Seqrite Labs APT-Teamは最近、チェコ共和国を標的としたキャンペーンを発見した。このキャンペーンは、NATOとチェコ共和国の関係を狙った複数の誘い文句を用いて、政府および軍関係者を標的にしている。 マルウェア このキャンペーンには、ローダーからHavocC2として知られる有名なコマンドアンドコントロールフレームワーク、そしてRustでプログラムされたFreezeに至るまで、エコシステムが関与しています。脅威アクターによって広く採用されているコンパイル型プログラミング言語。
このブログでは、分析中に発見したキャンペーンの巧妙さと技術的な詳細について考察します。まず、おとり文書の詳細、次にRustローダーが悪意のあるDLLを挿入するのに役立つ悪意のあるバッチファイルとLNKペイロードについて、キャンペーンの各段階を詳しく検証します。最後に、キャンペーン全体を概観します。
初期の調査結果
8月4th 2024年、私たちのチームは悪意のあるZIPファイルを発見しました。このファイルはVirusTotalなどの様々な情報源で発見され、感染の初期段階として利用されました。このファイルには、PDFやLNKといった拡張子を持つ様々なデコイファイルが含まれていました。同じファイルが他のユーザーによっても発見されました。 脅威研究者 翌日には。
ZIPには「NATOにおけるチェコ共和国の重要性と展望.pdf.lnk」は、「AdobeAcrobatReader.bat。」これは、おとり文書を生成する役割を担っています。Postup_zmeny_hesla_z_IMO.pdf 「そして偽装したPDFファイルの名前を「NatoDoc.PDF 「ポータブル実行ファイル(PE)にコピーされます。これは実行時にスタートアップフォルダにコピーされ、悪意のあるペイロードの永続化メカニズムとして機能します。2つのおとり文書を見てみましょう。
おとり文書を調べてみると – 私は
最初の文書Postup_zmeny_hesla_z_IMO.pdfを詳しく見てみると、見出しがチェコ語で書かれており、次のように翻訳される。 「防衛省内部ネットワーク(IMO)からのパスワード変更」 英語インチ
おとり文書の最初のページには、hxxps://x.army.cz というURLにアクセスしてパスワードを変更する手順が記載されています。もう一方のページの画像には、適切なパスワードの長さや、推測されやすいパスワードを避けるなどの具体的なガイドラインに従ってパスワードを変更する方法が記載されています。
さて、このおとり文書の最終ページには、「ローカル管理者向け情報:hxxps://x[.]army[.]cz ページにアクセスするには、例外を設定する必要があります」というメッセージと、適切なプロキシネットワークの設定に関するガイドが含まれています。全体として、このおとり文書は、標的にパスワードを直ちに変更するよう仕向け、そのためのガイドラインを提供するという役割を果たしており、これは元のZIPファイルの名前とは全く関係がありません。
おとり文書を調べる - II
前回の文書と同様に、もう一つのおとり文書があります。それは「NATOにおけるチェコ共和国の重要性と展望」です。この文書では、チェコ共和国とNATOの関係の重要性に関する様々な理由、そして地政学的優位性と歴史の様々な側面について明確に言及しています。
次のページでは、現在の安全保障上の課題に触れ、繁栄、成長、そして近代化のためにNATO加盟国間の関係強化について議論しています。全体として、この文書はNATOとチェコ共和国の関係と目標について議論しており、このルアー文書は最初のZIPファイルの名前と関連しています。
感染連鎖
テクニカル分析
分析を 4 つの異なる部分に分けて説明します。
ステージ 1 – 悪意のあるバッチと LNK スクリプト。
このZIPファイルには、「1.The importance of and outlook for the Czech Republic in NATO.pdf.lnk」という悪意のあるLNKファイルが含まれています。その内容を調査したところ、AdobeAcrobatReader.batという別の悪意のあるバッチスクリプトを生成することだけが目的であることがわかりました。
悪意のあるバッチ スクリプトを分析したところ、次のことがわかりました。
① 最初に、バッチ スクリプトは最初のデコイ ドキュメントを画面に表示します。
② 次に、2 番目のおとり文書と、実行可能ファイルである偽装された PDF の属性を変更します。
③ 次に、偽装した PDF の名前を AdobeReader.exe に変更し、xcopy を使用してスタートアップ フォルダーにコピーして実行します。
