外国のAPTグループ「サイドワインダー」が我が国に攻撃を仕掛けました

夏 · 掲載地 2019/09/21 9:15:59

2019年9月6日 1. 背景紹介最近、Rising Security Research Instituteは中国に対する2件のAPT攻撃を捕捉しました。1件は中国の各国大使館を標的と、もう1件は海外の技術企業の代表事務所を標的としました。ユーザーがフィッシング文書を開くと、攻撃者はコンピュータを遠隔操作し、コンピュータシステム情報、インストーラー、ディスク情報などの内部機密データが盗まれます。 APT攻撃は国際的に有名な「サイドワインダー」組織によって開始されたと理解されており、同組織はパキスタンや東南アジア諸国に対して多くの攻撃を行ってきたが、直近2件のAPT攻撃は中国を指し示すことが多く、1件は国防部国際軍事協力室の海外軍事安全協力センターを偽装し、中国の大使館の軍事武官に偽の招待状を送った。もう一つは、技術企業の海外代表事務所への攻撃で、攻撃者は偽のセキュリティおよび機密保持マニュアルを送付しました。

写真:国防省に偽装したフィッシング文書
ライジング・セキュリティ研究所の分析によると、これら2つの攻撃の標的や内容は異なるものの、攻撃者が用いた技術的手法から、政府、エネルギー、軍事、鉱物などの分野で機密情報を盗むことを主な目的とするAPT組織「サイドワインダー」と強い関係にあると結論づけられています。この攻撃は偽のメールを餌にして、中国大使館や海外のテクノロジー企業に関連するフィッシングメールを送り込み、Office Remote Code Executionの脆弱性(CVE-2017-11882)を利用して中国大使館やテクノロジー企業に関連するフィッシングメールを送り、重要な機密データ、プライバシー情報、科学技術研究技術を盗むことを目的としています。 2. 攻撃プロセス

図:攻撃の流れ
3. フィッシングメールの分析 (1) ベイト文書 1. 国防部国際軍事協力事務所海外軍事安全協力センターが中国各国大使館の軍事武官宛に招待状に偽装した文書。

図:ベイト文書
(2) 誘餌文書2の内容は、海外の技術企業代表事務所のセキュリティおよび機密保持作業マニュアルの改訂に関連しています。

図:文書の内容
(3) 詳細な分析両方のデコイ文書は最後に「Wrapper Shell Object」というオブジェクトを埋め込み、オブジェクト属性は%temp%ディレクトリ内の1.aファイルを指しています。ドキュメントを開くと、%temp%ディレクトリにあるJaveScriptスクリプトで書かれた1.aファイルが解放されます。

図:オブジェクトの性質
デコイ文書はCVE-2017-11882の脆弱性を悪用してシェルコード実行1.aをトリガーします。

図:シェルコード
シェルコードのプロセスは以下の通りです:XOR 0x12でJavaScriptスクリプトを復号し、このスクリプトの主な機能は%temp%ディレクトリ内の1.aファイルを実行することです。

図:JavaScriptスクリプト暗号文

図:復号JavaScriptスクリプト
ShellCodeは、数式エディタのコマンドライン引数をJavaScriptスクリプトに変更し、RunHTMLApplication関数を使ってスクリプトを実行します。

図:コマンドラインを置き換える

図:JavaScriptの実行
3. ウイルス解析 (1) 1.a ファイル解析 1.a はオープンソースのDotNetToJScriptツールを通じて生成され、主な機能はJavaScriptスクリプトメモリを通じて.net DLLファイルを実行することです。スクリプトはまずStInstaller.dllファイルを復号し、そのDLLにおける作業関数の負荷を反映します。作業関数は入力されるパラメータx(パラメータ1)とy(パラメータ2)を復号し、復号後はxがPROPSYS.dll、yはV1nK38w.tmpとなります。

図:1. スクリプト内容
(2) StInstaller.dllファイル解析StInstaller.dllは.NETプログラムであり、作業ディレクトリC:\ProgramData\AuthyFilesを作成し、作業ディレクトリ内の3つのファイル(PROPSYS.dll、V1nK38w.tmp、write.exe.config)をリリースし、WordPadプログラムをシステムディレクトリ(write.exe)に配置します。そのディレクトリにコピーしてください。 write.exe(白いファイル)を実行して同じディレクトリ内のPROPSYS.dll(黒いファイル)を読み込み、悪意のあるコードを白と黒で実行します。

図:仕事関数
詳細は以下の手順です:1. 作業関数のxorIt復号関数を呼び出し、作業ディレクトリ名AuthyFilesとドメイン名の3つの重要な設定データを取得するhttps://trans-can.netレジストリキー名をAuthyに設定します。

図:復号データ

図:xorIt復号関数
2. 作業ディレクトリC:\ProgramData\AuthyFilesを作成し、システムファイルのwrite.exeを作業ディレクトリにコピーし、自動起動に設定します。

図:AuthyFilesの作成とwrite.exe
3. ワーキングディレクトリにランダムな名前のファイルV1nK38w.tmpをリリースします。 4. ワーキングディレクトリ内のPROPSYS.dllを解放し、次にプログラムを読み込みたいファイルのファイル名を更新しますV1nK38w.tmp。

図:創世PROPSYS.dll
5. スプライスされた全URLへのリンク:https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5ファイルに書き込みV1nK38w.tmp。その後、EncodeData関数を使ってファイルを暗号化します。

