みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

ランサムウェアDoppelPaymer運営者によるリークサイトの開設

f:id:micro_keyword:20200225223637j:plain:w400

セキュリティ情報サイトBleepingComputerによると、ランサムウェアDoppelPaymerの運営者が、身代金の要求に応えなかった被害者のファイルを公開するための専用サイトの開設を確認したとのことです。

www.bleepingcomputer.com

今回はこの件について、簡単にまとめます。


目次


確認されたリークサイト

今回確認されたリークサイトはこのようなものです。

https://www.bleepstatic.com/images/news/ransomware/d/doppelpaymer/leak-site/pemex-page.jpg

https://www.bleepstatic.com/images/news/ransomware/d/doppelpaymer/leak-site/doppel-leaks-site.jpg

DoppelPaymerのオペレーターによると本サイトはテスト段階であるとのことで、BleepingComputerは伝えられているとのことです。

ん、ランサムウェアのオペレーターと連絡が取れるBleepingComputerって何。。。

現在、このテストサイトでは、被害に遭ったとみられる4社の情報が掲載されているとのことです。


DoppelPaymerとは

DoppelPaymerは、そのコードの類似性から、BitPaymerの派生形だと考えられています。

www.crowdstrike.com

BitPaymerは、CrowdStrikeがINDRIK SPIDERと名付けている攻撃グループの利用するランサムウェアです。

支払い用のポータルサイトもほとんど同じですね。 上がBitPaymerで、下がDoppelPaymer。

https://www.crowdstrike.com/blog/wp-content/uploads/2019/07/Figure-1-B.png

https://www.crowdstrike.com/blog/wp-content/uploads/2019/07/Figure-5-B-1.png

ちなみに、INDRIK SPIDERは、Dridexというカスタムマルウェアを利用することでも知られています。

Dridexについては、こちらでも述べているのでご参考にどうぞ。

micro-keyword.hatenablog.com

話は戻りますが、DoppelPaymerによる最初被害は、2019年6月に標的にされたとのことですが、検体のコンパイルタイムは2019年4月であることを確認されているとのことです。

とはいえ、相当新しいマルウェアであると同時に、昨年Sodinokibiがはやり始めたくらいの時期から登場しているものだということがわかります。


過去に確認された同様の手法

2019年の12月、ランサムウェアMazeを利用するグループによって同様の手法を用いた脅迫および情報公開が行われました。

当時は、アメリカのジョージア州にある大手ケーブルメーカーSouthwireに対し攻撃を行いました。

その後、2020年1月に入ってから攻撃後の金銭要求に従われていないことを確認したためか、Mazeが管理するサイトに窃取したデータを公開されました。

www.bleepingcomputer.com

この時は医療系の研究機関であるMedical Diagnostic Laboratoriesも被害に遭い、感染端末から窃取されたデータ9.5GBがMazeの運用するWebサイト上で公開されました。

www.bleepingcomputer.com

今回のDoppelPaymerの動きも、こういった方法を踏襲しているとみられます。

なお、近頃日本国内でも感染が活発してきている、ランサムウェアNemtyについても言及しておかなければなりません。

www.secure-sketch.com

こちらについても、Nemtyのアフェリエイトパネル上に、専用のWebページに関する情報が公開されていることが確認されています。

https://www.bleepstatic.com/images/news/ransomware/n/nemty/data-extortion-site/nemty-plans.jpg

www.bleepingcomputer.com

Nemtyについては、過去に記事を書いているので、ご参考までにご覧ください。

micro-keyword.hatenablog.com


まとめ

WannacryやNotPetyaが流行った2017年、Cryptminerが流行った2018年ときて、2019年はランサムウェア回帰、そして、2020年はランサムウェア+情報窃取機能みたいな流れになっているのでしょうか。

