FortiGuard Labs 脅威リサーチ
偽の発注書を利用したAgent Teslaの拡散
この記事は、Val Saengphaibulの協力により作成されました。
FortiGuard Labs Research
影響を受けるプラットフォーム: Windows
影響を受けるユーザー: Windowsユーザー
影響: 侵害されたマシンが脅威アクターの制御下に置かれる
深刻度: 中
フィッシングが現れた当初から、ルアー(おとり)として最も一般的な方法に不正請求や購入詐欺などが挙げられます。特に企業が関与する場合、債務の発生を回避したがる受取人の心理に訴求するルアーが一般的です。
最近、FortiGuard Labsでは原料や化学品を扱うウクライナの製造メーカー宛の発注書を装った興味を引くフィッシングメールに遭遇しました。このEメールにはPowerPointの添付ファイルが含まれていましたが、実はこれは、Agent Tesla RAT(Remote Access Trojan:リモートアクセス型トロイの木馬)を巧妙に展開するものであることがわかりました。
この活動で特有なのは、あまり一般的でないPPAMというファイル形式が使用されていることです。PPAMはMicrosoft PowerPointアドインとして、追加コマンド、カスタムマクロ、新しいツールなどの追加機能を開発者に提供します。今回のブログでは感染プロセスと、その後のマルウェアの展開について詳しく説明します。
フィッシングメールを調査
多くのコンピュータ攻撃と同様に、ウクライナの組織にフィッシングメールが送信されたのが今回の始まりでした。
図1:標的になった受信者宛メール
スペルや文法の問題は別として、多くの巧妙なフィッシング活動と同様に、このメールでも一刻を争う言い方で、添付の発注書を今すぐ確認するよう受信者に訴えています。
メールの詳細と送信元を見てみると、ヘッダーに追加情報があるのがわかります。
図2:メッセージ元を示すメールヘッダー
図2b:送信元にあるページ
このメールは、slot0.warongsoto.comに対応する194[.]99[.]46[.]38のアドレスから送信されました。ごく普通のVPSサーバーでホストされているものです。サーバーを確認したところ、サイトは、サーバーコントロールパネルがVESTAによって制御されている状態であることがわかりました。最近のCVEデータによると、VESTAコントロールパネルがリモートコマンドの実行や権限昇格の脆弱性の影響を受け、結果的にシステムが全面的に侵害されてしまうと言われています(CVE-2020-10786およびCVE-2020-10787)。
ドメイン自体は一見放棄されているように見えます。少なくとも使用されておらず、ホストしているアクティブコンテンツはないと思われます。2021年10月に米国で登録されたものでした。
発信元のメールアドレスが実在の個人を参照している様子はありません。他所で使用されているインスタンスを他にも検索しましたが、結果は得られませんでした。
ドロッパーを調査:ステージ1
フェーズ1
最終的なペイロードのドロップは複数のフェーズで行われるため、オペレーションが非常に複雑なのが実情です。図1のとおり、メールに添付されているのは「order001.ppam」ファイルです。Microsoft PowerPointで使用されるアドインファイル形式になりますが、今回の場合、悪意のあるマクロが含まれ、Agent Teslaのドロッパーとして機能しています。
ステージ1では、PPAMの添付ファイルを開いて、内部のマクロを有効化します。
図3:「order001.ppam」に含まれているVisual Basicマクロ
マクロが実行されると、URL短縮ツール「Bit.ly」を呼び出して、ドロッパーの次のフェーズをダウンロードします。使用されるアドレスは、hXXp://www[.]bitly[.]com/awnycnxbcxncbrpopor/です
フェーズ2
Bit.lyの呼び出しでは、MediaFire(ファイルホスティングサイト:hXXp://download2261[.]mediafire[.]com/6lcqxbws032g/wctsdmx4dsh95xs/19.htm)へのリダイレクトが行われます。察しのとおり、これは攻撃キャンペーンであり、単に1人の受信者に向けられたものではありません。下記図4のとおり、数日間のうちに複数のファイルが使用可能になりました。
図4:この活動から生じた複数のファイルがMediaFireリポジトリに表示されている
各ファイルは、次の手順におけるダウンロード場所において非常によく似ています(微調整が伴います)。下記図5では、19.htmを直接ダウンロードした場合の様子が示されています。
図5:ダウンロードしたときのHTMファイルの様子
判読可能な形式にファイルを整えると、意図をより明確に理解できるようになります。
図6:HTMファイルの重要部分
図6のとおり、ファイルは、いくつかのアプリケーションやサービスにおいてタスクキルを行い、指定のタスクをWindows Taskスケジューラに追加するものです。スクリプトは、MediaFire(hXXp://www[.]mediafire[.]com/file/otza6n31talvvle/19.dll)から別のファイルをダウンロードして実行するものです。
フェーズ3
ファイル拡張子はMicrosoftダイナミックリンクライブラリ(.dll)のように見えますが、実は19.dllは大量の16進データの命令を含むPowerShellスクリプトになります。