図:ファイルを作成するV1nK38w.tmp

図:EncodeData暗号化関数
6. 異なる.NETバージョンとの互換性問題を防ぐために設定ファイルwrite.exe.configを作成します。

図:write.exe.configを作成

図 :write.exe.config 内容
7. C:\ProgramData\AuthyFiles\write.exeを実行して悪意のあるPROPSYS.dllを呼び出します。

図:エグゼクティブwrite.exe
(3) ファイル解析PROPSYS.dll DecodeData関数を用いてV1nK38w.tmpを復号し、復号後の実行V1nK38w.tmpを読み込みます。

図:実行V1nK38w.tmpの読み込み

図:DecodeData復号関数
(4) V1nK38w.tmpファイル解析V1Nk38w.tmp主に大量の情報を盗み、実行命令を受け取ること。

図:主な行動
1. 初期設定を読み込み、リソース内でデフォルトで復号されます。設定内容はURL、アップロードされたファイルの一時ディレクトリ、そして指定されたファイル接尾辞(doc、docx、xls、xlsx、pdf、ppt、pptx)のスティールです。

図:ロード構成

図:復号されたデフォルトリソース情報
2. 設定はEncodeData関数で暗号化され、レジストリHKCU\Sotfware\Authyに保存されます。

図:レジストリ内で暗号化された構成情報
3. 指定されたアドレスにアクセスしてファイルをダウンロードし、まず設定情報のURLを選択し、なければデフォルトのURLを選択してください。https://trans-can.net/ini/thxqfL ... Mvr/-1/1291/f8ad26b。

図:ダウンロードデータ
4. 盗まれた情報をファイルに統合し、ファイル名を「random string + specific suffix」とし、データの内容は一時ディレクトリに平文で保存されます。

写真:情報ファイルの盗み
.sifの接尾辞付きファイルは主にシステム情報、インストーラー情報、ディスク情報などを保存します。

図:.sifという接尾辞で保存された情報
得られるシステム情報は以下の通りです:

接尾辞は.flsです。

表:情報記録

図:.flsという接尾辞の記憶情報
.flcの接尾辞が付いたファイルには、すべてのドライブレターの情報と、そのドライブレターの下にあるディレクトリおよびファイル情報が記録されます。以下の表は、攻撃者が取得したいドライブレター情報を示しています:

攻撃者が取得したいディレクトリ情報は以下の通りです:

攻撃者が取得したいファイル情報は以下の通りです:

プログラム実行中の例外をキャッチし、例外情報を.err接尾辞付きのファイルに記録します。

図:例外を捉える
5. レジストリに保存された設定データの更新:まずシステムを巡回して特定の接尾辞と同じファイルを見つけ、その後レジストリHKCU\Sotfware\Authyの設定データを読み解き、見つけたファイル名と経路を設定データに追加し、最後に設定情報を暗号化してレジストリの保存を続けます。

図:特定の接尾辞ファイルを探す

図:アップロードする文書の経路を記録する

図:指定されたサフィックス文書をアップロードする
6. レジストリに保存された設定データを更新する:アップロードしたファイルの情報をレジストリ設定データに更新する。

図:レジストリ内の復号済み設定情報
7. レジストリ設定情報に記録された特定のサフィックスファイルのすべてのデータ内容を圧縮しアップロードします。

図:サフィックスファイルをアップロードする
8. sif、flc、err、flsの接尾辞をステージングディレクトリにアップロードします。

図:アップロードファイル
4. 概要
両攻撃は間もなく、攻撃の標的はどちらも中国の敏感な地域や関連機関であり、攻撃の主な目的は組織内の個人情報を盗み、次の標的型攻撃計画を立てることでした。最近明らかになったサイドワインダーの攻撃の多くはパキスタンや東南アジア諸国を標的としていましたが、この2件は中国を標的としており、同組織の攻撃対象が変化し、中国への攻撃を増やしていることを示しています。今年は我が国の建国70周年にあたり、関係する国内政府機関や企業はこれに大きな注意を払い、予防措置を強化しなければなりません。
5. 予防措置
1. 怪しいメールを開いたり、疑わしい添付ファイルをダウンロードしないこと。このような攻撃の最初の侵入口は通常、非常に混乱を招くフィッシングメールであり、ユーザーは警戒し、企業は従業員のネットワークセキュリティ意識向上を強化するべきです。
  2. ネットワークセキュリティ、状況認識、早期警戒システムなどのゲートウェイセキュリティ製品を展開すること。ゲートウェイセキュリティ製品は、脅威インテリジェンスを活用して脅威行動の軌跡を追跡し、ユーザーが脅威行動を分析し、脅威の発生源や目的を特定し、攻撃の手段や経路を追跡し、ネットワーク脅威を発生源から解決し、攻撃されたノードを最大限に発見することで、企業がより迅速に対応・対応できるようにします。
  3. 悪意のある文書やトロイの木馬ウイルスをブロック・殺害するための効果的なウイルス対策ソフトをインストールしてください。ユーザーが誤って悪意のある文書をダウンロードした場合、ウイルス対策ソフトはそれをブロックして終了させ、ウイルスの実行を防ぎ、ユーザーの端末セキュリティを守ります。
  4. パッチシステムのパッチと重要なソフトウェアパッチを適時実施すること。

6. IOC情報
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA2824D7C9BAD9189FF7E

URL
https://trans-can.net/ini/thxqfL ... vr/-1/1291/f8ad26b5 https://trans-can.net/ini/Wsx8Gb ... 31878/1346/cab43a7f

[テクニカル分析] 外国のAPTグループ「サイドワインダー」が我が国に攻撃を仕掛けました

閲覧したセクション