先日、MBSDさんが書かれていたRyuk Stealerなんかもまさに近い手法をとっていますよね。

www.mbsd.jp

私のブログでもちょうど昨年に、書いてみた記事があったのですが、国内のベンダーがその名義で記事を書いているということは日本でも感染が増えてきているということなのか。。。

micro-keyword.hatenablog.com

そして、マルウェアもそうですが、個人的には新型コロナウィルスにビビっています。。

昔だったら、世間のあおりに流されないかっこよさみたいなものを覚えていた気もしますが、 今は、なるべく感染しないようにということだけを心掛けています。

健康あっての仕事だし、その他もろもろですからね。

何とか収束に向かうことを祈っています。

WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて

f:id:micro_keyword:20200221015158j:plain:w400

セキュリティベンダーのトレンドマイクロより、ハッカー集団DRBControlに関するレポートが公開されました。

www.trendmicro.com

https://documents.trendmicro.com/assets/white_papers/wp-uncovering-DRBcontrol.pdf

トレンドマイクロがDRBControlと名付けたこのグループは、調査の結果、中華系の標的型攻撃グループとして有名なWinntiおよびAPT27との関連が見られるとのことで、本レポートでは言及されていました。

当該内容に触れつつ、まとめた内容を記載します。


目次


DRBControlの概要

今回、DRBControlが注目された大きな理由は、確認された2種類の新しいマルウェアだとされています。 当該検体は、標的型攻撃を受けたフィリピンの企業から見つかったもので、TrendMicroのインシデントレスポンス対応の結果判明したとのことでした。

さらに、トレンドマイクロの観測によると、DRBControlの主な狙いは、東南アジアにある、ギャンブルなどとの関連が深い企業だそうで、ヨーロッパや中東も狙われている可能性があるとのことでした。

そんな、攻撃グループですが、日本も全くの無関係ではないと推測されます。

その一因として、過去に日本への標的型攻撃を行った中華系の攻撃グループWinntiとの関連や同じく中華系の標的型攻撃グループAPT27との関連が疑われるからです。

詳細については、次の章以降で記載します。

なお、攻撃者の侵入経路としては、メールに添付されたドキュメントファイルが起点となるもので、以下の3種類が確認されているとのことです。

  • そのドキュメントファイルに含まれる、スクリーンショットをダブルクリックさせることで実行される
  • ドキュメントファイルに紐づいたBATファイルがダウンローダとして動作し検体を落としてくる
  • ドキュメントファイルに含まれるPowershellの実行により検体を落としてくる

Winntiとのつながり

Winntiについては、最近の攻撃への言及で記事を書いたので、そちらを参考にしていただくといいかと思います。

micro-keyword.hatenablog.com

そして、今回の攻撃グループとの関連の根拠は以下だと述べられています。

  • 以下の検体が持つ、Mutexの値がWinntiグループとの関与を連想させる
    • 今回の攻撃で利用が確認された、Trochilus RAT(別名Redleaves)をドロップするカスタムインストーラ
    • Winntiグループのインフラに属するドメイン名につながるBbsRat

こちらに関しては、攻撃インフラの類似性もあることから、関連性は高いであろうと、推測されています。


APT27とのつながり

結論から言うと、今回のレポートでは、APT27との関連は、攻撃で使われたツールの一つである、HyperBroがもともとAPT27の独自マルウェアとされていたことが関係していて、その事実のみが根拠だとのことでした。

ただそれだけでは物足りなく感じたのと、私自身、APT27については、あまり知らなかったので、簡単に調べてみました。

すると、以下のような記事と関連がありました。

https://www.cybereason.co.jp/blog/cyberattack/3694/

こちらについては、昨年、私のブログでもまとめてみたものがあるので、参考にしていただければと思います。

micro-keyword.hatenablog.com

この時のサイバーリーズンの記事からは、以下のことがわかります。

  • China ChopperがAPT27やAPT40で使われていたこと
  • HTRANがAPT3やAPT27、DragonOKで利用されていたこと
  • そして、このOperation Soft Cell自体が、APT10との関連が疑われること

APT27自体は、Cyber Espionageとも言われる諜報活動を行うことで知られているとのことです。

もしすると、中華系の標的型攻撃グループ同士はツールを共有するような風潮があるのかもしれないですし、これらすべてが一つの大きな傘の下に属しているかもしれないです。

真相はわかりませんが、さらに事実を並べることで色々見えてくるかもしれません。

そういった意味では、先日某電機企業を狙ったと報道された、中華系の標的型攻撃グループTickやBlacktechとの関連も見えてきたりするのかも。。。


DRBControlが使う新しいマルウェア

レポートの中ではいくつかのマルウェアが紹介されていましたが、まず、新たに発見された2つのバックドアについて紹介します。

いずれのマルウェアについても、攻撃者の用意するC2サーバへのアクセス方法については共通しており、以下の特徴があるとのことです。

それでは、詳細な特徴を簡単にまとめたもの記載します。

新マルウェア-タイプ1

  • Microsoftが署名したMsMpEng.exeによるDLLサイドローディング
  • Windows Defenderのプロセス名を模倣
  • 9つのバージョンあり
  • 2019年の5月から10月で開発
  • すべてのバージョンでDropboxをC2サーバとして利用し、盗んだ情報を蓄積。

新マルウェア-タイプ2

  • Microsoftが署名したMsMpEng.exeによるDLLサイドローディング
  • C2ドメインとポートを含む設定ファイルを利用
  • 当該設定ファイルには、マルウェアのコピーを作成するディレクトリおよびファイル名も含まれる。
  • 永続化機能あり。
    • 最初の実行時に難読化された構成ファイルをレジストリキーに隠しておく

その他のマルウェア

  • PlugX
  • Trochilus RAT(Redleaves)
  • HyperBro(APT27専用のもの)
  • CobaltStrike

潜入後に利用するツール

  • Clipboard stealer
  • EarthWorm network traffic tunnel
  • Public IP address retriever
  • NBTScan tool
  • Brute-force tool
  • Elevation of privilege vulnerability tool
  • Password dumpers
  • UAC bypass tools
  • Code loaders

まとめ

レポートにはこの記事で紹介した内容以外にも、侵入後のコマンドではどんなものが使われたかなど記載してあるので、参考にしてみるとよいかと思います。

冒頭で述べたように、他の攻撃グループとの関連は確固たる証拠にはならないものの何かしらの関係性はあるように見えます。

今後も何か新たに分かったことがあれば随時、記事を書いていこうかと思います。

スマートデバイスをBluetooth経由で第三者が操作できてしまう脆弱性SweynToothについて

f:id:micro_keyword:20200216174107j:plain:w400

シンガポール工科デザイン大学(Singapore University of Technology and Design)学者より、Bluetoothを実装するデバイスに影響を及ぼす脆弱性が公開されました。

https://asset-group.github.io/disclosures/sweyntooth/sweyntooth.pdf

併せて、専用のサイトも公開されています。

ASSET Research Group: SweynTooth

このレポートでは、Bluetooth Low Energy(BLE)通信を実装するSoC(System on a Chip)における脆弱性について、記載されており、当該脆弱性をSweynToothと名付けています。


目次


公開された脆弱性と影響を受ける製品

SweynToothは全部で12の脆弱性より構成されています。

https://zdnet1.cbsistatic.com/hub/i/2020/02/15/4f6154a4-e0d8-484b-9e42-36a6735811c5/sweintooth-flaws.png

リストに記載の通り、カテゴリはおおまかに3つです。

なお、脆弱性に関する詳しい概要は、BleepingComputerにまとまっていたので、興味がある方はこちらをご参考にしてください。

www.bleepingcomputer.com

そして、影響を受けるデバイスのリストも公開しています。

https://www.bleepstatic.com/images/news/u/1100723/2020%20Misc/rods_affected-SweynTooth.png

FitbitやXiaomi、Samsungなどの有名企業の製品も含まれていることがわかります。

そして、表からもわかる通り、医療用のスマートデバイスも含まれることから、命に係わる問題を引き起こしかねない状況にあることも確認できます。


実際にスマートデバイスが攻撃される様子

今回レポートを公開した、調査チームにより、実際に脆弱性の検証を行った際の動画が公開されています。

Fitbitのスマートウォッチのクラッシュ

CubiTag(落とし物防止タグ)のデッドロック

動画で示されている通り、スマートデバイス脆弱性の影響を受けていることがわかりますね。

特に、CubiTagに関しては、デッドロック後、バッテリーを入れなおして再起動しなければならなくなっているのが衝撃ですね。

高度な嫌がらせができてしまいます。。。

FitbitはCharge3とAce2というモデルが対象です。


Charge3のレビュー見ると700件近くあり、買っている人も多そうですね。


Ace2はめちゃくちゃ高いです。。 この値段で買って脆弱性あるなんて言われたらたまったものじゃないですよね。。


CubiTagはこちらのようですが、あまり買っている人はいない感じですかね。


スマートプラグEve Energyのクラッシュ

スマートキーAugust Smart Lockのクラッシュ

こちらも、デバイスがクラッシュしている様子がわかりますね。

動画の最後にも発見者の方が、注意喚起をしていますが、遠隔操作により、最悪の場合、ロックを解除できてしまうとのことです。

つまり、人の家の鍵が自動で解除できてしまう。。。

ご存じの方もいるかと思いますが、Amazonでもこんな製品が売られていて、私自身購入を検討したほどです。

鍵のサムターンの上から取り付けるだけで簡単に使えてしまうのでとっても便利そうです。

スマホをかざすだけで、簡単利用!


ちなみに、脆弱性が発見された製品も探してみたのですが、 ASL-03がAmazonにあったのみで、ASL-06はありませんでした。

日本にはないのかな。。。


スマートプラグは、こちらですかね。

型番書いておいてくれないと、買う側も不安ですよね。


まとめ

特設サイトを見ると、ベンダのパッチが当たっていないものも存在するため、早急にメーカーの対応が求められますね。

私自身も利便性とあとは興味に任せていろいろなデバイスを家に導入していますが、レビューなども見つつ、慎重に製品は選びたいですね。

以前、外で「OK、Google、エアコンつけて!」なんて、言ってしまったがために、ずっとエアコンが付きっぱなしだったなんてこともありました。

製品自体を選ぶ時だけでなく、買った後もユーザとして学ぶことが多そうです。

Wi-Fi経由でEmotetに感染させる攻撃手法について

f:id:micro_keyword:20200215230036j:plain:w400

昨年8月ごろからの活動再開以降、Emotetを利用したサイバー攻撃が多数確認されています。

以下はその当時作成した記事になります。

micro-keyword.hatenablog.com

つい昨日、セキュリティベンダーのCheckPointが公開したマルウェアレポートでも、2020年1月に最も影響を及ぼしたマルウェアとしてランク付けされています。

blog.checkpoint.com

先日別途作成した記事の通り、最近では新型コロナウィルスと関連付けた検体も確認されています。

micro-keyword.hatenablog.com

そんな、Emotetですが、主要なメール経由ではなく、Wi-fi経由で感染拡大が行えるような機能が確認されたので、 記事にまとめてみます。

本内容は、2014年に設立された米国のベンチャー企業BinaryDefenseの調査結果に基づきます。

Emotet Evolves With new Wi-Fi Spreader - Binary Defense


目次


Wi-fi経由での感染拡大イメージ

百聞は一見に如かず、ということでBinaryDefense作成のイメージを載せます。

https://www.binarydefense.com/wp-content/uploads/2020/02/wifispreader-Picture1.png


Emotetとの結び付き

Emotetの仕組みにおいて、messageタイプを使用するのですが、その中で、

  • ID
  • executeFlag
  • blob

の3つを指定します。

このうち、executeFlagは3種類確認されています。

  1. ペイロード用のフラグで、スタンドアロンでの実行時に指定します。C:\ ProgramDataにダウンロードされ実行されます。
  2. Frag1と似ていますが、ユーザのトークンを複製する点が異なります。
  3. バイナリをメモリにロードする場合に指定します。読み込まれるモジュールはDLLであることが多いです。

このうち、今回の主題であるWi-fi拡散用モジュールはID:5079、executeFlag:1を指定されることでダウンロードおよび実行されます。

結果、自己解凍型のRARファイルとして、service.exeとworm.exeの2つのファイルが含まれた状態でダウンロードされます。

このうち、worm.exeは自己解凍型RARファイルのsetupファイルとして指定されるため、RARファイルの解凍後、自動的に実行されます。

以下、RARファイル内の情報の抽出結果になります。

https://www.binarydefense.com/wp-content/uploads/2020/02/wifispreader_Picture2.png


検体の発見

実は、当該ファイルworm.exeはマルウェア情報検索エンジンVirusTotal上に2018年5月4日にアップロードされており、ファイル自体のタイムスタンプは2018年4月16日になっていました。

