ハッカーグループ「Evasive Panda」がチベット人を狙うサイバー攻撃を実施

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「モンラム祭を利用してチベット人をターゲットにEvasive Pandaがサイバー攻撃」を再編集したものです。

 ESET社の研究者は、中国とつながりのあるAPTグループ「Evasive Panda」による、チベット人を標的とした水飲み場攻撃とサプライチェーン攻撃を発見しました。その詳細について解説します。

 ESET社の研究者は、チベット人を標的とするサイバースパイキャンペーンを発見しました。このキャンペーンは、少なくとも2023年9月から実施されており、標的型の水飲み場攻撃(戦略的Web侵害とも呼ばれます)を実行し、サプライチェーンを侵害してトロイの木馬が仕込まれたチベット語翻訳ソフトウェアインストーラを配信します。この攻撃者は、WindowsとmacOS用の悪意のあるダウンローダーを配信し、Webサイトにアクセスしたユーザーを、MgBotと、ESET社が把握している限りでは過去に検出されておらず文書化されていないバックドアを使用して侵害しています。

本ブログの要点:
・ESET社は、チベット仏教恒例のモンラム祭に便乗し、いくつかの地域のチベット人を標的とするサイバースパイキャンペーンを発見しました。
・攻撃者は、インドで毎年開催されるモンラム祭を主催している組織のWebサイトを侵害し、悪意のあるコードをWebサイトに追加し、特定のネットワークから接続するユーザーを標的とする水飲み場攻撃を実行しました。
・また、あるソフトウェア開発企業のサプライチェーンが侵害され、WindowsとmacOS用のソフトウェアインストーラがトロイの木馬化され、ユーザーに提供されていたことも発見しました。
・攻撃者はこの作戦のために、多くの悪意のあるダウンローダーとさまざまな機能を搭載したバックドアを使用しています。これらのバックドアにこれまで検出されておらず、文書化されていないWindows用のバックドアも含まれていました。ESET社はこのバックドアをNightdoorと命名しました。

EVASIVE PANDAのプロフィール

 Evasive Panda(別名:BRONZE HIGHLANDおよびDaggerfly)は、少なくとも2012年から活動している中国語を使用するAPTグループです。ESET社は、このグループが中国本土、香港、マカオ、ナイジェリアの個人に対してサイバースパイ活動を行っていることを確認しています。また、東南アジア、特に中国、マカオ、ミャンマー、フィリピン、台湾、ベトナムの政府組織もこのグループの標的になっています。中国と香港の政府組織以外の組織も標的になっています。公開されているレポートによると、同グループは香港、インド、マレーシアの組織も標的にしていますが、これらの組織の詳細は不明です。

 このグループは、独自のマルウェアフレームワークを使用しており、MgBotと呼ばれるバックドアにモジュラーアーキテクチャを採用しています。このアーキテクチャでは、標的としたユーザーを監視するスパイ機能を強化するモジュールを組み込むことができます。ESET社は2020年以降、Evasive Pandaが正規のソフトウェアのアップデートをハイジャックする中間者攻撃を介してバックドアを配信していることを確認しています。

キャンペーンの概要

 2024年1月、ESET社は、攻撃者が少なくとも3つのWebサイトを侵害し、水飲み場攻撃とチベットのソフトウェア会社のサプライチェーンを侵害してサイバースパイ活動を実行していることを発見しました。

 水飲み場として悪用された侵害されたWebサイトは、インドに拠点を置き、チベット仏教を国際的に広めている団体「Kagyu International Monlam Trust」が管理しています。攻撃者は、標的ユーザーのIPアドレスを検証するスクリプトをWebサイトに埋め込み、対象となるユーザーのアドレスの範囲にある場合、偽のエラーページを表示して、「修正」するためのファイルという名目で、certificate(閲覧しているユーザーがWindowsを使用している場合は拡張子が.exe、macOSを使用している場合は拡張子が.pkg)をダウンロードするように誘導します。このファイルは悪意のあるダウンローダーであり、攻撃チェーンの次の段階に移行するために使用されます。

 このコードが検証するIPアドレスの範囲から、攻撃者はインド、台湾、香港、オーストラリア、米国のユーザーを標的にしていることがわかりました。この攻撃は、インドのブッダガヤで毎年1月に開催される「カギュ・モンラム祭(図1)」に対する国際的な関心に便乗することを目的としていた可能性があります。

図1. カギュ・モンラム祭のWebサイトに掲載される祈祷会の日程

 興味深いことに、米国のジョージア工科大学のネットワークが、標的のIPアドレス範囲で特定される対象に含まれていました。過去には、ポンペオ国務長官が、中国共産党が米国の教育機関の買収を試みていると指摘し、同大学が話題になったこともありました。

 2023年9月頃、この攻撃者はインドに拠点を置くチベット語翻訳ソフトウェアを製造しているソフトウェア開発会社のWebサイトを侵害しました。攻撃者は、WindowsまたはmacOS用の悪意のあるダウンローダーを展開するために、いくつかのトロイの木馬化したアプリケーションをこのWebサイトに仕込んでいました。

 さらに、攻撃者は同じWebサイトとTibetpostと呼ばれるチベットのニュースサイト(tibetpost[.]net)を不正に利用し、Windows用の2つの多機能なバックドアとmacOS用のペイロードなど、悪意のあるダウンロードが取得するペイロードをホストしています。macOS用のペイロードの数は明らかになっていません。

図2. 攻撃イベントのタイムライン

 ESET社は、使用されたマルウェア(MgBotおよびNightdoor)から、このキャンペーンはAPTグループ「Evasive Panda」によって実行されたことを確信しています。過去には、台湾の宗教団体を狙った攻撃で、両方のバックドアが一緒に展開されており、同じC&Cサーバーが使用されていたことが確認されています。この2つの特徴は、このブログで説明しているキャンペーンにも当てはまります。

水飲み場攻撃

 2024年1月14日、ESET社は、https://www.kagyumonlam[.]org/media/vendor/jquery/
js/jquery.js?3.6.3に不審なスクリプトがあることを検出しました。

 図3に示すように、難読化されている悪意のあるコードが正規のjQuery JavaScriptライブラリスクリプトに追加されていました。

図3. jQueryライブラリの最後に追加された悪意のあるコード

 このスクリプトは、localhostアドレスhttp://localhost:63403/?callback=handleCallbackにHTTPリクエストを送信し、攻撃者がそのプロセスで使用するダウンローダーが標的ユーザーのマシン上ですでに実行されているかどうかを確認します(図4を参照)。マシンがすでに侵害されている場合、このインプラントはhandleCallback({"success":true })を使用して応答し(図5を参照)、スクリプトはそれ以上何も処理を行いません。

図4. インプラントを使用してチェックインするJavaScriptのコード

図5. JavaScriptのチェックインリクエストに回答するインプラント

 マシンからの応答によってダウンローダーが実行されていないことがわかると、悪意のあるコードは

図6. 悪意のあるJavaScriptに保存されたハッシュの配列

 ハッシュが一致した場合、スクリプトはクラッシュしたという偽の通知(図7)をHTMLページで表示し、アクセスしたユーザーに問題を解決するためのソリューションをダウンロードさせようとします。このページは、Google Chromeが表示する一般的な「このウェブページを表示中に問題が発生しました」というアラートを模倣しています。

図7. JavaScriptによって処理された偽のグラフィック

 「今すぐ修正」ボタンをクリックすると、ユーザーのオペレーティングシステム(図8)向けのペイロードをダウンロードするスクリプトが起動されます。

図8. WindowsとmacOS用のダウンロードURL

ハッシュの解読

 ペイロードを配信する条件として、update.devicebug[.]comサーバーから正しいハッシュを取得する必要があるため、攻撃者が標的ユーザーを選択する仕組みで鍵を握っているのは、74個のハッシュです。しかし、ハッシュはサーバー側で計算されるため、どのようなデータを使用して計算されているのかを知ることは困難です。

 さまざまなIPアドレスとシステム構成を使用して実験し、MD5アルゴリズムの入力として使用されているのがユーザーのIPアドレスの最初の3オクテットの式であることを絞り込むことができました。つまり、同じネットワークプレフィックスを共有するIPアドレス、例えば192.168.0.1 と192.168.0.50を入力すると、C&Cサーバーから同じMD5ハッシュを受け取ります。

 しかし、ハッシュが簡単なブルートフォース攻撃で破られるのを防ぐために、未知の文字の組み合わせ、つまりソルトが、ハッシュ化する前に最初の3つのIPオクテットの文字列に含まれています。そのため、入力式を得るためさまざまなソルトを試して、次にIPv4アドレスのすべての範囲を使用してハッシュを生成し、一致する74個のハッシュを特定する必要がありました。

 幸運が重なり、ソルトが「1qaz0okm!」であることを特定することができました。MD5の入力式(例えば、192.168.1.1qaz0okm!@#)のすべての要素を使用して、74個のハッシュからターゲットのリストを生成できました。詳細なターゲットのリストは、付録を参照してください。

 図9に示しているように、標的のIPアドレス範囲の大半はインドのものであり、台湾、オーストラリア、米国、香港が続いています。なお、チベット人のディアスポラのほとんどはインドに住んでいます。