④ 最後に、ファイル属性を変更し、ショートカットファイルとペイロードファイルを隠しファイル、読み取り専用ファイル、システムファイルに設定します。これにより、悪意のあるLNKファイルと関連するペイロードは、一般ユーザーによるアクセスから隠蔽され、不正な変更や削除から保護されます。
次のセクションでは、悪意のあるペイロードについて詳しく見ていきます。この初期段階から、バッチスクリプトとLNKファイルがペイロードの展開に関与していたことが明らかです。
ステージ 2 – 悪意のある Rust ローダー。
ZIP ファイルには悪意のある x64 実行可能ペイロードが存在します。
最初の分析で、ペイロードは実際にはRustベースのローダーであることが判明しました。 フリーズOptivの研究者は、一時停止されたプロセスや直接的なシステムコールなどを使用してEDRを回避するなど、レッドチームのエミュレーション指向の演習用にこの回避ツールキットを作成しました。次に、ファイルをIDA(バイナリ分析ツール)に移動し、さらにリバースエンジニアリングとペイロード抽出を行いました。
コードを調べてみると、ローダーが実行していることがわかります。 ETW Patchingこれは Freeze でサポートされている機能の 1 つです。
次に、ローダーは、notepad.exe プロセスをサスペンド モードで生成し、メモリから NTDLL の新しいコピーをロードして、フックされた .text セクションを、フックされていない NTDLL からの .text セクションの新しいコピーに置き換えることによって、DLL のフック解除を実行します。
アンフック後、ETW を再パッチします。
最後に、Base64 デコードと LZMA 解凍によって、圧縮およびエンコードされたシェルコードが取得されます。
シェルコードがデコードされた後、AES/RC4などの暗号アルゴリズムを使用して復号されます。シェルコードはNTAPIを使用して復号され、メモリに書き込まれます。
次に、NTAPIにブレークポイントを設定して、ローダーからシェルコードを抽出しました。このシェルコードは悪意のあるHavoc DLLであることが判明しました。これについては次のセクションで詳しく説明します。
ステージ3 – 悪意のある大混乱の悪魔。
このDLLファイルの初期分析では、Demon DLLであることが示唆されています。これは、エクスプロイト後のフレームワークの一部であるペイロードです。 大混乱。
分析の結果、DLL ペイロードには、ペイロードのアクティビティを促進する 4 つの重要なサブルーチン (便宜上 IDA で名前が変更されています) が含まれていることがわかりました。これらのサブルーチンは次のとおりです。
① DemonInit。
② デーモン構成。
③ デーモンメタデータ。
④ 悪魔ルーチン。
それでは、それぞれの機能を詳しく見ていき、いくつかの重要な成果物を見てみましょう。
その DemonInit この関数は、PEB(プロセス環境ブロック)を介してntdll.dllやkernel32.dllなどのモジュールをロードする役割を担います。その後、ロードされたモジュールから関数を解決または取得し、最後に別のサブルーチンであるDemonConfigを呼び出します。
抽出された構成:
スポーン:
– x86: C:\Windows\SysWOW64\notepad.exe
– x64: C:\Windows\System32\notepad.exe
方法:POST
ホスト[コマンド&コントロール] : 206.188.197.113
ユーザーエージェント: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML、Gecko など) Chrome/96.0.4664.110 Safari/537.36
その デーモンコンフィグ DemonConfig関数は、.dataセクションに保存されている設定を解析します。解析された設定は、プログラム内でさらに使用されます。DemonConfig関数には、解析に特化した複数の関数も含まれています。
その デーモンメタデータ この関数は、デーモン ペイロードの一意のメタデータを生成します。このメタデータには、デーモン ID、ユーザー名、プロセス アーキテクチャ、OS 情報、ドメイン情報などのアーティファクトが含まれます。
最後のDemonRoutine関数は、PackageTransmitNow関数を用いてコマンド&コントロールサーバーに接続し、AES暗号化を用いてデータを復号するなど、様々な処理を行います。その後、CommandDispatcherルーチンを用いてタスク処理を実行し、最後に関数を介してスリープ難読化を行います。この難読化では、Ekko、Zilean、その他の様々な手法が用いられます。 単一オブジェクト待機Ex.
