政府機関への標的型攻撃


エグゼクティブサマリー

Trellix メールセキュリティ リサーチチームは、2021 年以降、アフガニスタン、インド、イタリア、ポーランド、米国の政府機関を標的とした悪意のあるキャンペーンを発見しています。この攻撃は、地政学的テーマのスピアフィッシングメールから始まります。スピアフィッシングメールは、インドとアフガニスタンの関係をテーマにしていました。攻撃者は政治をおとりとして利用し、ユーザーをだまして悪意のあるリンクをクリックさせました。このフィッシング攻撃に使用された電子メールには、添付ファイルまたは Excel シートを配信する攻撃に使用するURL が含まれています。Excel シートを開くと、Excel は埋め込まれた悪意のあるマクロを実行し、リモートアクセス型トロイの木馬 (AysncRAT および LimeRAT) をインストールし、持続性を維持します。リモートアクセス型トロイの木馬が被害者のマシンにインストールされると、被害者のデータを盗み出すために使用されるコマンドアンドコントロール サーバーとの通信を確立します。リモートアクセス型トロイの木馬は、スクリーンショットの撮影、キーストロークのキャプチャ、資格情報/機密情報の記録、および感染したシステムをボットネットに追加することができます。また、ネットワーク検出を実行し、影響を受ける組織内の他のシステムに横方向に移動することもできます。この攻撃で使用された電子メールは、南アジア地域から発信されたものであり、南アジアの攻撃者の関与を示唆しています。Trellix Email Security には、この悪意のあるキャンペーンを検出範囲としています。

図 1. 対象国図 1. 対象国


脅威の状況

Trellix Email Security 製品は、攻撃チェーン全体を追跡し、最終的なペイロードを分析できます。このシナリオでは、電子メール -> URL -> ZIP -> XLS -> マクロのチェーンと続きます。ついに、当社の脅威データベースは、復号化を実行し、実行可能オブジェクトを作成し、プロセス インジェクションを実行し、その他の悪意のある手法を利用する悪意のあるマクロを検出することができました。Trellix Email Security は、FE_APT_Dropper_Macro_DoubleHide_1 という名前の悪意のある Excel シートを検出しました。

図 2. 攻撃のタイムライン図 2. 攻撃のタイムライン


攻撃のタイムライン

図 2 に示すように、この攻撃は 1 年以上活動していました。攻撃者は短い間隔で電子メールを送信し、その後再び隠れました。これに続いて、同様の波が続きました。攻撃の最初の波は 2021 年 3 月から 4 月の間に発見され、続いて 2021 年 7 月に別の攻撃が、2021 年 12 月に再び、そして最近では 2022 年 3 月末に発生しました。


メールの詳細

攻撃者は、無料のメール サービス Gmail を使用して、スピア フィッシング メールを送信しました。メール ヘッダーの分析に基づいて、メールが Google サーバーから発信され、南アジア地域から送信されたことが明らかになりました。電子メール送信者のタイム ゾーン(+0500 UTC)は、南アジアの脅威アクターの関与をさらに示唆しています。

図 3. 電子メールのヘッダー図 3. 電子メールのヘッダー

スピアフィッシングメールは、インドに関連する地政学的ニュースをテーマにしていました。たとえば、 「(カブールに潜伏していた) インド国民が今夜カブールで殺害されている」「ダム プロジェクトから行方不明になっているインド人労働者」などです。最近では、この電子メールは「24 時間で 31 人の Covid 死亡者: NDTV による情報キャンペーン」という件名のCOVIDテーマを使用していました。電子メールには、悪意のある ZIP ファイルを提供する Google ドライブのリンクが含まれていました。場合によっては、悪意のある ZIP が電子メールの添付ファイルとして送信されました。ZIP には、RAT (リモートアクセス型トロイの木馬) をドロップするために使用される Office ドキュメントが含まれています。

図 4. メールのサンプル図 4. メールのサンプル

図 5. 攻撃チェーン図 5. 攻撃チェーン


技術的な詳細

ドキュメント ファイル (DOC/XLS) はドロッパーとして機能し、「msword.exe」という名前のファイルをドロップして実行します。Excel シートには、ドキュメント ファイルを開いたときに有効になる VBA マクロが含まれています。悪意のある実行可能コードは、ドキュメント ファイル自体 (フォーム テキスト フィールド内) に base64 エンコード形式で格納されます。VBA マクロは、base64 コンテンツを読み取ってデコードし、ハードコードされた XOR キーを使用してデコードされたコンテンツを復号化します。複数レベルの base64 デコードと XOR 復号化を使用して、悪意のある実行可能ファイルを難読化します。

