日本郵政グループCISO様によるユーザー講演をオンデマンドで配信中!
Most Searched
従来のセキュリティアプローチには抜け道があり、コストが高く、セキュリティ チームにとって負担が大きいものでした。しかしメンロ・セキュリティは違いま す。最もシンプルかつ信頼のおける方法で業務を守り、オンラインの脅威からユー ザーやビジネスを分離します。
我々のプラットフォームは目に見えませんがオンラインユーザーがどこにいても保護しています。脅威は過去のものになり、アラートの嵐は過ぎ去りました。
データシート
従来のネットワークセキュリティは現在の複雑な環境を想定していません。SASEでこの問題を解決。
ソリューション概要
Menlo Labs は、脅威インサイト、専門知識、コンテキスト、およびツールを提供して、顧客が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。 このチームは、既知の脅威と未知の脅威にスポットライトを当てる専門的なセキュリティ研究者で構成されています。
購入ガイド
Menlo Labs は、知見、専門知識、コンテキスト、およびツールを提供して、お客様が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。
Menlo Security | 2月 23, 2023
Share this article
Menlo Labsは、PureCrypterダウンローダーを使って回避的なキャンペーンを行う未知の攻撃者を発見しました。政府機関を標的とし、Discordを使って配信されるPureCrypterキャンペーンは、侵害されたNPO(非営利法人)のドメインをコマンド&コントロール(C2)サーバーとして使用し、二次的なペイロードを配信します。このキャンペーンでは、Redline Stealer、AgentTesla、Eternity、Blackmoon、Philadelphia Ransomwareなどを含む複数の種類のマルウェアが配信されていたことがわかっています。アジア太平洋(APAC)地域および北米地域の複数の政府顧客において、Menlo Securityのクラウドセキュリティプラットフォームがパスワードで保護されたアーカイブファイルをブロックしたことから、この調査が開始されました。
Menlo Labsは、この攻撃者グループは、新しい攻撃インフラへの移動が必要になるまでの間、できる限り長く今のインフラを使い続けるだろうと考えています。マルウェアに認証情報を残すことはOpSecとしては失敗ですが、これによってアナリストは痕跡を辿ることができます。このケースでは、幸いにもMenlo Securityのクラウドセキュリティプラットフォームがこの攻撃をブロックしたため、Menlo Labsはこの攻撃を確認し、この攻撃者の追跡を開始することができました。
分析の結果、PureCrypterはAgentTeslaと思われる二次マルウェアをダウンロードしていることがわかりました。
PureCrypterは、リモートアクセス型トロイの木馬(RAT)やインフォスティーラーをダウンロードする高度なダウンローダーです。2021年3月から「hxxps[://]purecoder.sellix.io/」で販売されています。AgentTeslaは、さまざまなブラウザーからの保存されたパスワードの窃取、クリップボードロギング、画面キーロギング、画面キャプチャなどの機能を持つ高度なバックドアです。.netで書かれており、Windowsオペレーティングシステムのすべてのバージョンをサポートしています。
調査の結果、AgentTeslaはFTPサーバーへの接続を確立し、盗んだ被害者の認証情報を保存することがわかりました。このFTPサーバーは乗っ取られたもののようで、このドメインから流出した認証情報がオンラインで発見されたことから、攻撃者はこれらの認証情報を使ってサーバーにアクセスしたと考えられます。
また二次マルウェアのダウンロードリンクが、侵害された非営利法人のドメイン(この認証情報も漏洩がオンライン上で確認されました)になっていることも注目すべき点です。
私たちが分析したAgentTeslaマルウェアに似たサンプルは、Alejandro Gonzalo (e052450f2@891f4e7e1668[.]com) から送られてきた「FW: New Order no.5959」という件名のフィッシングメールから発見されました。悪意のある添付ファイルは「Nuevo pedido 7887979-800898.gz」という名前で、最初のケースで見つかったものと同じFTPサーバーの認証情報が含まれていました。
同じメールアドレスで、「New Order」と題された別の悪質なメールも発見され、「Ppurchase order6007979-709797790.gz」というファイルが添付されていましたが、こちらも感染プロセスの一部に同じFTPサーバー(ftp[://]ftp.mgcpakistan[.]com)が使われていたのです!
