イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下

State hackers use new PowerShell backdoor in Log4j attacks

2022/01/11 BleepingComputer — イランの国家支援グループ APT35 (Charming Kitten/Phosphorus) に属すると思われるハッカーが、Log4Shell 攻撃により新たな PowerShell バックドアを投下していることが確認されている。このモジュール型ペイロードは、C2 通信を処理し、システムの列挙を行い、最終的には追加モジュールの受信/復号化/ロードを行うことが可能とされる。Log4Shell は、12月に公開された Apache Log4j の深刻なリモートコード実行の脆弱性 CVE-2021-44228 を悪用するものである。

Check Point の研究者たちによると、APT35 は、ターゲットがセキュリティ・アップデートを適用する前に、いち早くこの脆弱性を利用し、公開後わずか数日で脆弱なシステムをスキャンしている。

同社では、このような試みを追跡調査してきたが、過去に APT35 が使用した公開インフラを利用して、急遽設定されたものが判明したことから、同グループによる攻撃だと考えられる。しかし、アナリストは調査の一環として、CharmPower という名前の 新しい PowerShell モジュール型バックドア発見している。

複数のタスクに対応するモジュール型バックドア

CVE-2021-44228 の悪用により、Base64 エンコードされたペイロードを含む PowerShell コマンドが実行され、最終的には脅威アクターが管理する Amazon S3 バケットから CharmPower モジュールが取得される。

このコアモジュールの、主な機能は以下のとおりである。

  • ネットワーク接続の確認: 実行時に、スクリプトによりパラメータ hi=hi でgoogle.com に HTTP POST リクエストを行い、アクティブなインターネット接続を待つ。
  • 基本的なシステムの列挙:スクリプトにより、Windows OS のバージョン/コンピュータ名/$APPDATA パスにあるファイル Ni.txt の内容を収集する。このファイルは、メインモジュールによりダウンロードされる別のモジュールにより作成/入力されると考えられる。
  • C&C ドメインの取得:このマルウェアは、バックドアのダウンロード元でもある S3 バケットの、ハードコードされた URL から取得したC&Cドメインを解読する。
    hxxps://s3[.]amazonaws[.]com/doclibrarysales/3
  • フォローアップ・モジュール受信/復号化/実行:このコア・モジュールは、C2 にHTTP POST リクエストを送信し続ける。このリクエストには応答がない場合もあるが、追加の PowerShell または C# モジュールのダウンロードを開始する、Base64 文字列を受け取る場合もある。CharmPower は、これらのモジュールの復号化とロードを担当し、C2 との独立した通信チャネルを確立する。感染したエンドポイントに送信されるモジュールのリストは、偵察段階でCharmPower が取得した、基本的なシステムデータに基づき自動的に生成される。

    C2 が送信する追加モジュールは以下のとおりとなる。
  • Applications – アンインストールのレジストリ値を列挙し、”wmic” コマンドを使用して、感染したシステムにインストールされている、アプリケーションを把握する。
  • Screenshot – 指定された頻度でスクリーン・ショットをキャプチャし、ハードコードされた認証情報を用いて、FTP サーバーにアップロードする。
  • Process – tasklist コマンドを用いて実行中のプロセスを取得する。
  • System information – systeminfo コマンドを実行してシステム情報を収集する。他にも多くのコマンドがあるが、コメントアウトされている。
  • Command Execution – Invoke-Expression/cmd/PowerShell オプションを備えたリモートコマンド実行モジュール。
  • Cleanup – レジストリやスタートアップ。フォルダのエントリ/ファイル/プロセスなどの、感染したシステムに残された全痕跡を削除するモジュール。APT35 による攻撃の、一番最後に投下される。

古いバックドアとの類似性

Check Point は、CharmPower と 過去に APT35 が使用した Android スパイウェアとの間に、同じログ機能の実装や、同一のフォーマットと構文の使用などの、類似点があることに気づいた。また、C2 通信における Stack=Overflow というパラメータが、双方のサンプルに見られるが、これは APT35 のツールだけに見られる独自の要素である。このようなコードの類似性と、インフラの重複により、今回のキャンペーンは APT35 によるものだと Check Point は判断している。CharmPower は、洗練されたアクターが、CVE-2021-44228 のような脆弱性の出現にいかに迅速に対応し、過去に公開されたツールのコードを組み合わせて、セキュリティや検知レイヤーを超えたレベルにおいて、強力で効果的な攻撃が生み出されることを示す一例である。

Log4Shell 攻撃ですが、偵察段階からバックドア投下へと、その活動内容がシワジワと変化しているのでしょうか? 攻撃者が、APT35 のような国家支援グループの場合、侵入して直ぐに攻撃を仕掛けるということはありません。 諜報活動の一環として、機密情報を盗み出すための、準備を行っていると考えるべきです。→ Log4j まとめページ

%d bloggers like this: