📰

【セキュリティニュースメモ】2024/07/01-07/07

2024/07/07に公開

2024/07/01-07/07の気になったニュースのメモです。

CapraRATの進化

https://www.sentinelone.com/labs/capratube-remix-transparent-tribes-android-spyware-targeting-gamers-weapons-enthusiasts/

概要

  • SentinelLabsが、Transparent Tribeに関連する新しいCapraRAT APKs(Android Application Package)を特定した
  • 今回のAPKsは、YouTubeなどのアプリケーションにスパウェアを埋め込み、ゲーマー、武器の愛好家、TikTokファンをターゲットとしたもの

Transparent Tribe(aka APT36)

  • 2016年以降、インド政府や軍関係者に対する活動を行っている
  • Windows/Androidスパイウェアを中心に配布している
  • Disgomojiもこのグループによる活動の1つ

https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/?ref=thestack.technology

CapraRAT

  • 初期のCapraRATは、2023年9月に観測された
  • CapraRATの新しいバージョンは、WebViewを使用して、YouTube/モバイルゲームサイトCrazyGames[.]comへのURLを起動する
  • CapraRATコードのURLクエリはUUを使用し難読化されている htUUtps://www.youUUtube.com/resulUUts?seUUarch_quUUery=TiUUk+ToUUks
  • CapraRATが起動する際に求められるパーミッション
    Access GPS location, Manage network state, Read and send SMS, Read contacts, Record audio and screen, take screenshots, Storage read and write access, Use camera, View call history and make calls

CapraRATの変化

  • 以前のバージョンでは求められていたが、今回リクエストされなかったパーミッション
    READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, REQUEST_INSTALL_PACKAGES
    ⇒バックドアよりも監視ツールとしての傾向が強くなっている
  • 最新バージョンでは、2017年にリリースされたOreoバージョン(Android 8.0)への参照が含まれる
    • 以前のバージョンは、2015年にリリースされたLollipop(Android 5.1)を実行しているバージョンに依存していた
  • 最新バージョンでは、Android13, 14でも実行可能なことが確認されている

CapraRATが使用しているスパイウェア

  • アプリのMainActivityがパーミッションを要求する
  • パーミッションを付与しなくともアプリが実行される
  • MainActivityは、CapraRATが使用するTCHPClientクラスを呼び出す
    • 呼び出されるスパイウェア
      audioStreamer (aStreamer), CallLogLister, CallReceiver, ContactsLister, DirLister (file browsing), downloadFile, killFile (file deletion), killProcess PhotoTaker, SMSLister, SMSReceiver
      • スパイウェアによってデバイスが制御される
      • e.g. sendData 他のメソッドやクラスが収集したデータを構築し、C2サーバーに送信する

まとめ

  • 今回のCapraRATのアップデートは、より幅広いターゲット層を獲得するために。グループがソーシャルエンジニアを行っていることを示している
  • CapraRATを防ぐために、ユーザはアプリが要求するパーミッションが必要かどうかを常に確認する必要がある

CVE-2021-40444を悪用したスパイウェア

https://www.fortinet.com/blog/threat-research/merkspy-exploiting-cve-2021-40444-to-infiltrate-systems

概要

  • FortiGuard Labsが、Microsoft Officeの脆弱性CVE-2021-40444を悪用した攻撃を検出したと発表した
  • この脆弱性を悪用し、MerkSpyというスパイウェアが展開されている
  • MerkSpyは、ユーザの活動の監視と機密情報の取得を行い、システム上で永続性を確立するように設計されている

攻撃の流れ

  1. CVE-2021-40444 を利用
  2. olerender.htmlをダウンロード
  3. シェルコードを書き込み
  4. GoogleUpdateをダウンロード
  5. Data Get Injectorをデコード
  6. MerkSpyを注入

CVE-2021-40444の利用

  • ソフトウェア開発者の求人広告を装ったMicrosoft Wordの偽装文書を用意
  • この文章を開くと、MSHTMLコンポーネント内のリモートコード実行の脆弱性( CVE-2021-40444)が悪用される
    • 攻撃者がマシン上で任意のコード実行が可能になる
  • 攻撃者は、攻撃の次段階の設定をするHTMLファイルのダウンロードを_relsdocument.xmlファイル内のURLを隠す