狩猟とインフラ
ローダーペイロードを分析したところ、バイナリ C:\TOOL\Freeze.rs-main\target\release\AdobeReader\target\release\deps\AdobeReader.pdb にリンクされた固有のPDBパスを発見しました。これにより、同じ脅威アクターが使用している類似のローダーを探索することができました。その結果、類似のサンプルが2つ見つかりました。
- ファイル名: vihu.exe
- PDB パス: C:\TOOL\Freeze.rs-main\target\release\vihu\target\release\deps\vihu.pdb
- タイムスタンプ: 2024-07-24
- ファイル名: gnobya.exe
- PDB パス: C:\TOOL\Freeze.rs-main\target\release\gnobya\target\release\deps\gnobya.pdb
- タイムスタンプ: 2024-05-22
両方のローダーからシェルコードを抽出すると、最初のファイルvihu.exeから抽出されたシェルコードは類似のdemon.x64.dllでしたが、XNUMX番目のファイルから抽出されたシェルコードはURLであることが判明し、これはさらにカスタムをダウンロードするものです。 スライバーステージャーこのHavoc Demonで見つかったC2とUser-Agentは次のとおりです。
C2:195.123.225.88
ユーザーエージェント: Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_5、Mac OS X に類似) AppleWebKit/531.2 (KHTML、Gecko に類似) CriOS/52.0.879.0 Mobile/29C842 Safari/531.2
ZIPアーカイブはチェコ共和国から送信されましたが、PDBパスで見つかった最後の2つのペイロードはロシアからアップロードされました。Havoc CXNUMXの情報詳細は以下の通りです。
| IP | ASN | ジオロケーション |
| 206.188.197.113 | AS399629 (BLネットワークス) | Netherlands |
| 195.123.225.88 | AS59729(グリーンフロイドLLC) | ブルガリア |
「Havoc、Sliver & Freezeのようなポストエクスプロイトフレームワークの多用と、チェコ地域におけるロシアの利益に関する地政学的な緊張の継続を考慮すると、脅威アクターはロシア出身である可能性があると考えられます。 信頼度中に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
結論
脅威アクターがNATOをテーマにしたルアーを用いてチェコ軍を標的としていることが判明しました。このルアーは、Rustベースのローダーから最終的なDLLペイロードに至るまで、オープンソースの攻撃ツールに大きく依存しています。この脅威アクターが採用したキャンペーン全体とTTP(戦術・技術・手順)を分析した結果、この脅威アクターは2024年XNUMX月から数ヶ月前に標的を定めていたと結論付けることができます。
Seqrite 保護性能
- フリーズL
- Havocp.S33863897
- CRCampaign.49004.GC
IOC
| ハッシュ[SHA-256] | ファイル名 | |
| 9549d3d2b8e8b4e8f163a8b9fa3b02b8a28d78e4b583baccb6210ef267559c6e | CZ_army_NATO_cooperation.zip | |
| 436994d4a5c8d54acb2b521d0847d77e6af6c2c0e40468248b1dd019c6dafa84 | 1.NATOにおけるチェコ共和国の重要性と展望.pdf.lnk | |
| ace33243994a9da0797601bdd4191e25967a1da2644f0d0b530e26c71854d5d9 | AdobeAcrobatReader.bat | |
| a05d053174b52a9b158a5ec841c1a7633b9368c4ac2da371a11a9364f8a8dc60 | NatoDoc.pdf | |
| 1dbcade04333b9dc81ba0746bc604d12489da49b9b65fcb5b1f61d139dc5949c | vihu.exe | |
| 38da8d1576bdd0a03e649e8e6543594b35a423aa5b0a0c4081fc477c8e487e09 | gnobya.exe | |
| b29ed89e0428ba476459adabb5630c8d29f7fee5905c5de10d792fe3a02e52a6 | x64.demon.dll | |
| 6e0d12cd0252599fd1dec7aa460cae7a12a1b2e322b6664e64c773c23627d1b4 | x64.demon.dll | |
| ed6775184051ef36c3049e24167471ab42bd4301e99631c8423d4d753cdad455 | インターレギュラー.woff | |
| PDBパス | ||
| · C:\TOOL\Freeze.rs-main\target\release\vihu\target\release\deps\vihu.pdb | ||
| · C:\TOOL\Freeze.rs-main\target\release\gnobya\target\release\deps\gnobya.pdb | ||
| · C:\TOOL\Freeze.rs-main\target\release\AdobeReader\target\release\deps\AdobeReader.pdb | ||
| IP Addresses | ||
| · hxxps://206.188.197.113/ | ||
| · hxxps://195.123.225.88/ | ||
| ハッシュ [SHA-256] | ファイル名 [ルアー文書] | |
| fda71a7de6d473826465bb83210107501e66a5d96e533772444b3b24806286fd | NATOにおけるチェコ共和国の重要性と展望.pdf | |
| 8820e0c249305ffa3d38e72a7f27c0e2195bc739d08f5d270884be6237eea500 | Postup_zmeny_hesla_z_IMO.pdf | |
MITRE TTP
| 戦略 | テクニックID | 名前 |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシング添付ファイル
|
| 実行 | T1204.002
T1059.005 |
ユーザーの実行:悪意のあるファイル
コマンドおよびスクリプトインタープリター:Visual Basic |
| 固執 | T1547.001 | レジストリ実行キー / スタートアップ フォルダー |
| 防衛回避 | T1562.001
T1562.006 T1055 T1055.002 T1140 T1027.007 |
防御を損なう: ツールの無効化または変更
インジケーターのブロッキング。 プロセスインジェクション。 プロセス インジェクション: ポータブル実行可能インジェクション ファイルまたは情報の難読化解除/デコード 難読化されたファイルまたは情報: 動的 API 解決 |
| プーケットの魅力 | T1033 | システム所有者/ユーザーの発見 |
著者
- サトウィック・ラム・プラッキ
- スバジート・シンハ