このファイルにはEmotetが使用するC2サーバのIPアドレスがハードコードされているとのことです。

BinaryDefenseの見解では、2019年8月ごろからのEmotet活動再開から2020年1月の発見までに時間がかかってしまった理由として、このWi-fi経由の拡散用モジュールが落ちてくる頻度が少ないことが原因ではないかと述べています。


検体の動作

先ほどのworm.exeの起動後、service.exeをコピーしたのち、wlanAPI.dllを読み込んで、Wi-fiネットワークの情報収集を行い始めます。

その結果として、アクセス可能なネットワークに拡散します。

このwlanAPI.dllは通常のWi-fi接続においても利用されるものなので、探索行為自体のみでは悪意のあるものだとは判断されません。

その後、WlanEnumInterfacesが呼び出され、ローカルの端末からの接続範囲内で、現在有効になっているすべてのWi-Fiバイスの情報を取得します。

この動作により、デバイスのGUIDや概要など、Wi-Fiに関連する情報が取得できます。

ちなみに、Windows XPにおいては、一連の動作の過程で無効なパラメータを含むため、動作しないとのことです。

その後、SSIDや認証方式(WPA、WPA2、WEPなど)、暗号化方式(CCMPやTKIPなど)の情報をbuffer領域に保存します。


拡散後のブルートフォース攻撃

ネットワーク情報の取得後は、ブルートフォースWi-fiへの接続を試みます。

接続が成功すると、14秒間スリープしてから、EmotetのC2サーバへ、Wi-fiへの接続情報を送信します。

その後、接続したWi-fiに紐づくすべてのユーザへの侵入を試み、今度は、ユーザの認証情報をブルートフォースで取得しようとします。

そして、service.exeを実行することで、攻撃者が用意するC2サーバとの通信が始まり、最終的にEmotetがダウンロードされます。

ちなみに、C2通信はport:443を介して行われるとのことですが、実際にはHTTPで通信されることが確認されています。

詳細については、BinaryDefenseに記載がありますが、大まかにはこのような流れです。


まとめ

今回Emotetの拡散手法として、Wi-fiネットワークを利用するモジュールが発見されたことを書いてみました。

ただ、記事にもある通り、ブルートフォースの成功なしに、侵入は不可能なので、Wi-fiルータへのパスワード設定を適切に行うことが、まずは重要になってきます。

2019年の末にJPCERT/CCからもWi-fiを安全に使うためにといった文面が公開されています。

こういった情報を参考にしつつ、今一度確認することがまずは重要になってくるかと思います。

Wi-Fi ルータを安全に使う上での注意

[余談]スマホを落としただけなのに

そういえば来週から公開されるこの映画もフリーWi-fiへの接続がきっかけで。。。 みたいな話みたいですね。

関連して、こんな番組もやるみたいです。(今日ですね(笑))

www.tbs.co.jp

確か前作では監修でLACが入っていて、行き過ぎた設定にならないように配慮されていたようです。

見に行ってみようかな。

まずは、パラサイトが見たいところですが(笑)

新型コロナウィルス関連のサイバー攻撃まとめ

f:id:micro_keyword:20200215005810j:plain:w400

不謹慎というべきか、先述した内容や以前紹介した記事の通り、新型コロナウィルスに関連した攻撃が複数観測されています。

これまでにブログで紹介したものを含め、本記事に整理してみました。


目次


Emotetへの感染

本件は、以前まとめたものがあるので参照してみてください。

micro-keyword.hatenablog.com


Parallaxへの感染

本件もちょうど先ほど書いた記事があるので、ご参考にどうぞ

micro-keyword.hatenablog.com

ここからが、別途まとめたものになります。


NanocoreRATへの感染

https://1.bp.blogspot.com/-LOnL6rOs--w/XkWciuj4iKI/AAAAAAAACB4/5QeTOSSxn4onrpGsKtOA_ZFCPatZCoxbwCLcBGAsYHQ/s640/Screen%2BShot%2B2020-02-13%2Bat%2B9.51.53%2BAM.png

