Turla が水飲み場攻撃を利用してバックドアを設置する方法

標的の Web サイト

Turla は、2 つの政府 Web サイトを含む少なくとも 4 つのアルメニアの Web サイトを侵害しました。したがって、ターゲットには政府関係者や政治家も含まれる可能性があります。次の Web サイトが侵害されました:

armconsul [.] ru: 在ロシア アルメニア大使館領事部

mnp.nkr [.] am: 自然保護省アルツァフ共和国のリソース

aiisa [.] am: アルメニア国際安全保障問題研究所

adgf [.] am: アルメニア預金保証基金

これらのサイトは、少なくとも 2019 年の初めに侵入されて以来活動を続けています。 Turla は、不正なアクセスを使用して、悪意のある JavaScript コードを Web サイトに挿入します。たとえば、mnp.nkr[.]am の場合、図 1 に示すように、難読化されたコードが jquery-merge.min.js (一般的な JavaScript ライブラリ) の末尾に追加されます。コードを変更します。追加の JavaScript スクリプトは「skategirlchina[.]com/wp-includes/data_from_db_top.php」からダウンロードされます。 2019年11月以降、同Webサイトが悪質なスクリプトを配布していないことが判明し、Turlaグループは活動を停止したとみられる。

ユーザーのフィンガープリントと送信チェーン

感染した Web ページにアクセスすると、skategirlchina[.]com は悪意のある JavaScript の第 2 段階を埋め込み、訪問者のブラウザにフィンガープリントを追加します。図 2 は、このスクリプトの主な機能を示しています。

ユーザーのブラウザが初めてスクリプトを実行する場合、サーバーから提供されるランダムな MD5 値を持つ evercookie が追加されます。この値は、スクリプトが実行されるたびに異なります。 evercookie は GitHub コードに基づいて実装されています。 Cookie 値を保存するために、複数の保存場所 (ローカル データベース、Flash Cookie、Silverlight ストレージなど) を使用します。これは通常の Cookie よりも永続的であり、ユーザーがブラウザの Cookie を削除しただけでは削除されません。

evercookie は、ユーザーが感染した Web サイトに再度アクセスしたかどうかを識別するために使用されます。ユーザーが 2 回目に訪問するとき、以前に保存された MD5 値を使用して 2 回目の訪問行動を識別できます。

ブラウザのプラグインリスト、画面解像度、各種オペレーティングシステム情報を収集し、POSTでC&Cサーバーに送信します。応答があった場合は、JavaScript コードとみなされ、eval 関数を使用して実行されます。

#攻撃者がターゲットの感染に興味がある場合、サーバーは JavaScript コードで応答します。このキャンペーンでは、Turla は Web サイトへの非常に限られた数のアクセスのみに関心があります。次に、図 3 に示すように、悪意のある Flash インストーラーをダウンロードさせるように設計された偽の Adob​​e Flash アップデート警告がユーザーに表示されます。

ブラウザの脆弱性を悪用する手法は観察されず、キャンペーンはソーシャル エンジニアリング手法のみに依存していました。ユーザーが実行可能ファイルを手動で起動すると、Turla マルウェアと正規の Adob​​e Flash プログラムがインストールされます。図 4 は、感染したアルメニアの Web サイトへの最初の訪問からの悪意のあるペイロードの配信を示しています。

マルウェア

ユーザーが偽のインストーラーを実行すると、Turla マルウェアと正規の Adob​​e Flash インストーラーの両方が実行されます。したがって、ユーザーはアップデートの警告が正当なものであると信じている可能性があります。

スキッパー

2019 年 8 月までに、被害者は正規の Adob​​e Flash v14 インストーラーと別の RAR-SFX を含む RAR-SFX を受け取ります。後者には、バックドアのさまざまなコンポーネントが含まれています。最新バージョンは、2019 年 5 月に Telsy によって録音されました。

Skipper 通信モジュールによって使用されるリモート JavaScript および悪意のあるファイル サーバーは、C&C サーバーである Skategirlchina [.com/wp-includes/ms-locale.php.

NetFlash と PyFlash

新しい悪意のあるペイロードが 8 月末に発見されました。新しい悪意のあるペイロードは、%TEMP%\adobe.exe インストーラー内の Adob​​e Flash v32 を削除する .NET プログラムです。 、%TEMP%\winhost.exe の NetFlash (.NET Downloader) を削除しました。コンパイルのタイムスタンプによると、悪意のあるサンプルは 2019 年 8 月末と 2019 年 9 月初旬にコンパイルされました。

NetFlash は、ハードコードされた URL から第 2 段階のマルウェアをダウンロードし、Windows のスケジュールされたタスクを使用して永続性を確立します。図 5 は、PyFlash と呼ばれる第 2 段階のマルウェアをダウンロードする NetFlash 機能を示しています。 2019 年 8 月末に別のハードコードされた C&C サーバーを使用してコンパイルされた別の NetFlash サンプルも発見されました: 134.209.222[.]206:15363。

第 2 段階のバックドアは、py2exe 実行可能ファイルです。 py2exe は、Python スクリプトを Windows 実行可能ファイルに変換するための Python 拡張機能です。 Turla 開発者がバックドアに Python 言語を使用したのはこれが初めてです。

バックドアは、HTTP 経由でハードコーディングされた C&C サーバーと通信します。図 6 に示すように、C&C URL は、ネットワーク通信の暗号化に使用される他のパラメーター (AES キーや IV など) とともにスクリプトの先頭で指定されます。

このスクリプト (図 7 を参照) の主な機能は、マシン情報を C&C サーバーに送信することであり、OS 関連のコマンド (systeminfo、tasklist) およびネットワーク関連のコマンド (ipconfig、getmac、 arp ) 出力結果。

C&C サーバーは、JSON 形式でバックドア コマンドを送信することもできます。コマンドは次のとおりです:

1. 指定された HTTP(S) リンクから他のファイルをダウンロードします。

2. Python 関数 subprocess32.Popen を使用して Windows コマンドを実行します。

3. マルウェアを定期的に (X 分ごと、デフォルトは 5 分) 起動するように Windows タスクを変更します。

4. マルウェアを強制終了 (アンインストール) します。この指示を確認するために、マルウェアは次の文字列を使用して C&C サーバーに POST リクエストを送信します:

概要

Turla は引き続き給水を使用します。ホール攻撃は、最初の侵入ターゲット戦略の 1 つとして行われます。このキャンペーンはソーシャル エンジニアリング技術に依存しており、偽の Adob​​e Flash アップデート警告を使用してユーザーをだましてマルウェアをダウンロードしてインストールさせます。一方、おそらく検出を回避するためにペイロードが変更されており、悪意のあるペイロードは NetFlash で、Python 言語を使用して開発された PyFlash と呼ばれるバックドアをインストールします。

IoCs

ウェブサイト

http://www.armconsul[.]ru/user/主題/ayeps/dist/js/bundle.0eb0f2cb2808b4b35a94.js

http://mnp.nkr[.]am/wp-includes/js/jquery/jquery-merge.min.js

http://aiisa[.]am/js /chatem/js_rA9bo8_O3Pnw_5wJXExNhtkUMdfBYCifTJctEJ8C_Mg.js

adgf[.]am

C&C サーバー

http://skategirlchina[.]com/wp-includes /data_from_db_top.php

http://skategirlchina[.]com/wp-includes/ms-locale.php

http://37.59.60[.]199/2018/。 config/adobe

http://134.209.222[.]206:15363

http://85.222.235[.]156:8000

サンプル

MITRE ATT&CK テクニック

##

以上がTurla が水飲み場攻撃を利用してバックドアを設置する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。