※ 本記事は2018年7月27日に米国で掲載されたブログ記事の抄訳版となります。

 

2018年7月、Unit 42は、中東地域の少なくとも1つの政府機関に対する、新しいファイル タイプを使用した標的型攻撃を分析しました。この攻撃は、弊社が「DarkHydrus」として追跡している、これまでに公開されていない脅威グループによって実行されました。弊社のテレメトリに基づき、明らかになった追加の調査結果によると、2016年初めから、この攻撃者グループが現在の作戦で活動してきたと弊社は確信しています。今回の攻撃は、このグループに関して弊社がこれまで観測した攻撃とは異なり、悪意のあるExcel Webクエリ ファイル(.iqy)を含む、パスワードで保護されたRARアーカイブ ファイルを添付したスピアフィッシング メールを標的の組織に送信します。

 

.iqyファイルは、デフォルトでExcelによって開かれる、URLを含む単純なテキスト ファイルです。このファイルを開くと、Excelは、ファイル内のURLにあるあらゆるオブジェクトを取得します。これらのファイルは、Flawed Ammyyなどのコモディティ型RATを配信するために、犯罪者によって使用されたのが最近確認されています。DarkHydrusの場合、以前の攻撃で好んで使用されたペイロードは、オープンソースの合法的なツールばかりで、それらを悪意のある目的で濫用していました(MeterpreterやCobalt Strikeなど)。しかし、今回の攻撃では、このグループは、弊社がRogueRobinと呼ぶ、カスタムPowerShellベースのペイロードを使用しています。

 

攻撃の分析

攻撃者は、スピアフィッシング メールを7月15日から16日にかけて送信しました。それぞれのメールには、credential.rarという名前のパスワードで保護されたRARアーカイブ ファイルが添付されていました。図1のとおり、メッセージの本文は、アラビア語で書かれており、受信者にアーカイブ ファイル内のドキュメントを見るように依頼しています。また、メッセージには、123456というパスワードが含まれており、これはRARアーカイブ ファイルを開くのに必要です。credential.rarアーカイブ ファイルには、credential.iqyという名前の悪意のある.iqyファイルが含まれています。

 

السلام عليكم

برجاء الإطلاع على الملف المرفق ومراجعته

مع جزيل الشكر

كلمه السر:123456

図1 配信メールのメッセージ本文

 

Google翻訳によると、アラビア語のメッセージの翻訳は以下のようになります。

Hi

Please review and review the attached file

Gratefully

Password: 123456

(こんにちは

添付ファイルをよく読んでください

よろしくお願いします

パスワード:123456)



ペイロードの分析

credential.iqyは、.iqyファイル(SHA256: cc1966eff7bed11c1faada0bb0ed0c8715404abd936cfa816cef61863a0c1dd6)であり、以下のテキスト文字列のみが含まれています。

 

hxxp://micrrosoft[.]net/releasenotes.txt

 

Microsoft Excelは、ネイティブで.iqyファイルを開き、ファイル内のURLを使用して、スプレッドシートに組み込むリモート データを取得します。デフォルトでは、Excelは、リモート サーバーからのデータのダウンロードを許可しないため、図2のダイアログ ボックスを表示して、ユーザーの同意を求めます。

 

Hydrus_2

図2 .iqyファイルに対するExcelのセキュリティ警告

 

このデータ接続を有効化することで、ユーザーは、Excelに.iqyファイル内のURLからコンテンツを取得させることができます。releasenotes.txtファイル(SHA256: bf925f340920111b385078f3785f486fff1096fd0847b993892ff1ee3580fa9d)内のコンテンツには、次の式が含まれており、Excelはこの式をワークシートの「A0」セルに保存します。

 

 

この式は、コマンド プロンプトを使用してPowerShellスクリプトを実行し、hxxp://micrrosoft[.]net/winupdate.ps1というURLでホストされている2番目のPowerShellスクリプトをダウンロードし、実行しようとします。デフォルトでは、Excelは、コマンド プロンプト アプリケーションを起動しませんが、以下の図3のダイアログ ボックスでユーザーの同意を得て起動します。

 

Hydrus_3

図3 リモート データのアクセス確認

 

winupdate.ps1スクリプト(SHA256: 36862f654c3356d2177b5d35a410c78ff9803d1d7d20da0b82e3d69d640e856e)は、弊社がRogueRobinと呼ぶ、この攻撃のメインとなるペイロードです。この開発者は、オープンソースInvoke-Obfuscationツール、特にInvoke-Obfuscationが提供するCOMPRESS技法を活用して、PowerShellスクリプトを難読化します。解凍されたPowerShellペイロードは、ジッタ値の使用やジョブIDで参照されるコマンドなど、PowerShell Empireエージェントといくつかの類似点がありますが、このツールの作成者がツールの開発において、Empireをベースに使用したかどうかは確信を持てません。

 

何らかの機能を実行する前に、ペイロードは、サンドボックスで実行中かどうかをチェックします。ペイロードはWMIクエリを使用して、実行プロセスをチェックし、スクリプトが分析環境で実行中かどうかを確認します。固有のサンドボックス チェックは以下のとおりです。

 

  • WMIを使用して、VBOX、bochs、qemu、virtualbox、およびvmについて、BIOSバージョン(SMBIOSBIOSVERSION)をチェックする。
  • WMIを使用して、XENについてBIOSメーカーをチェックする。
  • WMIを使用して、物理メモリーの合計が2900000000未満であることをチェックする。
  • WMIを使用して、CPUコア数が1以下であることをチェックする。
  • 「Wireshark」および「Sysinternals」が存在しているかどうかを確認するため実行中プロセスを列挙する。

 

ペイロードがサンドボックスで実行中でないと判断すると、システムに自らをインストールして永続的に実行しようとします。ペイロードをインストールするために、スクリプトは、%APPDATA%\OneDrive.batというファイルを作成して、次の文字列をそのファイルに保存します。

 

powershell.exe -WindowStyle Hidden -exec bypass  -File "%APPDATA%\OneDrive.ps1"

 

次に、スクリプトは、自らの変更済みコピーを、省略されたこのインストールを実行するコードとともに、%APPDATA%\OneDrive.ps1に書き込みます。システム始動時に永続的に実行されるように、スクリプトは次のショートカットをWindowsスタートアップ フォルダに作成します。これにより、システムが起動するたびに、OneDrive.ps1スクリプトが実行されます。

 

$env:SystemDrive\Users\$env:USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk

 

ペイロード自体が、カスタムDNSトンネリング プロトコルを使用して、設定済みのコマンド&コントロール(C2)サーバーと通信します。このペイロード内で設定されているドメインは以下のとおりです。

 

  • Anyconnect[.]stream
  • Bigip[.]stream
  • Fortiweb[.]download
  • Kaspersky[.]science
  • microtik[.]stream
  • owa365[.]bid
  • symanteclive[.]download
  • windowsdefender[.]win

 

DNSトンネリング プロトコルは、複数の異なるDNSクエリ タイプを使用して、C2サーバーと対話できます。ペイロードには、テストの初めに呼び出す関数があり、その関数によって正常にC2サーバーに到達できるDNSクエリ タイプを見つけます。一連のタイプによりこの関数が繰り返され、C2サーバーから応答を受け取った最初のDNSタイプが、ペイロードとC2サーバー間のすべての通信で使用されます。以下のような順序になります。

 

  • A
  • AAAA
  • AC
  • CNAME
  • MX
  • TXT
  • SRV
  • SOA

 

ペイロードは、特定のパラメータおよび特別に作成されたサブドメインとともに、組み込みのWindows nslookupアプリケーションをを使用して、C2と通信します。C2との通信を確立するために、ペイロードは、まずC2サーバーが発行するシステム固有IDを取得します。システム固有IDを取得するためにペイロードが送信した最初のDNSクエリは、以下の構造を使用しますが、この構造には、C2ドメインのサブドメインとして、カレントプロセスのID(PID)が含まれています。

 

<カレントプロセスのID>.<C2ドメイン>

 

C2サーバーは、DNS応答のAnswerセクションでシステム固有IDを提供します。表1には、クエリ タイプに応じて、どのようにペイロードがC2サーバーのAnswerセクションからシステムIDを取得するかを示しています。

 

DNSタイプ

説明

A

正規表現(\d+)\-.$Global:domainを使用して、Answerから10進値を取得

AAAA

ペイロードは、IPv6のAnswerセクションを「:」で分割し、[0]および[1]の数字を16進値とみなして、整数を取得

AC、CNAME、MX、TXT、SRV、SOA

正規表現Address:\s+(\d+.\d+.\d+.\d+)を使用して、IPv4アドレスの最初のオクテットの10進値を使用

表 1 クエリ タイプの詳細

システムIDを取得すると、ペイロードは、システム固有情報を収集し、C2サーバーに送信します。収集した情報は、以下の構造で文字列に追加されます。

 

<IP アドレス>|<コンピュータ名>|<ドメイン>|<ユーザー名>|<isAdminフラグ>|<configのhasGarbageフラグ>|<configのhasStartupフラグ>|<configの「ハイブリッド」モードフラグ>|<configのスリープ インターバル>|<configのジッタ値>

 

ペイロードは、この文字列をBase64エンコードし、DNSトンネリング プロトコルを使用して、このデータをC2に送信します。トンネリング プロトコルは、C2ドメインのサブドメイン内にデータとともに一連のDNSクエリを送ることで、データを送信します。これらのアウトバウンドDNSリクエストのそれぞれの構造は以下のとおりです。

 

<システムID>-<ジョブID>-<データのオフセット><追加データ フラグ>-<ランダム長のBase64エンコード データ(30~42文字)>.<C2ドメイン>

 

ペイロードは、C2との通信にペイロードが使用するDNSリクエストのタイプに応じて、これらのアウトバウンド クエリに対する異なる応答を探します。以下は、C2通信に使用するDNSクエリのタイプに応じて、成功またはキャンセルのメッセージを送信するためにC2が使用する特定のIPアドレスまたは文字列を示しています。

 

DNSタイプ

成功

キャンセル

A、AC

1.1.1.\d+

1.2.9.\d+

AAAA

2a00::

2200::

CNAME、MX、TXT、SRV、SOA

ok

cancel

 

システム固有の情報を指定した後、ペイロードはC2サーバーと通信してコマンドを取得し、このコマンドをペイロードがジョブとして参照します。C2は、コマンド ハンドラーに基づいて実行するコマンドを決定するためにペイロードが使用する文字列を提供します。コマンドとして扱う文字列を取得するために、ペイロードは、一連のDNSクエリを発行し、以下の構造のドメインを解決します。

 

<システムID>-<ジョブID>-<ジョブ固有のオフセット データ>.<C2ドメイン>

 

C2サーバーは、C2サーバーと通信するためにペイロードが使用するDNSクエリのタイプに応じ、これらのクエリに対して、IPv4アドレス形式またはIPv6アドレス形式のAnswerを格納した応答を返しします。このペイロードは、コマンド文字列を取得するために使用されるDNSクエリのタイプに応じて特定の正規表現を使用します。これらを表2に示します。

 

DNSタイプ

正規表現パターン

A

Address:\s+(\d+.\d+.\d+.\d+)

AC

\d+-\d+-(\d+)-([\w\d+/=]+)-\d-.ac.$Global:domain

AAAA

Address:\s+(([a-fA-F0-9]{0,4}:{1,4}[\w|:]+){1,8})

CNAME、MX、TXT、SRV、SOA

(\d+)-([\w\d/=+]{0,})\-.$Global:domain

表2 C2が提供する応答のタイプ

これらの正規表現は、ペイロードがコマンド ハンドラーに提出することになる文字列を構築するために使用されます。弊社は、このペイロードを分析し、さまざまなリモート管理機能を提供するために使用できるコマンドを判別しました。コマンド ハンドルは、表3に示す、次のコマンド文字列を探します。

 

コマンド

説明

$fileDownload

指定ファイルの内容をC2にアップロード

$importModule

指定されたPowerShellモジュールを現在のスクリプトに追加

$screenshot

コマンドの内容を実行。文字列「$screenshot」である必要がある。動作するかどうかは不明であるが、このコマンド名は、スクリーンショットの取得を意図していることを示唆している。

$command

PowerShellコマンドを実行し、出力をC2に送信

slp:\d+

C2ビーコン間のスリープインターバルを設定

$testmode

A、AAAA、AC、CNAME、MX、TXT、SRVおよびSOAのタイプのDNSクエリをC2サーバーに発行し、どのDNSクエリ タイプが成功したかの確認を試みる。このコマンドは、実際のC2に使用するDNSタイプを自動的に設定する。

