軍事産業への PowerShell 攻撃:洗練された7段階の実行チェーンとスティルス性

Stealthy hackers target military and weapons contractors in recent attack

2022/09/28 BleepingComputer — セキュリティ研究者たちが発見したのは、F-35 Lightning II 戦闘機部品サプライヤーなどの、兵器製造に携わる複数の軍事関連業者を標的とした新たなキャンペーンである。この高度な標的型攻撃は、従業員にフィッシング・メールを送信することから始まり、検知回避システムを用いた、永続性を確保する感染にいたるまでの、多段階で構成される。このキャンペーンは、安全な C2 インフラと、PowerShell ステージャによる、何重もの難読化という点で際立っている。

この攻撃を発見したのは Securonix のアナリストたちであり、過去の APT37 (Konni) 攻撃との類似点を報告しているが、このキャンペーンと既知の脅威アクターを結びつけることはできなかった。

従業員をターゲットにした攻撃

従業員を標的としたフィッシング・メールには、ショートカット・ファイル “Company & Benefits.pdf.lnk” を取り込んだ ZIP 添付ファイルが含まれ、このファイルを実行すると、C2 への接続が行われ、システムをマルウェアに感染させる一連の PowerShell スクリプトが起動される。

興味深いことに、このショートカット・ファイルは、一般的に悪用される “cmd.exe” や “powershell.exe” ツールを使用せずに、”C:\Windows\System32\ForFiles.exe” という珍しいコマンドに依存している。

続いて、複数の手法を用いた高度な難読化が特徴である、7段階の PowerShell 実行チェーンを解明する必要がある。

Campaign infection chain (Securonix)

Securonix のアナリストが検証したのは、並べ替え/シンボル難読化/IEX難読化/バイト値難読化/生の圧縮/文字列置換/バックチックの難読化などである。

さらに、これらのスクリプトは、デバッグおよび監視ソフトウェアにリンクされたプロセス/リストをスキャンし、サンドボックスを回避するために、画面のタテが 777 pixel 以上であり、メモリが 4GB 以上であることをチェックする。そして、対象システムのインストールから、3日以上が経っていることを確認する。

Anti-analysis checks performed prior to execution
Anti-analysis checks performed prior to malware execution (Securonix)

これらのチェックにより、なんらかの失敗が生じた場合には、このスクリプトはシステムのネットワーク・アダプタを無効にし、Windows ファイアウォールを設定して、すべてのトラフィックをブロックし、検出されたすべてのドライブの全てを削除した後に、コンピュータをシャットダウンする。

このマルウェアが損害を与えることなく終了する、唯一のケースは、システムの言語がロシア語/中国語に設定されている場合である。

すべてのチェックが成功すると、このスクリプトは PowerShell Script Block Logging を無効化し、.lnk/.rar/.exe ファイルの実行や、マルウェア機能に重要なディレクトリにから、Windows Defender を除外する処理を進める。

永続化の実現は、新しいレジストリキーの追加や、スケジュールされたタスクへのスクリプトの埋め込み、スタートアップ・ディレクトリへの新しいエントリの追加、WMI サブスクリプションなどの、複数の方法により達成される。

Modifying the Registry for persistence
Modifying the Registry for persistence (Securonix)

PowerShell ステージャが処理を完了すると、AES 暗号化された最終ペイロード “header.png” が C2 からダウンロードされる。

研究者たちは、「私たちは header.png ファイルをダウンロードして分析できたが、このキャンペーンが完了し、これ以上の分析を防ぐために、ファイルが置き換えられたと推測されることから、解読することがは不可能だった。このペイロードを解読しようとしても、ゴミのようなデータしか得られない」と説明している。

C2 インフラについて

アナリストたちは、このキャンペーンをサポートする、C2 インフラに用いられたドメインは 2022年7月に登録され、DigitalOcean にホストされていることを突き止めた。

その後に、脅威アクターたちはドメインを Cloudflare に移動し、IP アドレス・マスキング/ジオ・ブロッキング/HTTPS/TLS暗号化などの、同社の CDN とセキュリティ・サービスの恩恵を受けている。

このレポートに記載されている C2 ドメインには、”terma[.]wiki”/”terma[.]ink”/”terma[.]dev”/”terma[.]app”/”cobham-satcom.onrender[.]com” などが含まれている。

全体として、このキャンペーンは、レーダーを潜り抜ける方法を知っている洗練された脅威アクターの仕事のように見える。したがって、Securonix のレポートにあるハンティング・クエリーと共有 IoC を必ず確認してほしい。

このところ、軍事産業へのサイバー攻撃が目に付きます。代表的なものとしては、2022年8月13日の「Lockheed Martin への不正侵入を主張:Killnet は親ロシアのハッカー・グループ」や、8月29日の「NATO 調査:ダークウェブで販売される MBDA ミサイルの機密情報とは?」などがあります。ロシアによるウクライナ進行と同期するように、この種のインシデントが増えているように思えます。よろしければ、カテゴリ Defence を、ご参照ください。

%d bloggers like this: