Buhtrap グループは、ロシアの金融機関や企業をターゲットにしていることで長年知られています。 追跡プロセス中に、組織の主要なバックドアとその他のツールが発見され、分析されました。
2015 年末以降、この組織は金銭的利益を持つサイバー犯罪組織となり、そのマルウェアはスパイ活動のために東ヨーロッパと中央アジアに出現しました。
2019 年 6 月に、Buhtrap がゼロデイ攻撃を使用していることを初めて発見しました。同時に、Buhtrap が攻撃中にローカル権限昇格の脆弱性 CVE-2019-1132 を利用したことも判明しました。
Microsoft Windows のローカル権限昇格の脆弱性は、win32k.sys コンポーネントの NULL ポインター逆参照によって引き起こされる問題を悪用します。この脆弱性が発見されると、Microsoft Security Response Center に報告され、すぐに修正され、関連するパッチがリリースされました。
下の図のタイムラインは、Buhtrap 活動における最も重要な開発ノードのいくつかを反映しています。
#グループのツールがオンラインでオープンソース化されている場合、それらをサイバー攻撃に結び付けるのは困難です。しかし、標的変更後に組織のソースコードが漏洩したため、組織が攻撃したマルウェアを迅速かつ効率的に分析し、組織が標的とした企業や銀行のターゲットを明らかにし、組織が標的への攻撃に関与していることを確認しました。政府機関。
新しいツールが武器庫に追加され、古いバージョンが置き換えられていますが、Buhtrap キャンペーンで使用される戦略、テクニック、手順は、その時々で大幅に変わっていません。彼らは NSIS インストーラーをドロッパーとして広く使用しており、悪意のあるドキュメントが主なベクトルです。さらに、一部のツールは有効なコード署名証明書で署名されており、既知の正規のアプリケーションを攻撃ベクトルとして利用します。
攻撃ペイロードの配信に使用されるファイルは、通常、被害者がファイルを開いたときに疑われないように設計されたフィッシング ファイルです。これらのフィッシング ファイルは、分析のための信頼できる手がかりを提供します。 Buhtrap が企業をターゲットにする場合、フィッシング文書は通常、契約書または請求書です。このグループは、2014 年のキャンペーンで、下の画像に示されている一般的な請求書を使用しました。
このグループが銀行をターゲットとする場合、フィッシング文書は金融システム規制や、金融機関に支援と指導を提供するためにロシア政府が設立した組織である Fincert との協議に関連することがよくあります。
したがって、政府の活動に関連するフィッシング文書を見つけた場合、私たちは直ちにこれらの活動の追跡を開始します。 2015 年 12 月に、NSIS インストーラーをダウンロードした悪意のあるサンプルの最初のバッチが発見されました。このインストーラーは、buhtrap バックドアのインストールに使用されました。フィッシング ドキュメントは次のとおりです:
URLこのテキストには、ウクライナ国家移住局の Web サイト dmsu.gov.ua に非常によく似た独特の特徴があります。このテキストはウクライナ語で、従業員に連絡先情報、具体的には電子メールアドレスの提供を求め、またテキスト内の悪意のあるリンクをクリックするよう誘導しようとしている。
これは、政府機関への攻撃に使用される Buhtrap グループから私たちが発見した多くの悪意のあるサンプルのうちの最初のものです。こちらに示すように、同じく Buhtrap グループによって作成されたと思われる最近のフィッシング文書も、別の種類の政府関連グループを引き付ける可能性があります。
このグループが 0day 攻撃で使用するツールは、企業や金融機関が使用するものと非常によく似ています。政府機関をターゲットとして分析した悪意のあるサンプルの最初のバッチには、ハッシュ 2F2640720CCE2F83CA2F0633330F13651384DD6A がありました。この NSIS インストーラーは、Buhtrap バックドアを含む通常のパッケージをダウンロードし、上記の 2015 年 12 月のフィッシング文書を表示します。
それ以来、この政府組織グループに対する複数の攻撃が発生しています。脆弱性は、マルウェアをインストールするために権限を昇格させる攻撃によく使用されます。 CVE-2015-2387 などの古い脆弱性を悪用しました。最近の 0day の使用も同じパターンに従っており、脆弱性を悪用して最高の権限でマルウェアを実行しています。
組織は、長年にわたり、さまざまな機能を備えたソフトウェア パッケージを使用してきました。最近、組織の一般的なツールセットからの変更が加えられた 2 つの新しいソフトウェア パッケージを発見し、詳細に分析しました。
フィッシング文書には、NSIS インストーラーが有効になっている場合にそれを削除する悪意のあるマクロが含まれています。 NSIS インストーラーは、メイン バックドアをインストールする役割を果たします。ただし、この NSIS インストーラは、このグループが使用していた以前のバージョンとは異なり、よりシンプルで、埋め込まれた 2 つの悪意のあるモジュールのセットアップと起動にのみ使用されます。
最初のモジュールは「グラバー」と呼ばれ、独立したパスワード窃取プログラムです。電子メールやブラウザからパスワードを取得して、C&C サーバーに送信しようとします。このモジュールは、標準の Windows API を使用してコマンド アンド コントロール サーバーと通信します。
Buhtrap オペレーターから入手した 2 番目のモジュールは、Buhtrap メイン バックドアのインストールに使用される正規のアプリケーションを含む NSIS インストーラーです。無料のウイルス対策スキャナーである AVZ を利用しました。
このファイルには、メイン バックドアのインストールを準備するように設計された NSIS インストーラーを削除する有害なマクロ コードが含まれています。インストール プロセス中に、悪意のあるコンポーネントが C&C サーバーと通信できるようにファイアウォール ルールが設定されます。 NSIS インストーラーがこれらのルールを設定するために使用するコマンドの例を次に示します。
