脅威リサーチ

偽の発注書を利用したAgent Teslaの拡散

投稿者 James Slaughter および Fred Gutierrez | 2022年3月22日

この記事は、Val Saengphaibulの協力により作成されました。

FortiGuard Labs Research

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             侵害されたマシンが脅威アクターの制御下に置かれる
深刻度:            

フィッシングが現れた当初から、ルアー(おとり)として最も一般的な方法に不正請求や購入詐欺などが挙げられます。特に企業が関与する場合、債務の発生を回避したがる受取人の心理に訴求するルアーが一般的です。

最近、FortiGuard Labsでは原料や化学品を扱うウクライナの製造メーカー宛の発注書を装った興味を引くフィッシングメールに遭遇しました。このEメールにはPowerPointの添付ファイルが含まれていましたが、実はこれは、Agent Tesla RAT(Remote Access Trojan:リモートアクセス型トロイの木馬)を巧妙に展開するものであることがわかりました。

この活動で特有なのは、あまり一般的でないPPAMというファイル形式が使用されていることです。PPAMはMicrosoft PowerPointアドインとして、追加コマンド、カスタムマクロ、新しいツールなどの追加機能を開発者に提供します。今回のブログでは感染プロセスと、その後のマルウェアの展開について詳しく説明します。

フィッシングメールを調査

多くのコンピュータ攻撃と同様に、ウクライナの組織にフィッシングメールが送信されたのが今回の始まりでした。

図1:標的になった受信者宛メール

スペルや文法の問題は別として、多くの巧妙なフィッシング活動と同様に、このメールでも一刻を争う言い方で、添付の発注書を今すぐ確認するよう受信者に訴えています。

メールの詳細と送信元を見てみると、ヘッダーに追加情報があるのがわかります。

図2:メッセージ元を示すメールヘッダー

図2b:送信元にあるページ

このメールは、slot0.warongsoto.comに対応する194[.]99[.]46[.]38のアドレスから送信されました。ごく普通のVPSサーバーでホストされているものです。サーバーを確認したところ、サイトは、サーバーコントロールパネルがVESTAによって制御されている状態であることがわかりました。最近のCVEデータによると、VESTAコントロールパネルがリモートコマンドの実行や権限昇格の脆弱性の影響を受け、結果的にシステムが全面的に侵害されてしまうと言われています(CVE-2020-10786およびCVE-2020-10787)。

ドメイン自体は一見放棄されているように見えます。少なくとも使用されておらず、ホストしているアクティブコンテンツはないと思われます。2021年10月に米国で登録されたものでした。

発信元のメールアドレスが実在の個人を参照している様子はありません。他所で使用されているインスタンスを他にも検索しましたが、結果は得られませんでした。

ドロッパーを調査:ステージ1

フェーズ1

最終的なペイロードのドロップは複数のフェーズで行われるため、オペレーションが非常に複雑なのが実情です。図1のとおり、メールに添付されているのは「order001.ppam」ファイルです。Microsoft PowerPointで使用されるアドインファイル形式になりますが、今回の場合、悪意のあるマクロが含まれ、Agent Teslaのドロッパーとして機能しています。

ステージ1では、PPAMの添付ファイルを開いて、内部のマクロを有効化します。

図3:「order001.ppam」に含まれているVisual Basicマクロ

マクロが実行されると、URL短縮ツール「Bit.ly」を呼び出して、ドロッパーの次のフェーズをダウンロードします。使用されるアドレスは、hXXp://www[.]bitly[.]com/awnycnxbcxncbrpopor/です

フェーズ2

Bit.lyの呼び出しでは、MediaFire(ファイルホスティングサイト:hXXp://download2261[.]mediafire[.]com/6lcqxbws032g/wctsdmx4dsh95xs/19.htm)へのリダイレクトが行われます。察しのとおり、これは攻撃キャンペーンであり、単に1人の受信者に向けられたものではありません。下記図4のとおり、数日間のうちに複数のファイルが使用可能になりました。

図4:この活動から生じた複数のファイルがMediaFireリポジトリに表示されている

各ファイルは、次の手順におけるダウンロード場所において非常によく似ています(微調整が伴います)。下記図5では、19.htmを直接ダウンロードした場合の様子が示されています。