CiscoTalosより

blog.talosintelligence.com


フィッシングメール

Outloockの認証情報狙い

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4e72483200d-800wi

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4bdf276200c-800wi

Office365の認証情報窃取狙い

メールがトリガーになり

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4bdf297200c-800wi

pdf経由でフィッシングサイトにリダイレクトし

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a50bb4d9200b-800wi

認証情報窃取を試みます。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4e71a1e200d-800wi

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4e71a24200d-800wi

SpiderLabsブログより

www.trustwave.com


詐欺サイト

ここではマスクを売りつけるようなスパムメールが放たれています。

https://media.kasperskydaily.com/wp-content/uploads/sites/98/2020/02/05203912/corona-fig-1.png

https://media.kasperskydaily.com/wp-content/uploads/sites/98/2020/02/05203958/corona-fig-2.png

カスペルスキーより

https://blog.kaspersky.co.jp/coronavirus-reached-the-web/26781/


SMSを使ったマルウェア感染

https://blog.trendmicro.co.jp/wp-content/uploads/2020/02/1.png

トレンドマイクロより

blog.trendmicro.co.jp


あくまで上記は一例でこの他にも様々な手法が存在すると考えられます。

サイバーの世界における攻撃手法のアップデートについても、いろいろと目を光らせる必要がありそうです。

新型コロナウィルスに関連で用いられるマルウェアParallaxについて

f:id:micro_keyword:20200215002659j:plain:w400

新型コロナウィルスに関連したサイバー攻撃が次々と観測され始めています。

以前Emotetについても触れましたが、

micro-keyword.hatenablog.com

今回は新たにハッカーフォーラムで流通しつつあるマルウェアParallaxについてご紹介します。


目次


Parallaxの発見

マルウェアParallaxは、セキュリティリサーチャーのMalwareHunterTeamによって、12月中旬ごろより言及されていました。

このときのアンチウイルスエンジンの検知数は少ないですが、今見て見ると半分は越えていますね。

https://www.virustotal.com/gui/file/a984da90a5ad37b1ce550f33ff607095db19355c04025e38b3ee45ac8f693eb5/summary


ハッカーフォーラム上での売買

RAT(Remote Access Tool)として知られるParallaxは12月初旬からハッカーフォーラムで販売されています。

そして、開発者チーム自身がフォーラム上で宣伝を行い、Parallaxのサポートも提供しています。

開発者はフォーラム上で、

  • 自身のツールが専門家によって作成されているため高性能であること
  • そのため、素人にも使いやすいこと
  • 99%の信頼性と安定した動作が保障できること

などを長所として挙げています。

そして、この製品を 月額65ドル または、3ヶ月175ドルで購入できる という手軽さもアピールしています。


Parallaxが提供する機能

  • 認証情報の窃取
  • 端末へのリモートアクセス
  • ファイルのアップロードとダウンロード
  • 感染端末での任意コード実行
  • 通信の暗号化

そして、Parallaxは Windows XPからWindows 10 のすべての端末での動作を保障しているとのことです。

ちなみに、ParallaxのGUIはこんな感じです。


スパム経由でのParallax配布

Parallaxを購入した攻撃者は、Eメールの添付ファイル経由でParallaxに感染させるよう、試みます。

新型コロナウィルス関連を偽装

CiscoのセキュリティリサーチチームTalosによると、「new infected CORONAVIRUS sky 03.02.2020.pif」という名のマルウェアが発見されたとのことです。

blog.talosintelligence.com

本ファイルは、単体として見つかったとのことで、紐づくダウンローダなどは明らかではないとのことですが、Eメールに添付された圧縮ファイル経由で配信された可能性があるとのことです。

ちなみに、本ファイルは冒頭で紹介したものと同一だと思われます。

https://twitter.com/malwrhunterteam/status/1205587228539396096

たぶんオープンソースによる調査ってTwitterのことなのかな。

見積書への偽装

こちらのEメールを確認してみてください。

https://www.bleepstatic.com/images/news/malware/r/rats/parallax/spam-email.jpg

添付に登場している、見積書(QUOTE LIST.xlsm)をクリックさせることで感染を試みます。

本文では、米国の貿易業者だと名乗っています。

添付ファイルはMicrosoft Office脆弱性CVE-2017-11882を利用しており、コンテンツが有効になっている場合、マクロが実行されParallaxが端末にインストールされます。