図 6. マクロを含む XLS図 6. マクロを含む XLS

図 7. マクロ コード: ワークブックを開く図 7. マクロ コード: ワークブックを開く

図 8. マクロ コード: Workbook Open イベント内で呼び出されるメイン関数図 8. マクロ コード: Workbook Open イベント内で呼び出されるメイン関数

XOR キー :
“MxjnbvbX%$#@c%%!@#$C%^&*(K(*&K0^%$W$@!&@#$C%EGGGxcel^MicrosoLKHGFD^%$W@2017!& ^%$#lx^&%$0”

図 9. マクロ コード: XOR 関数図 9. マクロ コード: XOR 関数

「msword.exe」は SFX アーカイブの実行可能ファイルであり、図 10 に示すように複数の悪意のある実行可能ファイルが含まれています。

図 10. msword.exe の内容図 10. msword.exe の内容

ファイル名 ファイル情報
3_5 LimeRAT [Runtime: .Net Framework 2.0]
4 AsyncRAT [Runtime: .Net Framework 4]
4_5 AsyncRAT [Runtime: .Net Framework 4.5]
4_5_1 AsyncRAT [Runtime: .Net Framework 4.5.1]
4_5_2 AsyncRAT [Runtime: .Net Framework 4.5.2]
4_6 AsyncRAT [Runtime: .Net Framework 4.6]
4_6_1 AsyncRAT [Runtime: .Net Framework 4.6.1]
4_7 AsyncRAT [Runtime: .Net Framework 4.7
4_7_2 AsyncRAT [Runtime: .Net Framework 4.7.2]
igfx.exe Delphi コンパイル ファイルは、利用可能な .Net バージョンに従って RAT ファイルをインストールします。

「msword.exe」を実行すると、上の表に示す RAT ファイルがドロップされます。これらの RAT 実行可能ファイルは、「Crypto Obfuscator For .Net」を使用して難読化されています。「msword.exe」は、次のアクションを実行するプロセス「igfx.exe」を開始します。

  • レジストリ内の .NET バージョンを確認します。インストールされているバージョンに基づいて、互換性のある RAT ファイルの名前を「excel.exe」に変更します。
  • レジストリ キーをチェックして、次に示す順序で .NET バージョンを特定します。見つかった場合は、.NET バージョンに対応するランタイム ファイル (AsyncRAT) のバージョンが選択されます。レジストリ キーが見つからない場合は、ファイル「3_5」(LimeRAT) が使用されます。
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.5
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.5.1
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.5.2
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.6
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.6.1
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.7
    • HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4.7.2
  • 「excel.exe」のファイル属性を非表示および読み取り専用に設定します。
  • 永続化のために「実行」レジストリ エントリを追加します。
  • 未使用の RAT 実行可能ファイルを削除します。
  • 「excel.exe」プロセスを開始します。

図 11. プロセス チェーン図 11. プロセス チェーン

図 12. レジストリ エントリの実行図 12. レジストリ エントリの実行

AsyncRATLimeRATの両方のソース コードが公開されています。


非同期rat 設定の構成

  • Ports = “6606”
  • Hosts = “107.173.143.111”
  • Version = “2.5.7b”
  • Install = “false”
  • InstallFolder = “AppData”
  • InstallFile = “msexcl.exe”
  • Key = “MZ-RX
  • MTX = “%MTX%”;
  • Certificate = “%Certificate%”
  • Serversignature = “%Serversignature%”
  • X509Certificate2 ServerCertificate;
  • Anti = “false”;
  • Aes256 aes256 = new Aes256(Key);
  • Pastebin = “null”;
  • BDOS = “false”;
  • Delay = “24”;
  • Group = “Debug”;

非同期ratコマンド

  • サーバーコマンド
ポン クライアントから間隔を取得
プラグイン プラグインファイルの実行/読み込み
セーブプラグイン プラグインファイルを保存して実行
  • クライアント コマンド:
クライアント情報 システム情報をサーバーに送信
ピング ping サーバー
送信プラグイン サーバーからプラグインを取得

Rime ratの設定構成

  • Pastebin = “https://pastebin.com/raw/DDTVwwbu”
  • HOST = “107.173.143.111”
  • PORT = “8989”
  • EncryptionKey = “MZRX”
  • ENDOF = “|’N’|”
  • SPL = “|’L’|”
  • EXE = “CLIENT.exe”
  • USB = “false”
  • PIN = “false”
  • ANTI = “false”
  • DROP = “false”
  • PATH1 = “Temp”
  • PATH2 = “\Lime\”
  • fullpath = Environ(PATH1) & PATH2 & EXE
  • BTC_ADDR = “THIS IS YOUR BTC 1234567890” ‘Bitcoin address
  • DWN_CHK = “true”
  • DWN_LINK = “”
  • Delay = “3”