図5:ダウンロードしたときのHTMファイルの様子

判読可能な形式にファイルを整えると、意図をより明確に理解できるようになります。

図6:HTMファイルの重要部分

図6のとおり、ファイルは、いくつかのアプリケーションやサービスにおいてタスクキルを行い、指定のタスクをWindows Taskスケジューラに追加するものです。スクリプトは、MediaFire(hXXp://www[.]mediafire[.]com/file/otza6n31talvvle/19.dll)から別のファイルをダウンロードして実行するものです。

フェーズ3

ファイル拡張子はMicrosoftダイナミックリンクライブラリ(.dll)のように見えますが、実は19.dllは大量の16進データの命令を含むPowerShellスクリプトになります。

図7:ダウンロードしたときのHTMファイルの様子

実行すると、16進データは新たなPowerShellコマンドに変換され、コマンドがメモリ内で実行されことになります。たとえば、存続できるようにするために、レジストリキーを新たに追加することができます。

図8:Windowsレジストリにエントリを追加

キャプチャやレビューにおいて最も突出したエントリは、大規模な圧縮バイト配列である$nonaと$STRDYFUGIHUYTYRTESRDYUGIRIの2つです。

図9:大規模なバイト配列

図9のとおり、バイト配列は使用の際に解凍されます。解凍されると、実行可能なWindowsファイルとして保存されます。$nonaは大きい方の圧縮バイト配列で、Agent Teslaになります。$STRDYFUGIHUYTYRTESRDYUGIRIは、実行中のWindowsプロセスにAgent Teslaを投入します。

19.dllは19.ps1に名前が変わり、普通のPowerShellスクリプトとして実行できるようになります。このサンプルでは、Agent Teslaを起動し、aspnet_compiler.exeアプリケーションへの投入を試みます。

図10:左側ではPowerShellスクリプトがaspnet_compiler.exeを起動していることがわかる

マルウェアを調査:ステージ2

Agent Teslaは、キーロガーおよびRAT(Remote Access Trojan:リモートアクセス型トロイの木馬)として中核を担っています。キーボードやクリップボードでキャプチャされた結果をすべて取得して、これらをC2(コマンド&コントロール)サーバーに送信します。今回の場合、aspnet_compiler.exeプロセスへの投入が行われると、Agent Teslaが起動して実行されるようになっています。レジストリのエントリにより、ホストマシンが再起動しても、Agent Teslaは存続できるようになり、実行が可能になります。

図11:デバッガ内で実行されているAgent Tesla

図11のとおり、この亜種はFortiGuard Labsが以前に分析したものと似ています。

この点から、バックグラウンドで動作したり、ユーザーを監視したりすることができ、さらにユーザーの行動を記録して脅威アクターに情報が送られます。

図12:Agent Tesla C2への典型的な接続サイクル

結論

今回の請求書のフィッシングメールのように、脅威アクターは、成功し続けるために、信頼度の高いルアーを使用する傾向があります。このフィッシングメールに添付されたドロッパーは、最新のセキュリティ制御を回避するために必要な進化と複雑さを継続的に示しており、最終的なペイロードのリリースポイントに到達するために複数のゲートを通過する必要があることも示しています。

最終的にシステムに展開されると、日常的なファイルやプロセスの内容を難読化させたり隠したりできるため、Agent Teslaは非常に高性能で厄介な脅威であると言えます。残念ながら、こうした高度化の傾向がすぐに弱まることはないでしょう。

フォーティネットのソリューション

FortiMailの統合型ウイルス対策、サンドボックス、コンテンツ無害化(CDR)の機能では、悪意のある添付ファイルを検知して無効化することができます。FortiGuardウイルス対策サービスは、次のような脅威を検知してブロックします。

  • VBA/Agent.GBX!tr
  • JS/Agent.YHB!tr
  • PossibleThreat.PALLAS.H

warongsoto.comのドメインは、Webフィルタリングクライアントによってブロックされます。

IOC(Indicators of Compromise:侵害指標)

SHA-256の例:

DLL/PS1 SHA256

27C7F5F2A21298C66A8EEF11DF73BFB1E9EEF7B84974CEF9AF695A7E216EFA21

F86FDC385BA4467FD27093DFB6A642C705199AC3307D24096D7150FB6A80E8FD

9971EE4C59F1838C111CFAA0BC26A6C08B80FD7364C193F6D8DCA1A840D37B7F

D147E24E603FB17CE3C6EC839CC8AD07BCE06455037CC0E139CC68042153B7A7

7659EC63CF7010158517AD0DFD3828F8B46592BDBC374D906BACD80A8500DA4B

D98D56AEB0A3DBD020C1F6ED9CFE0848A4D8C57DABBB064FBCD0305BDF8B329C

4FD01BF61C49579A40EFDD86D736930585AB3E79D9085177303DDCFF61480E26

7384900E7BB02B1028D92A145CBE2BDB5E3283336C0E5E6014AFCD546B17B985

EFDFD9CCDFB052FD7693403D1E8E085594C1B3B7ED221FD6021F794B5BA752C5

90313F269F0583FBC179BEABAE2A48B1B53594F1FB4A27556861D5D82AD722EC

3C1636CF2A4296840D55A8BAF9ABB56E1C847C5D6E3A7DF0D7040050D017E54C

EC9E8CB17C92C4D6175FB3E715F73C4BEF833742168451398A99DE22F06FB52E

87B7F2C05F3E63821DE8AD22EE7ED9CA034CD61332EBAE3E1F76AF085696D5F8

B5CF3D2594E148C458467C833B0D95976480FB054A7763E1F6DCF4187A61E1BE

0C3F881258EF9F1DB9A9923945AB07351DA8BA1A337AACCBCB6B5BD56AE080B3

3B9D6FC6449B7B42E816A19C2B649A5E5CF4E724B2FCD93E56445DECA89FB850

34CFFA6664C92F77EE60749E251A4ED18A15A3F0F61C78BCADA9EA86478681E0

380C8FC86237A6B847F40870E9A15ADA1914F25174FF40838604354389EF9540

B8403149F7A6E0FCCCB9C6E793BDCE7431385F86174D80B0C65F89A9C948A47F

D7E76887903EBD361112531017E140D2BFAAA816598C648F3B1238DCC6906BF1

CB758A93876ACD5F7A314FDA6CCB97D0FC115ABFFF7F22637B629B1E91CF1970

F3D9873EE798BF649A22C50E3DAEEBADFC127A405C0D8F54266B66C4377901E0

1BD2383346BF8B1924C179B1616AF56A2BC4248717329B90E01FF13DB45ABE4F

5DC6B8CC1E9D1EE535752E6C5320280F864EA660B5BF8657F96B8E2B1053C57A

FA37BD017B82C1F7C545475F7A0CD786F81BC2CC024DA46CBDB4071B22ED4FFB

 