図9. 対象となっているIPアドレス範囲の地域

Windowsペイロード

 Windows上では、https://update.devicebug[.]com/fixTools/certificate.exeにある悪意のある実行ファイルが使用され標的ユーザーが攻撃されます。図10は、ユーザーが悪意のある修正プログラムをダウンロードし実行した場合の実行チェーンを示しています。

図10. certificate.exeのロードチェーン

 certificate.exeは、サイドローディングチェーンを展開するドロッパーであり、中間段階のダウンローダーであるmemmgrset.dll(内部的にはhttp_dy.dllという名前)をロードします。このDLLは、https://update.devicebug[.]com/assets_files/config.jsonにあるC&CサーバーからJSONファイルを取得します。このJSONファイルには、次のステージで使用するファイルをダウンロードするための情報が含まれています(図11を参照)。

図11. config.jsonの内容

 次のステージで使用されるファイルがダウンロードされ実行されると、別のサイドローディングチェーンが展開され、最終的なペイロードであるNightdoorが配信されます。Nightdoorの分析結果については、以下のNightdoorセクションで説明します。

macOSペイロード

 このmacOSマルウェアは、サプライチェーンの侵害のセクションで詳しく説明しているダウンローダーと同じものです。しかし、このマルウェアが異なるのは追加のMach-O実行ファイルをドロップすることです。この実行ファイルは、TCPポート63403でデータを受信します。この唯一の目的は、悪意のあるJavaScriptコードのリクエストにhandleCallback({"success":true })で応答することであり、ユーザーが水飲み場であるWebサイトをアクセスしたときに、このJavaScriptコードはすでにこのユーザーが侵害されているかどうかを判断し、侵害されている場合には、何も処理しません。

 このダウンローダーは、先に説明したWindows版と同様に、サーバーからJSONファイルを取得し、次のステージで使用するファイルをダウンロードします。

サプライチェーンの侵害

 1月18日に、複数のプラットフォームに対応しているチベット語翻訳ソフトウェア製品の公式Webサイト(図12)が、トロイの木馬化された正規ソフトウェアのインストーラが含まれるZIPパッケージをホストしており、WindowsおよびmacOSに悪意のあるダウンローダーを展開していることをESET社が特定しました。

図12. インストールされるWindowsとmacOSのアプリケーションは、正規のウェブサイトのダウンロードページでホストされている製品にバックドアが追加されたもの

 ESET社は、Windows用のパッケージの1つをダウンロードした日本の被害者1名を発見しました。

 表1に、URLとドロップされたインプラントを示します。

悪意のあるパッケージのURL ペイロードのタイプ
https://www.monlamit[.]com/monlam-app-store/monlam-bodyi
g3.zip
Win32ダウンローダー
https://www.monlamit[.]com/monlam-app-store/Monlam_Gra
nd_Tibetan_Dictionary_2018.zip
Win32ダウンローダー
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibet
isches_W%C3%B6rterbuch_Installer_Windows.zip
Win32ダウンローダー
https://www.monlamit[.]com/monlam-app-store/monlam-bodyi
g-mac-os.zip
macOSダウンローダー
https://www.monlamit[.]com/monlam-app-store/Monlam-Gra
nd-Tibetan-Dictionary-for-mac-OS-X.zip
macOSダウンローダー

表1. 侵害されたWebサイトにホストされる悪意のあるパッケージのURLと、侵害されたアプリケーションにあるペイロードのタイプ

Windowsパッケージ

 図13は、monlam-bodyig3.zipパッケージから展開されるトロイの木馬化されたアプリケーションのロードチェーンを示しています。

図13. 悪意のあるコンポーネントのロードチェーン

 トロイの木馬化されたアプリケーションには、autorun.exeと呼ばれる悪意のあるドロッパーが含まれており、以下の2つのコンポーネントが展開されます。

・最初は、MonlamUpdate.exeという実行ファイルです。これはC64 Foreverエミュレータのソフトウェアコンポーネントであり、DLLのサイドローディングに悪用されています。
・次はRPHost.dllです。これはサイドローディングされたDLLで、次のステージのファイルを取得するための悪意のあるダウンローダーです。

 ダウンローダーのDLLがメモリにロードされると、ユーザーがログオンするたびに実行されるように、Demovaleという名前のスケジュールタスクが作成されます。しかし、このタスクは実行するファイルを指定していないため、常駐化に失敗します。

