見出し画像

新しいPoetRATは、データを盗むツールを使用してエネルギー部門を狙っている

前代未聞のRATがアゼルバイジャンのエネルギー会社を狙っており、様々なツールを使って資格情報を盗み出し、貴重なデータを流出させることを目的としています。

エネルギー部門を標的とした一連のキャンペーンで、これまでに見たことのないリモートアクセスのトロイの木馬(RAT)が発見され、キーストロークのログ、ウェブカメラからの映像の記録、ブラウザの認証情報を盗むための一連のツールが使用されています。

研究者は、このマルウェアを「PoetRAT」と呼びました。
これは、キャンペーンの一部である悪意のあるWord文書に埋め込まれたマクロ全体を通して、イングランドの劇作家ウィリアム・シェイクスピアのソネットを様々な形で参照していることから、このマルウェアは「PoetRAT」と呼ばれています。
RATとその分布をさらに分析すると、アゼルバイジャンの公共部門と民間部門、さらにはSCADAシステムに対して、慎重に計画された高度に標的を絞ったキャンペーンが行われていたことがわかります。

"我々は、複数のツールや方法論を使用して完全な攻撃チェーンを実行するアクターを観察した "と、Cisco Talosのウォーレン・マーサー氏、ポール・ラスカグネレス氏、ヴィトール・ベンチュラ氏は2020/4/16の分析で述べています。
"Talosはこのキャンペーン中に複数の釣り文書を特定しましたが、これらはすべてVisual Basicマクロを使用し、その後Pythonを使用して被害者への攻撃を実行していました。
敵のターゲットは非常に特定されており、主にアゼルバイジャンの公共部門と民間部門の組織、特にエネルギー産業のICSとSCADAシステムであるように見えます。"

現時点では、このマルウェアの背後にいるのが誰なのか、どのように配布しているのかは明らかになっていないと、研究者はThreatpostに語っています。
しかし、最初の足場が悪意のあるWord文書を介して確立されていることから、被害者は騙されて電子メールやソーシャルメディアのメッセージを介して文書をダウンロードさせられているのではないかと研究者は推測しています。

分布

研究者たちは、マルウェアを配布している3つの別々の文書を発見しました。最初のものは2020年2月のもので、テキストがないぼやけた写真が発見されました。
それらのぼやけた写真のうちの1つは、インド国防省の国防研究開発機関DRDOのロゴでした(研究者は、しかし、インドがこの行為者によって標的にされている証拠があると述べています)。

4月に研究者は、RATを配布している2つの文書に出くわしたが、どちらも進行中のコロナウイルスのパンデミックに関連した誘い文句を使用していた。
1つ目の文書は「C19.docx」と名付けられており、COVID-19に関連したものである可能性が高い。
二つ目は「Azerbaijan_special[...]doc」と名付けられていた
(今回はより現実的に見えるように進化している) - これはロシア語で書かれており、アゼルバイジャン政府の文書だと思われる。

全てのファイルは、hxxp://govaz[.]herokuapp[.]com/content/section_policies[...]docx.に接続されたサーバーにありました。
また、アゼルバイジャン政府のウェブメールを装ったこのサーバーにリンクされたフィッシングキャンペーンも発見されており、その目的は資格情報を盗むことでした。

"このフィッシングページは、アゼルバイジャン政府のプラットフォームからの認証情報を狙ったものだと考えています」とMercer氏はThreatpostに語っています。"エネルギー部門でも同様のフィッシングキャンペーンが行われていたかどうかは、具体的には言えません。"

The RAT

これらすべてのドキュメントについて、マクロが有効になると、Visual Basicスクリプトのスポイトが実行されます。
スクリプトは自身のドキュメントをメモリにロードしますが、これはRATであるPythonスクリプトだけでなく、Pythonインタプリタを含むZIPファイル(「smile.zip」)です。

一方、Wordのマクロも解凍して「launcher.py」というメインスクリプトを実行し、ドキュメントを開いている環境がサンドボックスになっていないかどうかをチェックします(62GB以下のハードドライブを持っている場合)。サンドボックス環境にあると判断した場合は、マルウェアスクリプトを削除します。

"攻撃者がPythonをほぼ全面的に使用し、インタープリタ全体を被害者のマシンに持ち込んでいたことがわかりました。"とMercer氏はThreatpostに語っています。
Python の実行は一般的に Powershell のような精査を受けているわけではありませんが、環境にも同様のダメージを与える可能性があるので、これは非常に興味深いことです。

RAT自体は、2つの主要なスクリプトで構成されています。"frown.py "はコマンド&コントロール(C2)との通信を担当し、"smile.py "はC2コマンドの実行を担当します。
これらのコマンドは、システム情報の取得、スクリーンショットの撮影、ファイルのコピー、圧縮、非表示などを行います。

キャンペーン中、オペレータは、ハードドライブのパスを監視し、設定に応じて電子メールアカウントまたはファイル転送プロトコル(FTP)を介して情報を流出させるツール「dog.exe」を含む、標的とされたシステムに追加の侵入後ツールを展開しました。
別のツール「Bewmac」は、攻撃者が被害者のカメラを録画することを可能にします。
研究者たちは他にも、キーロガー、ブラウザの資格情報盗用ツール、特権昇格のためのオープンソースのフレームワーク(WinPwnage)、オープンソースのペネトレーションテストおよびネットワーク・スキャン・ツール(Nmap)などのツールを発見しました。

"研究者は、「攻撃者は特定のディレクトリを監視し、被害者の特定の情報を盗み出そうとしていることを示していた」と述べています。
"攻撃者は、キーロガー、ブラウザの資格情報の盗用、さらなる資格情報の取得のためのMimikatzとpypykatzを使用して、被害者の全貌を把握しようとしていました......攻撃者は、被害者から得た特定の情報だけでなく、被害者に関連する情報の完全なキャッシュも欲しがっていました。
彼らは被害者の心理を考えると、これらの技術を使って、潜在的に非常に重要な資格情報を得ることができたでしょう。"

元記事
https://threatpost.com/new-poetrat-hits-energy-sector-with-data-stealing-tools/154876/

—-
SCADAシステムやエネルギー部門へのハッキングや攻撃の足掛かりとなる標的方攻撃だけれども、ますますC2サーバへのブロックが重要になる。
C2サーバの発見がC2サーバとの通信を分析してからでないと分かりづらい。
防御側は対策が後追いにならざるを得ないが、エンドポイントやWAFなどでリアルタイムに止めたいところだ。

最後までお読みいただきありがとうございます。 分かりやすくマイナーなセキュリティ記事を翻訳しながら書きます。