図7:ダウンロードしたときのHTMファイルの様子
実行すると、16進データは新たなPowerShellコマンドに変換され、コマンドがメモリ内で実行されことになります。たとえば、存続できるようにするために、レジストリキーを新たに追加することができます。
図8:Windowsレジストリにエントリを追加
キャプチャやレビューにおいて最も突出したエントリは、大規模な圧縮バイト配列である$nonaと$STRDYFUGIHUYTYRTESRDYUGIRIの2つです。
図9:大規模なバイト配列
図9のとおり、バイト配列は使用の際に解凍されます。解凍されると、実行可能なWindowsファイルとして保存されます。$nonaは大きい方の圧縮バイト配列で、Agent Teslaになります。$STRDYFUGIHUYTYRTESRDYUGIRIは、実行中のWindowsプロセスにAgent Teslaを投入します。
19.dllは19.ps1に名前が変わり、普通のPowerShellスクリプトとして実行できるようになります。このサンプルでは、Agent Teslaを起動し、aspnet_compiler.exeアプリケーションへの投入を試みます。
図10:左側ではPowerShellスクリプトがaspnet_compiler.exeを起動していることがわかる
マルウェアを調査:ステージ2
Agent Teslaは、キーロガーおよびRAT(Remote Access Trojan:リモートアクセス型トロイの木馬)として中核を担っています。キーボードやクリップボードでキャプチャされた結果をすべて取得して、これらをC2(コマンド&コントロール)サーバーに送信します。今回の場合、aspnet_compiler.exeプロセスへの投入が行われると、Agent Teslaが起動して実行されるようになっています。レジストリのエントリにより、ホストマシンが再起動しても、Agent Teslaは存続できるようになり、実行が可能になります。
図11:デバッガ内で実行されているAgent Tesla
図11のとおり、この亜種はFortiGuard Labsが以前に分析したものと似ています。
この点から、バックグラウンドで動作したり、ユーザーを監視したりすることができ、さらにユーザーの行動を記録して脅威アクターに情報が送られます。
図12:Agent Tesla C2への典型的な接続サイクル
結論
今回の請求書のフィッシングメールのように、脅威アクターは、成功し続けるために、信頼度の高いルアーを使用する傾向があります。このフィッシングメールに添付されたドロッパーは、最新のセキュリティ制御を回避するために必要な進化と複雑さを継続的に示しており、最終的なペイロードのリリースポイントに到達するために複数のゲートを通過する必要があることも示しています。
最終的にシステムに展開されると、日常的なファイルやプロセスの内容を難読化させたり隠したりできるため、Agent Teslaは非常に高性能で厄介な脅威であると言えます。残念ながら、こうした高度化の傾向がすぐに弱まることはないでしょう。
フォーティネットのソリューション
FortiMailの統合型ウイルス対策、サンドボックス、コンテンツ無害化(CDR)の機能では、悪意のある添付ファイルを検知して無効化することができます。FortiGuardウイルス対策サービスは、次のような脅威を検知してブロックします。
- VBA/Agent.GBX!tr
- JS/Agent.YHB!tr
- PossibleThreat.PALLAS.H
warongsoto.comのドメインは、Webフィルタリングクライアントによってブロックされます。
IOC(Indicators of Compromise:侵害指標)
SHA-256の例:
DLL/PS1 SHA256 |
27C7F5F2A21298C66A8EEF11DF73BFB1E9EEF7B84974CEF9AF695A7E216EFA21 |
F86FDC385BA4467FD27093DFB6A642C705199AC3307D24096D7150FB6A80E8FD |
9971EE4C59F1838C111CFAA0BC26A6C08B80FD7364C193F6D8DCA1A840D37B7F |
D147E24E603FB17CE3C6EC839CC8AD07BCE06455037CC0E139CC68042153B7A7 |
7659EC63CF7010158517AD0DFD3828F8B46592BDBC374D906BACD80A8500DA4B |
D98D56AEB0A3DBD020C1F6ED9CFE0848A4D8C57DABBB064FBCD0305BDF8B329C |
4FD01BF61C49579A40EFDD86D736930585AB3E79D9085177303DDCFF61480E26 |
7384900E7BB02B1028D92A145CBE2BDB5E3283336C0E5E6014AFCD546B17B985 |
EFDFD9CCDFB052FD7693403D1E8E085594C1B3B7ED221FD6021F794B5BA752C5 |
90313F269F0583FBC179BEABAE2A48B1B53594F1FB4A27556861D5D82AD722EC |
3C1636CF2A4296840D55A8BAF9ABB56E1C847C5D6E3A7DF0D7040050D017E54C |