<p>```</p><p>cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<path>\RtlUpd.exe\” enable=yes profile=any </path></p><p>```</p>
最終的なペイロードは、Buhtrap 従来のツールとはまったく異なります。 2 つのペイロードが本体内で暗号化されます。 1 つ目は非常に小さなシェルコード ダウンローダーで、2 つ目は Metasploit の Meterpreter です。 Meterpreter は、侵害されたシステムへの完全なアクセスをオペレータに与えるリバース シェルです。
実際、Meterpreter リバース シェルは、DNS トンネルを通じてその制御およびコマンド サーバーと通信します。すべての悪意のあるトラフィックは通常の TCP プロトコルではなく DNS プロトコルを通じて行われるため、DNS トンネルの検出は防御側にとって困難な場合があります。以下は、この悪意のあるモジュールからの最初の通信の抜粋です。
```7812.reg0.4621.toor.win10.ipv6-microsoft[.]org7812.reg0.5173.toor.win10.ipv6-microsoft[.]org7812.reg0.5204.toor.win10.ipv6-microsoft[.]org7812.reg0.5267.toor.win10.ipv6-microsoft[.]org7812.reg0.5314.toor.win10.ipv6-microsoft[.]org7812.reg0.5361.toor.win10.ipv6-microsoft[.]org[…]```
この例の C&C サーバーのドメイン名は Microsoft を模倣しています。実際、攻撃者はさまざまなドメイン名を登録しており、そのほとんどが Microsoft ドメインを模倣していました。
なぜこのグループがターゲットを突然変更したのかはわかりませんが、サイバースパイグループとサイバー犯罪の間の境界線がますます曖昧になっていることを示しています。グループの 1 人または数人のメンバーがターゲットを変更した理由は不明ですが、今後さらに多くの攻撃が発生するでしょう。
#ESET 検出名
VBA/TrojanDropper.Agent.ABMVBA/TrojanDropper.Agent.AGKWin32/Spy.Buhtrap.WWin32/Spy.Buhtrap.AKWin32/RiskWare.Meterpreter.G
#マルウェア サンプル
メインパッケージ SHA-1:
2F2640720CCE2F83CA2F0633330F13651384DD6A E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
Grabber SHA-1:
9c3434ebdf29e5a4762afb610ea59714d8be2392
C&C サーバー
https://hdfilm-seyret[.]com/help/index.php https://redmond.corp-microsoft[.]com/help/index.php dns://win10.ipv6-microsoft[.]org https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc https://secure-telemetry[.]net/wp-login.php
##会社名 | 指紋 | ||
---|---|---|---|
YUVA-TRAVEL | 5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5 | ||
b25def9ac34f31b84062a8e8626b2f0ef589921f |
戦術 | ID | #名前説明 | |
---|---|---|---|
##T1204 | ユーザーの実行 | ユーザーは実行可能ファイルを実行する必要があります。 | |
API による実行 | CreateProcess を通じて追加のマルウェアを実行します。 . | ||
コマンドライン インターフェイス | 一部のパッケージは、Meterpreter シェル アクセスを提供します。 | ||
T1053 | スケジュールされたタスク | 一部のパッケージは、定期的に実行されるスケジュールされたタスクを作成します。 | |
T1116 | コード署名 | サンプルの一部は署名されています。 | |
T1056 | 入力キャプチャ | バックドアにはキーロガーが含まれています。 | |
2 要素認証インターセプト | バックドアは、次のものを積極的に検索します。接続されたスマート カード。 | ||
T1115 | クリップボード データ | バックドア ログ クリップボードの内容。 | |
T1020 | 自動抽出 | ログ ファイルは自動的に抽出されます。 | |
データは暗号化されています | C&C に送信されたデータは暗号化されています。 | ||
コマンド アンド コントロール チャネルを介した流出 | 流出データはサーバーに送信されます。 | ||
T1043 | 一般的に使用されるポート | HTTPS を使用してサーバーと通信します。 . | |
標準アプリケーション層プロトコル | HTTPS が使用されます。 | ||
カスタム コマンド アンド コントロール プロトコル | Meterpreter は通信に DNS トンネリングを使用しています。 | ||
リモート ファイル コピー | バックドアは C&C サーバーからファイルをダウンロードして実行できます。 |
以上がBuhtrap ハッカー集団の最新ゼロデイ脆弱性事例の分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。