$showconfig

ペイロードの現在の構成をC2にアップロード

slpx:\d+

アウトバウンドDNSリクエスト間のスリープインターバルを設定

$fileUpload

C2サーバーからコンテンツをダウンロードし、指定のファイルに書き込み

表3 ペイロードで使用できるコマンド



キャンペーンの分析

次のドメインは、C2として使用されるペイロード内で構成されます。テーマとして、各ドメインは、セキュリティ ベンダーを強調して既存のテクノロジ プロバイダの本物のドメインになりすまそうとしていたと考えられます。

 

  • Anyconnect[.]stream
  • Bigip[.]stream
  • Fortiweb[.]download
  • Kaspersky[.]science
  • microtik[.]stream
  • owa365[.]bid
  • symanteclive[.]download
  • windowsdefender[.]win

 

 

リストしたC2サーバーはすべて、中国のサービス プロバイダに属しているIP (1.2.9.0/24)に解決されました。これは、キャンセルの通信メッセージをエンド システムに送信するためにC2サーバーが使用するIPアドレスです。これらのIPからはさらに調査を進めるに足るデータは得られませんでした。しかし、リストしたドメインそれぞれがネーム サーバーとしてns102.kaspersky[.]hostおよびns103.kaspersky[.]hostを使用していました。ns102/ns103.kaspersky[.]hostを調査すると、第2レベルのドメインであるkaspersky[.]hostは本物ではなく、本物のKaspersky Labsが所有しているものではないことが明らかになりました。kaspersky[.]hostのパッシブDNS解決によって、興味深い2つのIPが明らかになりました。107.175.150[.]113と94.130.88[.]9です。

 

94.130.88[.]9は、2つの追加ドメインのパッシブDNS解決を示しました。0utlook[.]bidとhotmai1[.]comです。これらのドメインが使用された目的は不明ですが、ドメインになりすまし、IPを共有するという類似性に基づくと、これらは攻撃者のインフラストラクチャの一部である可能性があります。107.175.150[.]113は、別の1つのドメイン解決を示しました。qu.edu.qa.0utl00k[.]netです。弊社は、この固有ドメインを、このインシデントで見つかったPowerShellスクリプトに非常によく似たスクリプトを含む別の兵器化されたドキュメント(SHA256: d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318)のC2と結びつけることができました。0utl00k[.]netの第2レベルのドメインを調査した結果、興味深い別のIPが見つかりました。195.154.41[.]150です。このIPには、著名ベンダーになりすますという手口を使った、2つの別のドメイン解決が含まれていました。allexa[.]netとcisc0[.]netです。cisc0[.]netを展開すると、2017年の半ばから終わりにかけて、C2としてこのドメインを使用していたいくつかの兵器化されたドキュメントおよびペイロードが見つかりました。

 

ClearSky Securityが提供しているオープン ソース インテリジェンスは、ドメインcisc0[.]netがCopy Kittensという攻撃者グループに関連する可能性があることを示しています。使用している手法の類似性や被害者のタイプなど、戦略的に重複している点は多いですが、弊社は、関連性の重複についての大きな証拠を明らかにすることはできませんでした。Copy Kittens攻撃者の詳細については、「Operation Wilted Tulip」(しぼんだチューリップ作戦)というタイトルのペーパーを参照してください。

 

弊社独自のデータセットから、DarkHydrusグループが確立したグループであることは、当該グループが同じC2インフラストラクチャを頻回利用することや、兵器化されたバイナリが類似していることからうかがい知れます。2017年1月と7月に他に2つの別のペイロードとともにこの攻撃に使用されたドメインmicrrosoft[.]netなどのC2ドメインもオンラインに残されていて、長期間再利用されました。

 

弊社がDarkHydrusに属していると考えたその他のサンプルを調査した結果、この攻撃者は、無償提供またはオープン ソース リポジトリ(Meterpreter、Mimikatz、PowerShellEmpire、Veil、CobaltStrikeなど)のツールを使用し、兵器化されたMicrosoft Officeドキュメントを主に利用していることが確認されました。これらのドキュメントには通常、悪意のあるコードは含まれていませんが、兵器化され、実行時に悪意のあるコードを含むリモート ファイルを取得します。配信ドキュメントのモジュール特性によって、これらの攻撃の分析に使用できるデータは、実行時のC2サーバーの動作特性に依存します。

 

