ウクライナで横行するフィッシング:偽の BitDefender 更新で Cobalt Strike をドロップ

Fake antivirus updates used to deploy Cobalt Strike in Ukraine

2022/03/14 BleepingComputer — ウクライナの Computer Emergency Response Team は、脅威アクターたちが Windows アンチウイルスのフェイク更新プログラムを配布し、Cobalt Strike などのマルウェアをインストールしていると警告を発している。このフィッシング・メールは、ウクライナの政府機関になりすまし、ネットワークのセキュリティを高める手段を提供すると受信者を騙し、 “BitdefenderWindowsUpdatePackage.exe ” という名前の 60MB のファイルとして提供される、重要なセキュリティ・アップデートをダウンロードするよう促す。

Phishing email urging the download of a laced file
Phishing email urging the download of a fake AV updater (CERT-UA)


これらのメールには、偽の AV ソフトウェアの更新プログラムへと誘導し、ダウンロード・ボタンを押させるための Web サイト (現在はオフライン) へのリンクが含まれている。また、MalwareHunterTeam により、別の Web サイト nirsoft[.]me が、このキャンペーンの Command & Control サーバーとして機能していることが発見された。

Malware-delivering website
Malware-delivering website
Source: ​​​​​CERT-UA


この偽の BitDefender Windows update [VirusTotal] を、被害者がダウンロードして実行すると、「Windows Update Package」をインストールするよう促す、以下の画面が表示される。

The Bitdefender Windows Update Package​​​​​​​
The Bitdefender Windows Update Package
Source: MalwareHunterTeam


しかし、この「更新」は、実際には Cobalt Strike ビーコンである one.exe ファイル [VirusTotal] を、Discord CDN から ダウンロードさせインストールするものだ。
Cobalt Strike は、攻撃的な機能を提供し、横方向のネットワーク移動を容易にし、持続性を確保するという、広く濫用されているペネトレーション・テスト・スイートである。

この侵害のプロセスでは、Go ダウンローダー (dropper.exe) が取得され、Base-64 エンコードされた ファイル (java-sdk.exe) をデコードして実行する。このファイルは、永続化のために新しいWindows レジストリキーを追加し、さらに2つのペイロードである、GraphSteel バックドア (microsoft-cortana.exe) および、GrimPlant バックドア (oracle-java.exe) をダウンロードさせる。

The infection chain of the uncovered campaign
The infection chain of the uncovered campaign (CERT-UA)


このキャンペーンに含まれる全ての実行ファイルは、リバース・エンジニアリング/検出/分析を回避する Themida ツール上にパックされている。

ペイロードへの移行

GraphSteel と GrimPlant は、どちらも Go で書かれたマルウェアである。Go は汎用性が高いクロス・プラットフォームのプログラミング言語であり、フットプリントが最小であることから AV による検出率が低くなっている。この2つのツールの機能は、ネットワーク偵察/コマンド実行/ファイル操作をカバーしており、両者が同じシステムに配備されているのは、冗長性のためと思われる。

GraphSteelの特徴

  • ホスト名/ユーザー名/IP アドレスに関する情報収集
  • コマンドの実行
  • アカウントの認証情報を盗む
  • WebSocket と GraphQL を使用し、AES と base64 の暗号化を用いて C2 と通信。

    GrimPlantの機能
  • IP アドレス/ホスト名/OS/ユーザー名/ホーム・ディレクトリの収集
  • リモートで受信したコマンドを実行し、結果を C2 に返す
  • C2 との通信に gRPC (HTTP/2+SSL) を採用

    これら2つのペイロードに関する、技術的な詳細はあまり提供されておらず、今回の報告で新たな名前が付けられたが、既知のバックドアである可能性も否定できない。

アトリビューション

ウクライナの現状を考えると、すべての敵対的な活動をロシアや親ロシアの脅威アクターに帰することは簡単だが、その可能性が高いように思われる。ウクライナの Computer Emergency Response Team は、検出された活動は UAC-0056 グループのものであると、中程度の信頼度で関連付けている。UAC-0056 とは、Lorec53 とも呼ばれ、フィッシング・メールとカスタム・バックドアを組み合わせて、ウクライナの組織から情報を収集する、ロシア語圏の洗練された APT のことである。

2021年12月以降に UAC-0056 は、ウクライナでフィッシング配信とネットワーク侵害を活発化させていることが目撃されている。同じアクターが、最近はグルジア政府機関をターゲットにして、フィッシング・ルアーを行っているのが目撃されており、ロシアにおける国家の利益と、高いレベルで連携/一致していることが判明している。

ウクライナからの報告ですが、同じようなフィッシング・メールが、その他の地域に配信されていないとは限りません。また、最近の Cobalt Strike に関連する記事としては、2021年21月の「Microsoft Build Engine 悪用キャンペーンを観測:Cobalt Strike Beacon が実行されている」や、「Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike」、「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」などがあります。よろしければ、Cobalt Strike で検索も、ご利用ください。→ Ukraine まとめページ

%d bloggers like this: