェアと比較して、VirusTotal(AV検出を回避できる)の検出率が低く、増加が遅いためです。
さらに、TA551は引き続き被害者自身のインフラストラクチャを使用して攻撃を支援する可能性が高いと評価しています。
IOCS
FILE HASHES:
lnk: AD2908988CB585D6FB1DC583C8F943C5BF5B4CEDD4B4BC90FD56C3FBBCD0A3CC
store.dll: ACF838CF0FE15C20F3321EEA5156E74410376542C17B22A194798CD0E054BF5D
iso: EB83CD63B575E15173D7F117D2A890982A536D4E641AFDF52720AD00983A047F
Qxioyfdvub.dll: 60a83accaa83f6db250a3529a12e916b8f1e61d3ade506fa79aa9cc3d360db21
Stolen Images Evidence.js: 4894d2c2635f5186c8ca3ab79cdb6235f805e9e0ca056c5c53d70b782a92f5c3
LANDING PAGES:
- hxxps[://]www[.]transfernow[.]net/en/dltransfer?utm_source=20211112J294PIlV&utm_medium=FjaYmYdy
- hxxps://storage.googleapis.com/m4b38h10cm38.appspot.com/gdrive/folders/0/public/d/490vfj4nvbf984.html?s=592801411871709187
- hxxps://storage.googleapis.com/m4b38h10cm38.appspot.com/gdrive/folders/0/public/d/49dfjn49vfjm.html?id=906799687552139923
- Malicious domain called by the above Google URLS:
- 104.21.91[.]115 - bacionera[.]top
Stolen Images Evidence.js traffic:
104.21.65[.]22 - sobolpand[.]top/333g100/index.php
104.21.65[.]22 - sobolpand[.]top/333g100/main.php
Qxioyfdvub.dll C2:
23.81.246[.]193 - nopogew[.]com:443:443 - GET /sample.txt?_=24307128
23.81.246[.]193 - nopogew[.]com:443 - GET /info.txt?_=43639523
23.81.246[.]193 - nopogew[.]com:443 - POST /admin/login.jsp?_=34297139
23.81.246[.]193 - nopogew[.]com:443 - GET /underscore.min.js?_=14130295
23.81.246[.]193 - nopogew[.]com:443 - POST /rest/login.php?_=29759540
23.81.246[.]193 - nopogew[.]com:443 - GET /static/underscore.min.js?_=34644478
23.81.246[.]193 - nopogew[.]com:443 - GET /js/underscore.min.js?_=429465
23.81.246[.]193 - nopogew[.]com:443 - GET /underscore.min.js?_=42953899
23.81.246[.]193 - nopogew[.]com:443 - GET /jquery.min.js?_=98185060
23.81.246[.]193 - nopogew[.]com:443 - GET /static/underscore.min.js?_=92424842
23.81.246[.]193 - nopogew[.]com:443 - GET /dist/underscore.min.js?_=99992372
23.81.246[.]193 - nopogew[.]com:443 - GET /js/underscore.min.js?_=83694471
23.81.246[.]193 - nopogew[.]com:443 - GET /bootstrap.min.js?_=23925416
23.81.246[.]193 - nopogew[.]com:443 - GET /jquery.min.js?_=69790205
23.81.246[.]193 - nopogew[.]com:443 - GET /underscore.min.js?_=66973448
23.81.246[.]193 - nopogew[.]com:443 - GET /static/bootstrap.min.js?_=16343884
23.81.246[.]193 - nopogew[.]com:443 - GET /dist/bootstrap.min.js?_=66112726
STORE DLL C2:
172.241.27[.]209 - hxxps[://]kirute[.]com:443 - GET /bootstrap.min.js?_=12990835
172.241.27[.]209 - hxxps[://]kirute[.]com:443 - GET /js/bootstrap.min.js?_=25686874
172.241.27[.]209 - hxxps[://]kirute[.]com:443 - GET /dist/underscore.min.js?_=77257874
172.241.27[.]209 - hxxps[://]kirute[.]com:443 - GET /js/jquery.min.js?_=61206031
172.241.27[.]209 - hxxps[://]kirute[.]com:443 - GET /jquery.min.js?_=57202607
EMAIL:
abdul.jabbar@porkbun[.]com