EC9E8CB17C92C4D6175FB3E715F73C4BEF833742168451398A99DE22F06FB52E |
87B7F2C05F3E63821DE8AD22EE7ED9CA034CD61332EBAE3E1F76AF085696D5F8 |
B5CF3D2594E148C458467C833B0D95976480FB054A7763E1F6DCF4187A61E1BE |
0C3F881258EF9F1DB9A9923945AB07351DA8BA1A337AACCBCB6B5BD56AE080B3 |
3B9D6FC6449B7B42E816A19C2B649A5E5CF4E724B2FCD93E56445DECA89FB850 |
34CFFA6664C92F77EE60749E251A4ED18A15A3F0F61C78BCADA9EA86478681E0 |
380C8FC86237A6B847F40870E9A15ADA1914F25174FF40838604354389EF9540 |
B8403149F7A6E0FCCCB9C6E793BDCE7431385F86174D80B0C65F89A9C948A47F |
D7E76887903EBD361112531017E140D2BFAAA816598C648F3B1238DCC6906BF1 |
CB758A93876ACD5F7A314FDA6CCB97D0FC115ABFFF7F22637B629B1E91CF1970 |
F3D9873EE798BF649A22C50E3DAEEBADFC127A405C0D8F54266B66C4377901E0 |
1BD2383346BF8B1924C179B1616AF56A2BC4248717329B90E01FF13DB45ABE4F |
5DC6B8CC1E9D1EE535752E6C5320280F864EA660B5BF8657F96B8E2B1053C57A |
FA37BD017B82C1F7C545475F7A0CD786F81BC2CC024DA46CBDB4071B22ED4FFB |
ファイルレス Tesla SHA256 |
F69B85F5763CEC5A5DA5CE1152038FFEEF7A2A75600003ADBFEB3DC87502C8A8 |
B409FF4CD1B8F18E80AFA98B3306440391FB5CBE294E6DA14E8146F63ECA2C6C |
34EEEDAB0ABBEB1BAFFCCFDAEF74E54A7786F24BC5024B2F23A6F9385FEC9917 |
6449D03A519CAB4B7C4E19D53D57A16AE69B70D7DF6BE815BCB57DC7395AB991 |
E77DCCCB70AD61D50AC7E8C5DA1F79D5BC22B1F42A6651252EB449241BD6068B |
C7840150DC084B1E0F6961EC61C39793BBED40FE17A7E24124DFE07F2C1A7B40 |
F4542569E3F54CBC93AB835567507242DDDCAE2A84743DA103332EEFF3501ABD |
851CC3973B096C8DA88E1EDB568C17750D019CA7F2528B3DA933D33D7F306A46 |
C0C3A9CBDC769F3B86EAB40A9032769FE61E5E9B93CE7A93A0CC02EF43D4B9B5 |
256F7CC33E3E359427702FF79E59C5EEA73164CC74D96B6F24E6BE19B62500E7 |
445E6D6EBA924CC86005C107F329B248997AAC4149FBBD540A656FBA50A68C19 |
D321AF1AF7D8B0A19B87897938B23ADB57C9089B73F2C15E0E2747B0071D1715 |
822F2266CA284C5318E75C1286F7B4ED746E9289323B57462E227ED8D4D1AC8F |
399B6B1AED4B62C165FE074DD9A43DEC0F0E1D5A50C89BFCA4A902CBFDBC17D5 |
6BCDC49281217C3D8A82ED29A6BC89154885B08954AC3F78FA11BB09BF34A109 |
1DF27F8D8B8572CB76D7275D7FE686C88F4297DA39095C1399B1E55459DFFDF6 |
49BF5F9D59C27291FCB0D9F0C593DCB00CA9705E5D294E9C55353BDEFBC37273 |
A155AB7DB6D22A44487D909BB040F5300B6E24283CDB7D7D902E7CE5CDD533BB |
FD210DFB8C2F3B33FEEE191608EF58DD2816F08E9850DB734143115BA199690E |
5F53A249455BB903C2C57A5CE23BFA6D069966034F74947A70037DEB1459DC88 |
AD3BE25985B1DFA0A72C7CE59365F2AE7142FB4B2A78B7905D10AEB13998DDD4 |
9783473EFECA3003D6A1B8DB8FE0E1A8AA291F170110D974C058806A25B4C419 |