Rime rat コマンド

  • サーバーコマンド
IPSend タイマーを実行
IP タイマーを停止
ICAP キャプチャ画面のサムネイル
CPL プラグインがインストールされているかどうかを確認
IPL プラグインを保存してからロードする(サーバー送信プラグイン)
ILM プラグインを保存せずに読み込む (サーバー送信プラグイン)
  • クライアント コマンド
INFO システム情報を送信
IP サーバーへのping
IPStart タイマー開始
#CAP サムネイルの送信
GPL サーバーからプラグインを取得
MSG メッセージを送信

これらの RAT は、既存またはユーザー定義のプラグインを使用して機能を拡張できます。分析の時点で、AsyncRAT と LimeRAT の両方が C2 サーバー「107.173.143.111」から応答を取得していませんでした。

検出とインジケータ
FE_APT_Dropper_Macro_DoubleHide_1

MITRE ATT&CK テクニック

T1071 アプリケーション層プロトコル HTTP/DNS リクエストは C&C トラフィックで使用
T1036 マスカレード 登録されたタスク/サービスは、名前によって良性に偽装
T1056 入力キャプチャ キーロギング機能
T1113 画面キャプチャ 被害者の画面をキャプチャ
T1115 クリップボード データ アプリケーション内またはアプリケーション間で情報をコピーしているユーザーから、クリップボードに保存されているデータを収集
T1049 システム ネットワーク接続の検出 ネットワークへのラテラル ムーブメントのネットワーク検出を実行
T1547 ブートまたはログオンの自動開始の実行 レジストリを介して永続化するときに実行エントリが作成
T1204 ユーザー実行 悪意のある xls を開いてマクロを実行
T1041 C2 チャネルを介した流出 CNC チャネルを使用して盗まれたデータを送信
T1137 Office テンプレート マクロ マクロ実行時に悪意のあるコードを実行

IOCs:

ファイル名 SHA256
3_5 7a6b87a7ba79160232579157b8ebcaea7660392d98cb6b8b3d562a383a0894bc
4 5e44f769aa9a745ade82589bbbd17c3687f2fb7c08b1043d8c5c44d28eaa20a9
4_5 fe1c8b01f5abc62551b0a3f59fe1675c66dd506d158f5de495a5d22d7445e6e9
4_5_1 fa9cb5608841f023052379818a9186496526039bc47cac05a6866f5fb0e70fc5
4_5_2 080fcc70c11248eaf34bd30c0dc9800b0b1742fe92c96c9995a1c73c0adf2336
4_6 465a59b7a97364bc933703a8fda715090c6a927f814bc22a0057e6a7134cb69f
4_6_1 5e082d1c85e591aebb380d7d7af56000ac0ef5fc32e216cb5fe7027bb9861743
4_7 f59dc209ee236e5ed78f83117865164e57a223f742c75f57c20d3da4cbe179e0
4_7_2 f32b0d71274ea93f27527079371e5e926e8d6a6f29d84ac602e48da0332c9f4c
igfx.exe 8248432bcba6e8bb8731c0b8f2fbe4aae2e2d0fee2157477c83343743c39c1a8
msword.exe 06064b3b0158efbfa9d849c853a9783c7e9d07c5924275d0d33c6ac74c78eec7
不明.xls 886c5883113d279d97caaca2714860dfceb421c7297dbb3ee04a00b7d50b821b
不明.ZIP b9584cf67e73a759d6c412962d4a9d7471c703f72e056cd24742a4b78c68ff2d

URL: hxxps://drive.Google.com/u/0/uc?id=1nU6-jGVnOKeZofflu8hfx2t83lAB9TPI&export=download CnC
: 107.173.143.111

メールの件名:

9th Herat Security Dialogue (HSD- IX) & Chabahar port Update
feb212021_kabul.contact@gmail.com
Information & Guidance
Fwd: Combined MoFA Recruitment Approval
Guests List – Media Release (Personal & Confidential)
Indian workers missing from the dam project
Indian Nationals ( who were hidden in Kabul ) Killing in Kabul Tonight
11 Indian Nationals found dead in Kabul
Circular
Indian Nationals Killing in Kabul
31 Covid Deaths In 24 Hours: Information campaign by NDTV

メール送信者:

kabul.contact@gmail.com
mashrefhaideri@gmail.com
latifmahmood66666@gmail.com
fscon.kab@gmail.com
admn.kabul@gmail.com
ravish49.ndtv@gmail.com

※本ページの内容は2022年7月13日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Targeted Attack on Government Agencies
著者:  Sushant Kumar Arya, Mohsin Dalla