結論

DarkHydrusグループは、悪意のある.iqyファイルを使用して中東の政府機関への攻撃キャンペーンを実行しました。.iqyファイルは、リモート サーバーからコンテンツをダウンロードしてスプレッドシートに含めるExcelの機能を利用します。DarkHydrusは、この目立たないファイル フォーマットを利用して、コマンドを実行し、最終的にPowerShellスクリプトをインストールしてシステムへのバックドア アクセス権を取得しました。この最近の攻撃で配信されたPowerShellのバックドアは、脅威グループによってカスタム開発されたのかもしれませんが、合法的なオープン ソース ツールのコードを使用してDarkHydrusがこのツールを作成したのかもしれません。

 

パロアルトネットワークスのお客様は、以下の製品によって保護されています。

  • micrrosoft[.]netドメインは2017年3月3日以降、悪意のあるドメインとして分類されます。
  • このペイロードに関連付けられたすべてのC2ドメインは、コマンド アンド コントロールとして分類されます。
  • Trapsは、Excelによるコマンド プロンプト プロセスの作成をブロックできるエンドポイント プロテクションを提供します。
  • AutoFocusのお客様は、DarkHydrusタグでさらに詳細を把握できます。



IOC

 

関連SHA256ハッシュ

 

ペイロード

 

cec36e8ed65ac6f250c05b4a17c09f58bb80c19b73169aaf40fa15c8d3a9a6a1

ac7f9c536153780ccbec949f23b86f3d16e3105a5f14bb667df752aa815b0dc4

a547a02eb4fcb8f446da9b50838503de0d46f9bb2fd197c9ff63021243ea6d88

d428d79f58425d831c2ee0a73f04749715e8c4dd30ccd81d92fe17485e6dfcda

dd2625388bb2d2b02b6c10d4ee78f68a918b25ddd712a0862bcf92fa64284ffa

b2571e3b4afbce56da8faa726b726eb465f2e5e5ed74cf3b172b5dd80460ad81

c8b3d4b6acce6b6655e17255ef7a214651b7fc4e43f9964df24556343393a1a3

ce84b3c7986e6a48ca3171e703e7083e769e9ced1bbdd7edf8f3eab7ce20fd00

99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c

 

配信ドキュメント

 

d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318

8063c3f134f4413b793dfc05f035b6480aa1636996e8ac4b94646292a5f87fde

9eac37a5c675cd1750cd50b01fc05085ce0092a19ba97026292a60b11b45bf49

cf9b2b40ac621aaf3241ff570bd7a238f6402102c29e4fbba3c5ce0cb8bc25f9

0a3d5b2a8ed60e0d96d5f0d9d6e00cd6ab882863afbb951f10c395a3d991fbc1

0b1d5e17443f0896c959d22fa15dadcae5ab083a35b3ff6cb48c7f967649ec82

870c8b29be2b596cc2e33045ec48c80251e668abd736cef9c5449df16cf2d3b8

ff0b59f23630f4a854448b82f1f0cd66bc4b1124a3f49f0aecaca28309673cb0

01fd7992aa71f4dca3a3766c438fbabe9aea78ca5812ab75b5371b48bd2625e2

6dcb3492a45a08127f9816a1b9e195de2bb7e0731c4e7168392d0e8068adae7a

47b8ad55b66cdcd78d972d6df5338b2e32c91af0a666531baf1621d2786e7870

776c056096f0e73898723c0807269bc299ae3bbd8e9542f0a1cbba0fd3470cb4

cf7863e023475d695c6f72c471d314b8b1781c6e9087ff4d70118b30205da5f0

e88045931b9d99511ce71cc94f2e3d1159581e5eb26d4e05146749e1620dc678

26e641a9149ff86759c317b57229f59ac48c5968846813cafb3c4e87c774e245

b5cfaac25d87a6e8ebabc918facce491788863f120371c9d00009d78b6a8c350

ad3fd1571277c7ce93dfbd58cee3b3bec84eeaf6bb29a279ecb6a656028f771c

 

関連ドメイン

maccaffe[.]com

cisc0[.]net

0utl00k[.]net

msdncss[.]com

0ffice[.]com

0ffiice[.]com

micrrosoft[.]net

anyconnect[.]stream

bigip[.]stream
fortiweb[.]download
kaspersky[.]science
microtik[.]stream
owa365[.]bid
symanteclive[.]download
windowsdefender[.]win

allexa[.]net

kaspersky[.]host

hotmai1[.]com

0utlook[.]bid


 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 4
  • 16553

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 11159

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 3615

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 8962

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 5736