 次に、このDLLはUUIDとオペレーティングシステムのバージョンを取得し、独自のUser-Agentを作成し、https://www.monlamit[.]com/sites/default/files/softwares/
updateFiles/Monlam_Grand_Tibetan_
Dictionary_2018/UpdateInfo.datにGETリクエストを送信して、ペイロードをダウンロードして実行するためのURLを含むJSONファイルを取得し、%TEMP%ディレクトリにドロップします。そのため、図13に示すように、default_ico.exeがどこからダウンロードされたのか正確には把握していません。

 ESET社のテレメトリ(監視データ)により、不正なMonlamUpdate.exeプロセスが、異なる時期に少なくとも4つの悪意のあるファイルを%TEMP%DEfault_ico.exeにダウンロードして実行していたことがわかりました。表2に、これらのファイルとその目的を示します。

SHA-1 通信先のURL 目的
1C7DF9B0023FB970
00B71C7917556036A
48657C5
https://tibetpost[.]net/templates/protostar/html/layouts/joomla/system/default_fields.php サーバーからペイロードをダウンロードします
F0F8F60429E3316C4
63F397E8E29E1CB2D
925FC2
サーバーからペイロードをダウンロードします。この検体はRustで記述されています
7A3FC280F79578414
D71D70609FBDB49E
C6AD648
http://188.208.141[.]204:5040/a62b94e4dcd54243bf75802f0cbd71f3.exe ランダムな名前のNightdoorドロッパーをダウンロードします
BFA2136336D84
5184436530CDB406E382
2E83EEB
N/A オープンソースツールSystemInfo。このツールには、攻撃者が悪意のあるコードを統合し暗号化したブロブが埋め込まれています。このブロブが復号されて実行されると、MgBotがインストールされます

表 2. default_ico.exeダウンローダー/ドロッパーのハッシュ、通信先のC&CのURL、ダウンローダーの説明

 最後に、default_ico.exeダウンローダーまたはドロッパーは、サーバーからペイロードを取得するか、ペイロードをドロップした後、標的ユーザーのマシンでペイロードを実行し、Nightdoor(Nightdoorのセクションを参照)またはMgBot(過去の分析レポートを参照)のいずれかをインストールします。

 残りの2つのトロイの木馬化されたパッケージは酷似しており、正規の実行ファイルによってサイドローディングされる同じ悪意のあるダウンローダーDLLを展開します。

macOSパッケージ

 正規のアプリストアからダウンロードしたZIPアーカイブには、修正されたインストーラパッケージ(.pkg ファイル)が含まれています。このパッケージには、Mach-O実行ファイルとインストール後に使用するスクリプトが追加されています。インストール後に使用されるスクリプトは、Mach-Oファイルを$HOME/Library/Containers/CalendarFocusEXT/にコピーし、常駐するためにLaunch Agentを$HOME/Library/LaunchAgents/com.Terminal.us.plistにインストールします。図14は、悪意のあるLaunch Agentのインストールと起動を行うスクリプトを示しています。

図14. 悪意のあるLaunch Agentをインストールして起動するためインストール後に使用されるスクリプト

 図14に示している悪意のあるMach-O(Monlam-bodyig_Keyboard_2017)は、(通常配信に使用される証明書タイプではなく)ya ni yang(2289F6V4BN)という名前とチームの識別子を使用し、開発者の証明書で署名されていますが、公証されていません。署名のタイムスタンプを見ると、2024年1月7日に署名されています。ZIPアーカイブのメタデータ内の悪意のあるファイルの更新タイムスタンプもこの日付になっています。この証明書が発行されたのは、そのわずか3日前でした。この証明書の詳細は、IoCで説明します。ESET社のチームは1月25日にApple社に連絡し、同日に証明書は無効化されました。

 この第一段階のマルウェアは、次の攻撃段階で使用するURLを含むJSONファイルをダウンロードします。アーキテクチャ(ARMまたはIntel)、macOSのバージョン、ハードウェアUUID(各Macに固有の識別子)は、User-AgentのHTTPリクエストヘッダーで報告されます。Windows版と同じURLが使用され、この構成が取得されます。

 https://www.monlamit[.]com/sites/default/files/softwares/
updateFiles/Monlam_Grand_Tibetan_Dictionary
_2018/UpdateInfo.dat. ただし、macOS版では、winキーではなく、JSONオブジェクトのmacキーの下にあるデータが参照されます。

・url: 次の攻撃ステージへのURL
・md5:ペイロードのMD5チェックサム
・vernow: ハードウェアUUIDのリスト。このリストに存在する場合、ペイロードは、リストされたハードウェアUUIDのいずれかを持つMacにのみインストールされます。このチェックは、リストが空であるか欠落している場合はスキップされます
・version: これは、過去にダウンロードしたセカンドステージの「バージョン」よりも高い数値である必要があります。そうでなければ、ペイロードはダウンロードされません。現在実行中のバージョンの値は、アプリケーションuser defaultsに保持されます

 このマルウェアがcurlを使って指定されたURLからファイルをダウンロードした後、ファイルはMD5を使ってハッシュ化され、md5キーの下にある16進ダイジェストと比較されます。一致した場合、com.apple.quarantine属性を消去するためにこの拡張属性は削除され、ファイルは$HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrowerに移動され、引数runでexecvpを使用して起動されます。

 Windows版とは異なり、macOS版における後続の攻撃段階は見つかっていません。JSON設定の1つには、MD5ハッシュ(3C5739C25A9B85E82E0969EE94062F40)が含まれていましたが、URLフィールドは空になっていました。

Nightdoor

 ESET社が「Nightdoor」と命名したバックドア(このマルウェアの作成者は、PDBパスに因んでNetMMと命名)は、Evasive Pandaのツールセットに最近追加されたバックドアです。NightdoorについてESET社が把握している最も古い情報は2020年に遡ります。このときに、Evasive Pandaはベトナムのある有名な組織のマシンにNightdoorを導入しています。このバックドアは、UDPまたはGoogle Drive APIを介してC&Cサーバーと通信します。今回のキャンペーンで使用されたNightdoorインプラントはGoogle Drive APIを使用します。データセクション内にGoogle APIのOAuth 2.0トークンを暗号化し、そのトークンを使用して攻撃者のGoogleドライブにアクセスします。ESET社は、このトークンが関連付けられているGoogleアカウントを削除するよう要請しました。

 まず、NightdoorはGoogleドライブに被害者のMACアドレスを含むフォルダを作成します。これは、被害者のIDとしても使用されます。このフォルダには、インプラントとC&Cサーバー間のすべてのメッセージが保存されます。NightdoorとC&Cサーバー間の各メッセージは、図15に示すように、ファイルとして構造化され、ファイル名とファイルデータに分離されています。

図15. 攻撃者のGoogleドライブの被害者フォルダに保存されるインプラントとC&C間でやりとりされるメッセージ

各ファイル名には8つの主な属性があります。以下でこれらの属性を説明します。
例:

・1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
・1_2:マジック値
・0C64C2BAEF534C8E9058797BCD783DE5:pbufデータ構造のヘッダー
・168:メッセージオブジェクトのサイズまたはファイルサイズ(バイト単位)
・0:ファイル名。デフォルトは常に0(ヌル)になります
・1:コマンドのタイプ。検体によって異なり、1または0にハードコードされています
・4116:コマンドID
・0:サービス品質(QoS)
・00-00-00-00-00:宛先のMACアドレスを示しますが、常にデフォルト値 00-00-00-00-00-00になります

 各ファイル内のデータは、バックドアに対するコントローラのコマンドと、コマンドを実行するために必要なパラメータを示しています。図16に、ファイルデータとして保存されたC&Cサーバーメッセージの例を示します。

図16. C&Cサーバーからのメッセージ

 Nightdoorをリバースエンジニアリングして、ファイルに示された重要なフィールドの意味を把握できました。その内容を図17に示します。

図17. Nightdoorのコマンドファイル形式

 今回のキャンペーンで使用されたNightdoorのバージョンには多くの大きな変更が加えられていました。その1つがコマンドIDの管理です。以前のバージョンでは、図18に示すように、各コマンドIDはハンドラ関数に1つずつ割り当てられていました。0x2001から0x2006、0x2201から0x2203、0x4001から0x4003、0x7001から0x7005までのような採番方法が用いられており、コマンドが類似した機能別に分けられていました。

図18. ハンドラ関数にコマンドIDを割り当てるNightdoorの古い方法

 しかし、このバージョンでは、Nightdoorはブランチテーブルを使用して、すべてのコマンドIDと対応するハンドラを管理しています。コマンドIDは常に連続し、図19に示すように、ブランチテーブルの対応するハンドラへのインデックスとして機能します。

図19. Nightdoorのスイッチステートメントとブランチテーブル

 表3に、C&Cサーバーのコマンドとその機能を示します。この表には、新しいコマンドIDと、旧バージョンの同等のIDも追加しています。

コマンドID 旧バージョンのコマンドID 説明
0x1001 0x2001 以下の基本的なシステムプロファイル情報を収集します
・OSバージョン
・IPv4ネットワークアダプタ、MACアドレス、およびIPアドレス
・CPU名
・コンピューター名
・ユーザー名
・デバイスドライバー名
・C:Users*にあるすべてのユーザー名
・ローカル時間
・ifconfig.meまたはipinfo.io Webサービスを使用するパブリックIPアドレス
0x1007 0x2002 ディスクドライブに関する以下の情報を収集します
・ドライブ名
・空き容量と合計容量
・ファイルシステムタイプ:NTFS、FAT32など
0x1004 0x2003 Windowsのレジストリキーにインストールされているすべてのアプリケーションの情報を収集します
・HKLM\SOFTWARE\
・WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall (x64)
・Microsoft\Windows\CurrentVersion\Uninstall (x86)
0x1003 0x2004 以下のような、実行中のプロセスに関する情報を収集します
・プロセス名
・スレッド数
・ユーザー名
・ディスク上のファイルの場所
・ディスク上のファイルの説明
0x1006 0x4001 リバースシェルを作成し、匿名パイプで入出力を管理します
0x4002
0x4003
0x1002 N/A 自身をアンインストールします
0x100C 0x6001 ファイルを移動します。パスはC&Cサーバーから提供されます
0x100B 0x6002 ファイルを削除します。パスはC&Cサーバーから提供されます
0x1016 0x6101 ファイル属性を取得します。パスはC&Cサーバーから提供されます

表3. このキャンペーンで使用されるNightdoorの亜種がサポートするコマンド

結論

 ESET社は、中国とつながりのあるAPTグループであるEvasive Pandaがいくつかの地域でチベット人を標的に実行しているキャンペーンを分析しました。攻撃者は、2024年1月と2月に開催されるモンラム祭に便乗し、水飲み場攻撃として利用するためにモンラム祭に関連するWebサイトを侵害し、このサイトにアクセスしたユーザーを攻撃した可能性があります。また、この攻撃者はチベット語翻訳アプリのソフトウェア開発者のサプライチェーンを侵害しました。

 この攻撃者は、複数のダウンローダー、ドロッパー、バックドアを使用して攻撃を実行しています。これらのバックドアには、Evasive Pandaが使用している独自のMgBotや、同グループのツールキットに最近追加された主要なツールであり、東アジアの複数のネットワークを標的とするために使用されているNightdoorなどがあります。

IOC(セキュリティ侵害の痕跡)

ファイル

SHA-1 ファイル名 ESETの検出名 説明
0A88C3B4709287F70CA2549A29353A804681CA78 autorun.exe Win32/Agent.AGFU 正規のインストーラパッケージに追加されたドロッパーコンポーネント
1C7DF9B0023FB97000B71C7917556036A48657C5 default_ico.exe Win32/Agent.AGFN 攻撃の中間段階で使用されるダウンローダー
F0F8F60429E3316C463F397E8E29E1CB2D925FC2 default_ico.exe Win64/Agent.DLY Rustでプログラミングされた攻撃の中間段階で使用されるダウンローダー
7A3FC280F79578414D71D70609FBDB49EC6AD648 default_ico.exe Win32/Agent.AGFQ Nightdoorのダウンローダー
70B743E60F952A1238A469F529E89B0EB71B5EF7 UjGnsPwFaEtl.exe Win32/Agent.AGFS Nightdoorのドロッパー
FA44028115912C95B5EFB43218F3C7237D5C349F RPHost.dll Win32/Agent.AGFM 中間段階で使用されるローダー
5273B45C5EABE64EDBD0B79F5D1B31E2E8582324 certificate.pkg OSX/Agent.DJ MacOSのドロッパーコンポーネント
5E5274C7D931C1165AA592CDC3BFCEB4649F1FF7 certificate.exe Win32/Agent.AGES 侵害されたWebサイトから配信されるドロッパーコンポーネント
59AA9BE378371183ED419A0B24C019CCF3DA97EC default_ico_1.exe Win32/Agent.AGFO Nightdoorのドロッパーコンポーネント
8591A7EE00FB1BB7CC5B0417479681290A51996E memmgrset.dll Win32/Agent.AGGH Nightdoorダウンローダーコンポーネントの中間段階のローダー
82B99AD976429D0A6C545B64C520BE4880E1E4B8 pidgin.dll Win32/Agent.AGGI Nightdoorの中間段階のローダー
3EEE78EDE82F6319D094787F45AFD9BFB600E971 Monlam_Grand_Tibetan_Dictionary_2018.zip Win32/Agent.AGFM トロイの木馬化されたインストーラ
2A96338BACCE3BB687BDC274DAAD120F32668CF4 jquery.js JS/TrojanDownloader.Agent.AAPA 侵害されたWebサイトに追加された悪意のあるJavaScript
8A389AFE1F85F83E340CA9DFC0005D904799D44C Monlam Bodyig 3.1.exe Win32/Agent.AGFU トロイの木馬化されたインストーラ
944B69B5E225C7712604EFC289E153210124505C deutsch-tibetisches_w__rterbuch_installer_windows.zip MSIL/Agent.WSK トロイの木馬化されたインストーラパッケージ
A942099338C946FC196C62E87942217BF07FC5B3 monlam-bodyig3.zip Win32/Agent.AGFU トロイの木馬化されたインストーラパッケージ
52FE3FD399ED15077106BAE9EA475052FC8B4ACC Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip OSX/Agent.DJ MacOS向けのトロイの木馬化されたインストーラパッケージ
57FD698CCB5CB4F90C014EFC6754599E5B0FBE54 monlam-bodyig-mac-os.zip OSX/Agent.DJ MacOS向けのトロイの木馬化されたインストーラパッケージ
C0575AF04850EB1911B000BF56E8D5E9362A61E4 Security~.x64 OSX/Agent.DJ MacOS向けのダウンローダー
7C3FD8EE5D660BBF43E423818C6A8C3231B03817 Security~.arm64 OSX/Agent.DJ MacOS向けのダウンローダー
FA78E89AB95A0B49BC0663F7AB33AAF1A924C560 Security.fat OSX/Agent.DJ MacOSのダウンローダーコンポーネント
5748E11C87AEAB3C19D13DB899D3E2008BE928AD Monlam_Grand_Dictionary export file OSX/Agent.DJ macOS向けのトロイの木馬化されたインストーラパッケージに含まれる悪意のあるコンポーネント

