Fake antivirus updates used to deploy Cobalt Strike in Ukraine
2022/03/14 BleepingComputer — ウクライナの Computer Emergency Response Team は、脅威アクターたちが Windows アンチウイルスのフェイク更新プログラムを配布し、Cobalt Strike などのマルウェアをインストールしていると警告を発している。このフィッシング・メールは、ウクライナの政府機関になりすまし、ネットワークのセキュリティを高める手段を提供すると受信者を騙し、 “BitdefenderWindowsUpdatePackage.exe ” という名前の 60MB のファイルとして提供される、重要なセキュリティ・アップデートをダウンロードするよう促す。
.jpg)
これらのメールには、偽の AV ソフトウェアの更新プログラムへと誘導し、ダウンロード・ボタンを押させるための Web サイト (現在はオフライン) へのリンクが含まれている。また、MalwareHunterTeam により、別の Web サイト nirsoft[.]me が、このキャンペーンの Command & Control サーバーとして機能していることが発見された。
.jpg)
Source: CERT-UA
この偽の BitDefender Windows update [VirusTotal] を、被害者がダウンロードして実行すると、「Windows Update Package」をインストールするよう促す、以下の画面が表示される。

Source: MalwareHunterTeam
しかし、この「更新」は、実際には Cobalt Strike ビーコンである one.exe ファイル [VirusTotal] を、Discord CDN から ダウンロードさせインストールするものだ。
Cobalt Strike は、攻撃的な機能を提供し、横方向のネットワーク移動を容易にし、持続性を確保するという、広く濫用されているペネトレーション・テスト・スイートである。
この侵害のプロセスでは、Go ダウンローダー (dropper.exe) が取得され、Base-64 エンコードされた ファイル (java-sdk.exe) をデコードして実行する。このファイルは、永続化のために新しいWindows レジストリキーを追加し、さらに2つのペイロードである、GraphSteel バックドア (microsoft-cortana.exe) および、GrimPlant バックドア (oracle-java.exe) をダウンロードさせる。

このキャンペーンに含まれる全ての実行ファイルは、リバース・エンジニアリング/検出/分析を回避する Themida ツール上にパックされている。
ペイロードへの移行
GraphSteel と GrimPlant は、どちらも Go で書かれたマルウェアである。Go は汎用性が高いクロス・プラットフォームのプログラミング言語であり、フットプリントが最小であることから AV による検出率が低くなっている。この2つのツールの機能は、ネットワーク偵察/コマンド実行/ファイル操作をカバーしており、両者が同じシステムに配備されているのは、冗長性のためと思われる。
GraphSteelの特徴
- ホスト名/ユーザー名/IP アドレスに関する情報収集
- コマンドの実行
- アカウントの認証情報を盗む
- WebSocket と GraphQL を使用し、AES と base64 の暗号化を用いて C2 と通信。
GrimPlantの機能 - IP アドレス/ホスト名/OS/ユーザー名/ホーム・ディレクトリの収集
- リモートで受信したコマンドを実行し、結果を C2 に返す
- C2 との通信に gRPC (HTTP/2+SSL) を採用
これら2つのペイロードに関する、技術的な詳細はあまり提供されておらず、今回の報告で新たな名前が付けられたが、既知のバックドアである可能性も否定できない。
アトリビューション
ウクライナの現状を考えると、すべての敵対的な活動をロシアや親ロシアの脅威アクターに帰することは簡単だが、その可能性が高いように思われる。ウクライナの Computer Emergency Response Team は、検出された活動は UAC-0056 グループのものであると、中程度の信頼度で関連付けている。UAC-0056 とは、Lorec53 とも呼ばれ、フィッシング・メールとカスタム・バックドアを組み合わせて、ウクライナの組織から情報を収集する、ロシア語圏の洗練された APT のことである。
2021年12月以降に UAC-0056 は、ウクライナでフィッシング配信とネットワーク侵害を活発化させていることが目撃されている。同じアクターが、最近はグルジア政府機関をターゲットにして、フィッシング・ルアーを行っているのが目撃されており、ロシアにおける国家の利益と、高いレベルで連携/一致していることが判明している。
ウクライナからの報告ですが、同じようなフィッシング・メールが、その他の地域に配信されていないとは限りません。また、最近の Cobalt Strike に関連する記事としては、2021年21月の「Microsoft Build Engine 悪用キャンペーンを観測:Cobalt Strike Beacon が実行されている」や、「Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike」、「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」などがあります。よろしければ、Cobalt Strike で検索も、ご利用ください。→ Ukraine まとめページ