このFTPサーバー(ftp[://]ftp.mgcpakistan[.]com)は、OneNoteを使ってマルウェアを配信するキャンペーンでも確認されています。攻撃者は、被害者のデバイスから追加のマルウェアをダウンロードしたり情報を盗んだりする、悪意のあるOneNoteファイルへのリンクを含むフィッシングメールを送信しています。Menlo Labsのチームは、当該FTPサーバーを使用したファイルを合計で106個発見しました。
このキャンペーンではペイロードをホストするためにDiscordが使用されており、ペイロードへのリンクがメールで送信されます。PureCrypterはパスワードで保護されたZIPファイルを使用して既存の防御を回避します。以下は、VTにおけるこれらのパスワードで保護されたペイロードの検知率の低さを示すスクリーンショットです。
ペイロードを配信するために、攻撃者は以下のステップを踏んでいます:
上記のPureCrypterサンプル(md5 – 5420DCBAE4F1FBA8AFE85CB03DCD9BFC)から二次的なペイロードをダウンロードすることはできませんでしたが、感染した非営利法人から悪意のあるペイロードをダウンロードした類似のサンプルを特定することができました。さらに調査を進めると、これはAgentTeslaであり、(上のインテリジェンスのセクションで触れたように)パキスタンにあるFTPサーバーと通信していたことが判明しました。以下の技術的分析は、新しいサンプルmd5 -C3B90A10922EEF6D635C6C786F29A5D0)に対するものです。
このダウンロードされたバイナリは、初期の検知を回避するためにパックされています。以下のスクリーンショットに示すように、リソースセクションにDESアルゴリズムを使って暗号化されたAgentTeslaペイロードが含まれています。
暗号化されたペイロードのdes.IVとdes.Keyは、以下のスクリーンショットの通りです。
AgentTeslaは、プロセスホローイング技術を使用して、ペイロード(Md5 – BCF031AB2B43DC382B365BA3DF9F09BC) を cvtres.exe に注入します。これは、Windows OSのすべてのバージョンに存在する標準的なWindowsプロセスです。
AgentTeslaは、XORアルゴリズムを使って設定ファイルを暗号化します。以下のスクリーンショットは、xorでエンコードされた設定ファイルです。
Menlo Labsは、設定ファイルを復号化することができました。復号化されたファイルは以下の通りです。
復号化されたファイルには、AgentTeslaが被害者のデータをアップロードするFTPサーバーのCnCの詳細が含まれています。
AgentTeslaは、データを流出させるためにFTPを使用します。FtpWebRequestでは、以下のスクリーンショットに示すように、盗んだデータをサーバーに送信するために、FTPサーバーのパスと認証情報が必要です:
このスクリーンショットはFtpWebRequestの取得方法を示しています:
“ddd@mgcpakistan[.]com”パスワード
“password*” – セキュリティ上の理由から、ここには正しいパスワードは入れません。
Menlo Labsのチームは、この攻撃者の活動を引き続き監視します。この攻撃者は、脅威ランドスケープにおいて主要な役割を果たしているようには見えませんが、政府機関を標的にしていることから、彼らに注意しておくことは必要です。
“ftp://ftp[.]mgcpakistan[.]com/”Username: “ddd@mgcpakistan[.]com”
cents-ability.org
be18d4fc15b51daedc3165112dad779e17389793fe0515d62bbcf00def2c3c2d5732b89d931b84467ac9f149b2d60f3aee679a5f6472d6b4701202ab2cd80e99
a7c006a79a6ded6b1cb39a71183123dcaaaa21ea2684a8f199f27e16fcb30e8e5d649c5aa230376f1a08074aee91129b8031606856e9b4b6c6d0387f35f6629df950d207d33507345beeb3605c4e0adfa6b274e67f59db10bd08b91c96e8f5ad397b94a80b17e7fbf78585532874aba349f194f84f723bd4adc79542d90efed37a5b8b448e7d4fa5edc94dcb66b1493adad87b62291be4ddcbd61fb4f25346a8efc0b3bfcec19ef704697bf0c4fd4f1cfb091dbfee9c7bf456fac02bcffcfedfC846e7bbbc1f65452bdca87523edf0fd1a58cbd9a45e622e29d480d8d80ac331
F34d5f2d4577ed6d9ceec516c1f5a744 (86 files)61259b55b8912888e90f516ca08dc514 (10 files)
HKLM\Software\Microsoft\Fusion\LoggingLevel
106 個のサンプル中、半数以上で以下の MITRE テクニックが共有された:
Posted by Menlo Security on 2月 23, 2023
Tagged with
Threat Trends & Research
Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。 また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。