証明書

シリアルナンバー 49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
サムプリント 77DBCDFACE92513590B7C3A407BE2717C19094E0
Subject CN Apple Development: ya ni yang (2289F6V4BN)
Subject O ya ni yang
Subject L N/A
Subject S N/A
Subject C US
有効期限の開始 2024-01-04 05:26:45
有効期限の終了 2025-01-03 05:26:44
シリアルナンバー 6014B56E4FFF35DC4C948452B77C9AA9
サムプリント D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE
Subject CN KP MOBILE
Subject O KP MOBILE
Subject L N/A
Subject S N/A
Subject C KR
有効期限の開始 2021-10-25 00:00:00
有効期限の終了 2022-10-25 23:59:59

ネットワーク

IP ドメイン ホスティングプロバイダー 最初に確認された日付 詳細
N/A tibetpost[.]net N/A 2023-11-29 侵害されたWebサイト
N/A www.monlamit[.]com N/A 2024-01-24 侵害されたWebサイト
N/A update.devicebug[.] N/A 2024-01-14 C&C
188.208.141[.]204 N/A Amol Hingade 2024-02-01 Nightdoorドロッパーコンポーネントのダウンロードサーバー

MITRE ATT&CKの技術

 この表は、MITRE ATT&CKフレームワークのバージョン14を使用して作成されています。

手法 ID 名前 説明
リソース開発 T1583.004 インフラストラクチャの取得:サーバー Evasive Pandaは、Nightdoor、MgBot、macOSダウンローダーコンポーネントで使用するC&Cインフラストラクチャのためのサーバーを取得しています
T1583.006 インフラストラクチャの取得:Webサービス Evasive Pandaは、GoogleドライブのWebサービスをNightdoorのC&Cインフラストラクチャとして利用しています
T1584.004 インフラストラクチャの乗っ取り:サーバー Evasive Pandaのオペレーターは、サプライチェーン攻撃のために、水飲み場として使用するため、またペイロードをホストし、C&Cサーバーとして使用するためにいくつかのサーバーを侵害しています
T1585.003 アカウントの確立:クラウドアカウント Evasive Pandaは、Googleドライブのアカウントを作成し、C&Cインフラストラクチャとして使用しています
T1587.001 能力の開発マルウェア Evasive Pandaは、MgBot、Nightdoor、macOSダウンローダーコンポーネントなど、独自のインプラントを展開しています
T1588.003 機能の取得:コードサイニング証明書 Evasive Pandaはコードサイニング証明書を取得しています
T1608.004 ステージングサーバーの能力ドライブバイダウンロード Evasive Pandaのオペレーターは、知名度の高いWebサイトを改ざんし、マルウェアをダウンロードするために、偽の通知を表示するJavaScriptコードを追加しました
初期アクセス T1189 Web閲覧による感染 侵害されたWebサイトにアクセスしたユーザーに、マルウェアをダウンロードするように誘導する偽のエラーメッセージが表示される場合があります
T1195.002 サプライチェーンの侵害:ソフトウェアサプライチェーンの侵害 Evasive Pandaは、ソフトウェア会社の正規のインストーラパッケージをトロイの木馬化しました
実行 T1106 ネイティブAPI Nightdoor、MgBot、およびそれらの中間段階のダウンローダーコンポーネントは、Windows APIを使用してプロセスを作成します
T1053.005 タスク/ジョブのスケジュール:タスクのスケジュール NightdoorとMgBotのローダーコンポーネントは、スケジュールタスクを作成できます
常駐化 T1543 .003 システムプロセスの作成または修正:Windowsサービス NightdoorとMgBotのローダーコンポーネントは、Windowsサービスを作成できます
T1574.002 ハイジャックの実行フロー:DLLサイドローディング NightdoorとMgBotのドロッパーコンポーネントは、悪意のあるローダーをサイドローディングする正規の実行可能ファイルを展開します