シェルコードの準備

  • リモートサーバーからダウンロードされたペイロードolerender.htmlが開始される
  • ファイルの末尾にシェルコードとインジェクションプロセスが隠されている
  • 実行されると、攻撃の次の段階へと進む
  • olerender.html: システムのバージョンをチェックし、X64アーキテクチャを検出した場合、埋め込まれたsc_x64シェルコードを抽出する
  • その後、olerender.htmlはWindows APIのVirtualProtectCreateThreadを探し出し取得する
  • VirtualProtectを使用して、メモリパーミッションを書き換え、デコードしたシェルコードをメモリに書き込めるようにする
  • CreateThreadは、注入されたシェルコードを実行し、攻撃者のサーバから次のペイロードをダウンロードできるように環境を整える

シェルコードの実行

  • シェルコードの配置後、新たにGoogleUpdateというファイルがフェッチされる
  • GoogleUpdateには悪意のあるペイロードが隠されており、シェルコードはこのペイロードをデコードし実行の準備を整える
  • シェルコードは、ファイル内に隠された暗号化プロセスを使用し、隠されたペイロードを抽出する

MerkSpy

  • 抽出されたペイロードは、MerkSpyをシームレスに注入するためにVMProtectで保護されている
  • MerkSpyは、システム内で密に動作し、機密情報の搾取とユーザの活動監視を行い、アクターが管理するリモートサーバへと情報を流出させる
  • GoogleUpdateを装い、GoogleUpdate.exeのレジストリエントリをSoftwareMicrosoftWindowsCurrentVersion\Runに追加することで、永続性を確保している
  • MerkSpyは、システム起動時に自動的に起動し、ユーザの同意なしに操作とデータ流出を可能にする

まとめ

  • 攻撃の初期段階では、Internet Explorerで使用されるMSHTMLコンポーネントの脆弱性を悪用する
  • 脆弱性の悪用によりMerkSpyと呼ばれるスパイウェアがダウンロードされる
  • MerkSpyにより、ユーザの行動データが攻撃者へと流される

GootLoaderの進化

https://www.cybereason.com/blog/i-am-goot-loader

概要

  • GootLoaderがアクターにより活発に使用され開発され続けている
  • 現在はGootLoader 3が使用されている

キャンペーン手法

  • 攻撃者によって侵害されたウェブサイトを悪用する
  • テンプレートや法的文書などを探しているユーザを誘い込むような名前で、GootLoader JavaScriptペイロードを含むアーカイブをホストする
  • ペイロードが実行されると、永続性が確立され、第2段階のペイロードが実行される
  • その後、第3段階のペイロードがPowerShellによって実行され、システム情報を収集し、C2サーバーとの通信を開始する
  • 正規のサイトが侵害され、JavaScriptのペイロードが難読化されるため、シグネチャベースの検知は困難となる
  • 難読化自体がペイロードの解析を困難にしている

GootLoader

https://cloud.google.com/blog/topics/threat-intelligence/tracking-evolution-gootloader-operations/?hl=en

  • JavaScriptを悪用して、マルウェア・ツールをダウンロードし、感染したマシン内で永続性を確保することで知られているマルウェアローダー
  • GootKitマルウェアファミリーの一部
  • MandiantによってUNC2565として追跡されているアクターが関わっているとされている
  • 主に攻撃のエントリポイントとして機能し、マルウェアの配布を行う
    • 過去に配布されたマルウェア
      BlueCrab Ransomware, Cobalt Strike, GootKit, IcedID, Kronos, REvil Ransomware, SystemBC

UNC2565

  • GootLoaderに関連する脅威グループ
  • KerberoastBloodHoundのようなテクニック/ツールを用いて、偵察とクレデンシャルの窃取を行う
  • グループの正確な動機は明らかになっていないが、ローダーを幅広く提供していることから、金銭的動機の可能性が高いとみられている
  • GootBotと名付けられた独自のC2および横移動ツールの提供も行っている

まとめ

  • マルウェアの配布メカニズムは、侵害されたウェブサイトを悪用し、難読化されたJavaScriptファイルを含むZIPアーカイブを配布するというもの
  • ターゲットは、特定の業界や地理的な場所に基づいて選択されるのではなく、Webサイトにアクセスする可能性に基づいている可能性が高い
  • GootLoaderやGootBotは、キャンペーンの効果や異なるセクターでの効果を元に、標的をより絞り込めるよう進化し続けている

Discussion