B1043F48E99EF5B98F4987E1FFD3200CD6A32B3427BA2762310FDEA58934D95C |
3E99AA348FAFFDF2D73867C47067EA17A96CA36E5329E30C3A37F45B4274D165 |
0ABBD4F17EC6DEDEFA188E39501B923286C56627ACB87FEC73271E459A383D0D |
ファイル名 |
SHA256 |
Order001.ppam |
DCA3AC723A130E56FB158C34C68E1C4B7D8577D0DBE9D8B859BFFF7ADA34D02E |
ローダー |
4C0E2CB721585C480169B3804E17E2761BC5FE76584CF1375FCCDB33CA64D5A5 |
ネットワークIOC(Indicators of Compromise:侵害指標)
192[.]154[.]226[.]47 |
hxxps://www[.]mediafire[.]com/file/s2w0i5rhl9e4wje/1.dll |
hxxps://www[.]mediafire[.]com/file/u8t0g2vyrvoyldp/10.dll |
hxxps://www[.]mediafire[.]com/file/hheln09oi15b266/11.dll |
hxxps://www[.]mediafire[.]com/file/mra2u90srnmymxl/12.dll |
hxxps://www[.]mediafire[.]com/file/e7fmuc053m1vdz5/13.dll |
hxxps://www[.]mediafire[.]com/file/l3xh5g98wf5l4gv/14.dll |
hxxps://www[.]mediafire[.]com/file/5d7sd1qat59dtpy/15.dll |
hxxps://www[.]mediafire[.]com/file/2tpkh278oypz794/16.dll |
hxxps://www[.]mediafire[.]com/file/hjjo0rc7izwy4is/17.dll |
hxxps://www[.]mediafire[.]com/file/wy0e3mn2xyaqdhd/18.dll |
hxxps://www[.]mediafire[.]com/file/otza6n31talvvle/19.dll |
hxxps://www[.]mediafire[.]com/file/dsgxrjtpbyyzm7u/2.dll |
hxxps://www[.]mediafire[.]com/file/mf3pufkmdshddyq/20.dll |
hxxps://www[.]mediafire[.]com/file/ijdnf0wqv4e5frr/21.dll |
hxxps://www[.]mediafire[.]com/file/c9gt9xi3l9srlhi/22.dll |
hxxps://www[.]mediafire[.]com/file/pqk7p5p1vvcv5s1/23.dll |
hxxps://www[.]mediafire[.]com/file/mqbl43fcem1fndd/24.dll |
hxxps://www[.]mediafire[.]com/file/xz0guzs3g004f0i/25.dll |
hxxps://www[.]mediafire[.]com/file/qe4ece114vu4n0o/3.dll |
hxxps://www[.]mediafire[.]com/file/wbh1kq3u82mcso6/4.dll |
hxxps://www[.]mediafire[.]com/file/x0o4nlef7snbixu/5.dll |
hxxps://www[.]mediafire[.]com/file/xrnlyn4pjcmcfyf/6.dll |
hxxps://www[.]mediafire[.]com/file/qbzdrs7ulvvzfay/7.dll |
hxxps://www[.]mediafire[.]com/file/9q41qxg988c3opx/8.dll |
hxxps://www[.]mediafire[.]com/file/xxbskabqkber6oq/9.dll |
MITRE TTP
リソース開発 |
|
ステージング機能:マルウェアのアップロード |
T1608.001 |
初期アクセス |
|
フィッシング:スピアフィッシングの添付ファイル |
T1566.001 |
実行 |
|
コマンドおよびスクリプトインタープリター:PowerShell |
T1059.001 |
ユーザー実行:不正ファイル |
T1204.002 |
存続 |
|
自動起動実行機能の起動またはログオン:Runレジストリキー / スタートアップフォルダ |
T1547.001 |
防御の回避 |
|
プロセスインジェクション:ポータブル実行可能インジェクション |
T1055.002 |
リフレクティブコードローディング |
T1620 |
認証情報へのアクセス |
|
パスワードストアの認証情報:Webブラウザからの認証情報 |
T1555.003 |
入力キャプチャ:キーロギング |
T1056.001 |
検知 |
|
アカウント検知 |
T1087 |
コマンド&コントロール機能 |
|
アプリケーション層プロトコル:Webプロトコル |
T1071.001 |