防衛機能の回避 T1140 ファイルや情報の難読化解除と復号 NightdoorインプラントのDLLコンポーネントは、メモリ内で復号されます
T1562.004 防御策の妨害:システムファイアウォールの無効化または変更 Nightdoorは、HTTPプロキシサーバー機能でインバウンドおよびアウトバウンド通信を許可するために、2つのWindowsファイアウォールルールを追加します
T1070.004 攻撃の痕跡の削除:ファイルの削除 NightdoorとMgBotは、ファイルを削除できます
T1070.009 攻撃の痕跡の削除:常駐化の中止 NightdoorとMgBotは、自身をアンインストールできます
T1036.004 なりすまし:タスクまたはサービスのなりすまし Nightdoorのローダーは、自身のタスクをnetsvcsに偽装していました
T1036.005 なりすまし:正規のモジュールの名前や場所を模倣する Nightdoorのインストーラは、自身のコンポーネントを正規のシステムディレクトリに展開します
T1027.009 ファイルや情報の難読化:ペイロードの埋め込み Nightdoorのドロッパーコンポーネントには、悪意のあるファイルが埋め込まれており、これらのファイルはディスク上に展開されます
T1055.001 プロセスインジェクション:ダイナミックリンクライブラリのインジェクション NightdoorとMgBotのローダーコンポーネントは、svchost.exeに自身のプロセスを挿入します
T1620 リフレクティブコードのローディング NightdoorとMgBotのローダーコンポーネントはsvchost.exeに自身のプロセスを挿入し、この実行ファイルからNightdoorやMgBotのバックドアをロードします
探査 T1087.001 アカウント情報の探索ローカルアカウント NightdoorとMgBotは、侵害したシステムのユーザーアカウント情報を収集します
T1083 ファイルおよびディレクトリの検出 NightdoorとMgBotは、ディレクトリやファイルから情報を収集できます
T1057 プロセスの検出 NightdoorとMgBotは、プロセスに関する情報を収集します
T1012 クエリーレジストリ NightdoorとMgBotは、インストールされているソフトウェア情報を見つけるためにWindowsレジストリをクエリーします
T1518 ソフトウェアの検出 NightdoorとMgBotは、インストールされているソフトウェアとサービスに関する情報を収集します
T1033 システムオーナー/ユーザーの検出 NightdoorとMgBotは、侵害したシステムのユーザーアカウント情報を収集します
T1082 システム情報の検出 NightdoorとMgBotは、侵害したシステムに関するさまざまな情報を収集します
T1049 システムネットワーク接続の検出 NightdoorとMgBotは、侵害したマシンのすべてのアクティブなTCPおよびUDP接続からデータを収集できます
収集 T1560 収集したデータのアーカイブ NightdoorとMgBotは、収集したデータを暗号化されたファイルに保存します
T1119 自動収集 NightdoorとMgBotは、侵害したマシンに関するシステムとネットワーク情報を自動的に収集します
T1005 ローカルシステムのデータ NightdoorとMgBotは、オペレーティングシステムとユーザーデータに関する情報を収集します
T1074.001 データの保存:ローカルデータの保存 Nightdoorは、ディスクのファイルを外部に送信するために、データをステージングします
C&C(コマンド&コントロール) T1071.001 アプリケーションレイヤープロトコル:Webプロトコル Nightdoorは、C&CサーバーとHTTPで通信します
T1095 アプリケーションレイヤープロトコル以外の手法: Nightdoorは、C&CサーバーとUDPで通信します。MgBotはC&CサーバーとTCPで通信します
T1571 非標準ポート MgBotは、TCPポート21010を使用します
T1572 プロトコルトンネリング Nightdoorは、HTTPプロキシサーバーとして動作し、TCP通信をトンネリングします
T1102 Webサービス Nightdoorは、C&C通信にGoogleドライブを使用します
情報の外部への送信 T1020 ファイル送信の自動化 NightdoorとMgBotは、収集したデータを自動的に外部に送信します
T1567.002 Webサービスを介したデータの外部への流出:クラウドストレージへのデータの流出 Nightdoorは、Googleドライブにファイルを送信できます