https://www.bleepstatic.com/images/news/malware/r/rats/parallax/attachment.jpg

このCVE-2017-11882はマルウェア感染のトリガーとして悪用されることの多い脆弱性です。

中華系の標的型攻撃グループBlackTechも、本脆弱性を使った攻撃を行っていました。

https://www.freebuf.com/column/159865.html

勘のいい方はお気づきかと思いますが、このBlackTechは某電機企業を狙っていたことでも知られていますね。

www.asahi.com

画像共有サイトImgurの画像を用いたステガノグラフィによるもの

以下、2名のセキュリティリサーチャーが示すように、画像共有サービスImgurを利用したローダも発見されています。

このローダは一見画像ファイルですが、Parallaxが埋め込まれており、抽出されたのち、端末上で動作します。


Parallaxが紐づく攻撃インフラ

Parallaxのサンプルの多くでは、C2通信先として無料の動的DNSサーバーDuck DNSが利用されていることが確認されています。


まとめ

今回、新型コロナウィルスに関連した攻撃に用いられるツールとして、Parallaxを紹介しましたが、冒頭で紹介した通り、使いやすいRATマルウェアが手ごろな価格で入手できるという現状にポイントがあるように思います。

現在はEmotetを用いた攻撃が広く流行していますが、今後、新たに手軽な手段として、Parallaxを用いた攻撃も確認されるかもしれません。

Bitbucketを利用してさまざまなマルウェアを落としてくる攻撃について

f:id:micro_keyword:20200206021737j:plain:w400

Bitbucketを利用した、特徴的な攻撃について、Cybereasonのブログにて公開されました。

www.cybereason.com

この攻撃では、「ランサムウェア」、「Stealer」、「コインマイナー」など、さまざまな種類のマルウェアが、Bitbucketを通して、展開されます。

新たな攻撃の手法として、特徴的だったので、本記事でまとめてみます。


目次


Bitbucketとは

ソフトウェア開発を行っている方々には、おなじみだと思いますが、Bitbucketとは、Atlassian社が提供するクラウド型レポジトリサービスです。

レポジトリというと、Githubが有名ですが、Bitbucketは最大5ユーザまで、プライベートレポジトリを無料で利用できるという点に利点があり、こちらも広く利用されています。

bitbucket.org

Bitbucketもかつては有償だったとのことですが、Atlassianが2010年に買収したタイミングで、5ユーザまでプライベートレポジトリ無料化を実現したようです。

www.atlassian.com

Attlasian社は、タスク管理ソフトウェアのJIRAやビジネス利用のWikiで活用されるConfluenceなどでも有名ですよね。

さて、そんな便利レポジトリ、Bitbucketですが、攻撃の利用にも最適なのは想像できそうですよね。。。

ちなみに、GitHubを利用した攻撃だと、こんなものがありましたね。

SlackとGitHubでSLUB。。。

blog.trendmicro.co.jp

このような形で、レポジトリを攻撃の中継点として利用するパターンは、これまでも散見されていました。


マルウェア配布の流れ

今回のマルウェア配布の流れについては、Cybereasonが簡単に図でまとめていたので、こちらが参考になるかと思います。

https://www.cybereason.com/hs-fs/hubfs/Bitbucket-flow-payload.png?width=699&name=Bitbucket-flow-payload.png

まず、この攻撃は、Adobe PhotoshopMicrosoft Officeなどの商用ソフトウェアを攻撃者が改変したものを、ユーザがダウンろーごすることが起点になるそうです。

Cybereasonによると、ユーザがこれらの商用製品の無料版を探しているケースを想定し、正規のソフトウェアが改変されたものが無料で配布されているように見せて攻撃を始めます。

今回のケースでは、これらの改変版ソフトウェアに、マルウェアAzorultとPredatorがソフトウェアにバンドルされていたようです。

Azorult(download.exe)はダウンロード後、すぐに情報窃取を始めますが、トラッキング防止のため、実行後は自身のバイナリコードを削除します。

Azorultの実行後、Predator(dowloadx.exe)はBitbucketへの接続を開始し、追加のマルウェアのダウンロードを開始します。

https://www.cybereason.com/hs-fs/hubfs/323.png?width=1080&name=323.png

Predatorを解凍すると、図の通り、AzorultやコインマイナーEvasiveを取得するようなコードが確認できます。

さらに、該当するBitbucketには、以下のようなファイルが保存されています。

https://www.cybereason.com/hs-fs/hubfs/image13-10.png?width=969&name=image13-10.png