ファイルレス Tesla SHA256

F69B85F5763CEC5A5DA5CE1152038FFEEF7A2A75600003ADBFEB3DC87502C8A8

B409FF4CD1B8F18E80AFA98B3306440391FB5CBE294E6DA14E8146F63ECA2C6C

34EEEDAB0ABBEB1BAFFCCFDAEF74E54A7786F24BC5024B2F23A6F9385FEC9917

6449D03A519CAB4B7C4E19D53D57A16AE69B70D7DF6BE815BCB57DC7395AB991

E77DCCCB70AD61D50AC7E8C5DA1F79D5BC22B1F42A6651252EB449241BD6068B

C7840150DC084B1E0F6961EC61C39793BBED40FE17A7E24124DFE07F2C1A7B40

F4542569E3F54CBC93AB835567507242DDDCAE2A84743DA103332EEFF3501ABD

851CC3973B096C8DA88E1EDB568C17750D019CA7F2528B3DA933D33D7F306A46

C0C3A9CBDC769F3B86EAB40A9032769FE61E5E9B93CE7A93A0CC02EF43D4B9B5

256F7CC33E3E359427702FF79E59C5EEA73164CC74D96B6F24E6BE19B62500E7

445E6D6EBA924CC86005C107F329B248997AAC4149FBBD540A656FBA50A68C19

D321AF1AF7D8B0A19B87897938B23ADB57C9089B73F2C15E0E2747B0071D1715

822F2266CA284C5318E75C1286F7B4ED746E9289323B57462E227ED8D4D1AC8F

399B6B1AED4B62C165FE074DD9A43DEC0F0E1D5A50C89BFCA4A902CBFDBC17D5

6BCDC49281217C3D8A82ED29A6BC89154885B08954AC3F78FA11BB09BF34A109

1DF27F8D8B8572CB76D7275D7FE686C88F4297DA39095C1399B1E55459DFFDF6

49BF5F9D59C27291FCB0D9F0C593DCB00CA9705E5D294E9C55353BDEFBC37273

A155AB7DB6D22A44487D909BB040F5300B6E24283CDB7D7D902E7CE5CDD533BB

FD210DFB8C2F3B33FEEE191608EF58DD2816F08E9850DB734143115BA199690E

5F53A249455BB903C2C57A5CE23BFA6D069966034F74947A70037DEB1459DC88

AD3BE25985B1DFA0A72C7CE59365F2AE7142FB4B2A78B7905D10AEB13998DDD4

9783473EFECA3003D6A1B8DB8FE0E1A8AA291F170110D974C058806A25B4C419

B1043F48E99EF5B98F4987E1FFD3200CD6A32B3427BA2762310FDEA58934D95C

3E99AA348FAFFDF2D73867C47067EA17A96CA36E5329E30C3A37F45B4274D165

0ABBD4F17EC6DEDEFA188E39501B923286C56627ACB87FEC73271E459A383D0D

 

ファイル名

SHA256

Order001.ppam

DCA3AC723A130E56FB158C34C68E1C4B7D8577D0DBE9D8B859BFFF7ADA34D02E

ローダー

4C0E2CB721585C480169B3804E17E2761BC5FE76584CF1375FCCDB33CA64D5A5

 

ネットワークIOC(Indicators of Compromise:侵害指標)

192[.]154[.]226[.]47

hxxps://www[.]mediafire[.]com/file/s2w0i5rhl9e4wje/1.dll

hxxps://www[.]mediafire[.]com/file/u8t0g2vyrvoyldp/10.dll

hxxps://www[.]mediafire[.]com/file/hheln09oi15b266/11.dll

hxxps://www[.]mediafire[.]com/file/mra2u90srnmymxl/12.dll

hxxps://www[.]mediafire[.]com/file/e7fmuc053m1vdz5/13.dll

hxxps://www[.]mediafire[.]com/file/l3xh5g98wf5l4gv/14.dll

hxxps://www[.]mediafire[.]com/file/5d7sd1qat59dtpy/15.dll

hxxps://www[.]mediafire[.]com/file/2tpkh278oypz794/16.dll

hxxps://www[.]mediafire[.]com/file/hjjo0rc7izwy4is/17.dll

hxxps://www[.]mediafire[.]com/file/wy0e3mn2xyaqdhd/18.dll

hxxps://www[.]mediafire[.]com/file/otza6n31talvvle/19.dll

hxxps://www[.]mediafire[.]com/file/dsgxrjtpbyyzm7u/2.dll

hxxps://www[.]mediafire[.]com/file/mf3pufkmdshddyq/20.dll

hxxps://www[.]mediafire[.]com/file/ijdnf0wqv4e5frr/21.dll

hxxps://www[.]mediafire[.]com/file/c9gt9xi3l9srlhi/22.dll

hxxps://www[.]mediafire[.]com/file/pqk7p5p1vvcv5s1/23.dll

hxxps://www[.]mediafire[.]com/file/mqbl43fcem1fndd/24.dll

hxxps://www[.]mediafire[.]com/file/xz0guzs3g004f0i/25.dll

hxxps://www[.]mediafire[.]com/file/qe4ece114vu4n0o/3.dll

hxxps://www[.]mediafire[.]com/file/wbh1kq3u82mcso6/4.dll

hxxps://www[.]mediafire[.]com/file/x0o4nlef7snbixu/5.dll

hxxps://www[.]mediafire[.]com/file/xrnlyn4pjcmcfyf/6.dll

hxxps://www[.]mediafire[.]com/file/qbzdrs7ulvvzfay/7.dll

hxxps://www[.]mediafire[.]com/file/9q41qxg988c3opx/8.dll

hxxps://www[.]mediafire[.]com/file/xxbskabqkber6oq/9.dll

 

MITRE TTP

リソース開発

 

ステージング機能:マルウェアのアップロード

T1608.001

初期アクセス

 

フィッシング:スピアフィッシングの添付ファイル

T1566.001

実行

 

コマンドおよびスクリプトインタープリター:PowerShell

T1059.001

ユーザー実行:不正ファイル

T1204.002

存続

 

自動起動実行機能の起動またはログオン:Runレジストリキー / スタートアップフォルダ

T1547.001

防御の回避

 

プロセスインジェクション:ポータブル実行可能インジェクション

T1055.002

リフレクティブコードローディング

T1620

認証情報へのアクセス

 

パスワードストアの認証情報:Webブラウザからの認証情報

T1555.003

入力キャプチャ:キーロギング

T1056.001

検知

 

アカウント検知

T1087

コマンド&コントロール機能

 

アプリケーション層プロトコル:Webプロトコル

T1071.001