1.exeおよび3.exeは、異なるハッシュを持つAzorult 2.exeおよび8800.exeは、異なるハッシュを持つPredator 4.exeおよび5.exeは、ハッシュの異なるコインマイナーEvasive 111.exeは、STOPランサムウェア

そして、以下の通りのダウンロード数から推察するに、これまでに500,000台を超える危機が感染をしていると推察されています。

私が見る限り、そのカウント方法が少々謎ですが。。。

https://www.cybereason.com/hs-fs/hubfs/image13-10.png?width=969&name=image13-10.png

https://www.cybereason.com/hs-fs/hubfs/image18-6.png?width=590&name=image18-6.png

https://www.cybereason.com/hs-fs/hubfs/image3-15.png?width=588&name=image3-15.png

これらのファイル(マルウェア)は、攻撃者によって数時間ごとに更新されるため、アンチウィルスによるパターンマッチングからも逃れる可能性があることを記事では述べています。

この辺りを踏まえると500,000台になるんですかね。


それぞれのマルウェアの挙動

Azorult

Azorulttに関しては、以前にブログの記事でも掲載しているので、覚えている方もいらっしゃるとは思いますが、情報窃取マルウェアとしてよく知られています。

micro-keyword.hatenablog.com

今回の攻撃でも、実行後、端末内のファイルをスキャンすることで、ブラウザのデータ、Cookie、電子メールクライアント、暗号通貨ウォレットなどの機密データを検索します。

このデータを%TEMP%ディレクトリにコピーして、圧縮したのち、攻撃者に送信します。

情報送信した後に、%TEMP%にコピーしたすべてのデータを削除し、活動の隠ぺいを試みます。

Predator

Predatorは、先述の通り、Bitbucket内のマルウェアをダウンロードする機能と、ブラウザに保存されたパスワードなどの機密データや写真データ、スクリーンショット、暗号資産のウォレットの窃取を行う機能を持っています。

Predatorは以前にも、RIG Exploit Kitなどのエクスプロイトキットとフィッシング攻撃を介して配信されていたとのことです。

STOPランサムウェア

STOPランサムウェアは、暗号化の前に感染端末内をスキャンし、VM上で実行されているかどうかを確認します。

次に、%AppData%にフォルダーを作成して、自身コピーし、他のユーザーがアクセスできないようにファイルへのアクセス制御を変更します。

また、5分ごとに実行されるようレジストリキーの変更とタスクの登録を行います。 そして実行後、攻撃者の用意したC2サーバーに接続し、MACアドレスMD5ハッシュを送信し、ファイル暗号化用のキーをダウンロードします。

ちなみに、STOPランサムウェアは、システムに追加のマルウェアを感染させるために使用するダウンローダー機能も備えているようです。

Vidar

Vidarは、システム情報、ブラウザのパスワードやCookie、履歴情報、電子メール、二要素認証データの収集を行う情報窃取マルウェアです。

コインマイナーEvasive

コインマイナーEvasiveは、暗号資産MoneroをマイニングするXMRigを落としてくるドロッパーです。

Evasiveには、デバッグ防止機能があり、意図的に手動によるアンパックを困難にするパッキング手法Themidaでパックされています。

また、コードインジェクション機能、ファイル名の変更機能、ファイルの暗号化機能、Torを介して接続する機能など、検出を回避するために使用するいくつかの機能を利用した回避手法も使用しています。


まとめ

今回は、攻撃者がBitbucketを悪用して、攻撃に利用するパターンを紹介しました。

ユーザにとって有用な機能は攻撃者にとっても有用だということが、確認できたかと思います。

今回のポイントとしては、プライベートレポジトリとして利用されるBitbucketが、攻撃者側の検知回避に利用され始めているというところでしょうか。

利用者目線を持ちつつ、攻撃者目線を持つことも、防御策を考えるいいきっかけになるのかもしれません。