TokyoBlackHatNews

gbhackers.com 5分で読了

TAMECAT PowerShellバックドアがEdgeとChromeを標的に:ログイン認証情報が危険に

TAMECATは、イランの国家支援ハッキンググループAPT42に関連付けられた、高度なPowerShellベースのバックドアです。

検知を回避しながら、Microsoft Edge およびChromeブラウザからログイン認証情報を窃取します。

イスラエル国家デジタル庁のセキュリティ研究者は、最近のSpearSpecterキャンペーン分析で、そのモジュール式設計の詳細を明らかにしました。

APT42は、国防および政府の高官を狙った長期的な諜報活動でTAMECATを展開しています。

Image
TAMECATの機能の詳細(出典:Pulsedive)

同グループは、システムを侵害する前にソーシャルエンジニアリングで信頼関係を構築します。Pulsediveの報告 によると、TAMECATはTelegramボット経由でコマンドを受信し、画面キャプチャやブラウザデータ窃取などのタスクのために追加スクリプトをダウンロードします。

感染チェーンは、VBScriptダウンローダ(SHA256: 5404e39f2f175a0fc993513ee52be3679a64c69c79e32caa656fbb7645965422)から始まります。このスクリプトはWMIクエリを用いてアンチウイルス製品をスキャンします。

AVリストに「Windows」が含まれている場合、conhost経由でwgetを使ってPowerShellを起動し、tebi[.]ioからローダーを取得します。そうでない場合は、cmd.exeとcurlにフォールバックして代替ペイロードを取得します。

ローダー分析

ローダーであるnconf.txt(SHA256: bd1f0fb085c486e97d82b6e8acb3977497c59c3ac79f973f96c395e7f0ca97f8)は、AESで暗号化されたペイロードを使用します。

復号のためにキー「T2r0y1M1e1n1o0w1」を用いるGorbaを定義し、さらに処理を行うBorjolを定義します。

このスクリプトはbase64 URLから先頭3バイトを削除し、df32s.txtをダウンロードして、ビット演算とUTF-8変換を適用することで追加コードを明らかにします。

復号されたモジュールは、被害者IDの生成(%LocalAppData%\config.txtに書き込み)と、accurate-sprout-porpoise[.]glitch[.]meへのC2通信を担当します。

Image
イスラエル国家防衛庁が観測したドメイン(出典:pulsedive)

OSの詳細、コンピュータ名、ハードコードされたトークン(GILNH9LX6TCZ9V8ZZSUF)を収集し、Borpos(AES-256、キー:kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B)で暗号化したうえで、IVを示すカスタム「Content-DPR」ヘッダー付きのPOSTで流出させます。

Image
エンコードされたデータを変換するために使用されるデータ操作コード(出典:Pulsedive)

¶で区切られたC2応答には、言語(PowerShell/C#)、base64コマンド、スレッド名、開始/停止フラグが含まれます。

TAMECATはこれらをメモリ上で実行し、Chromeプロセスをサスペンドしつつ、Edgeのリモートデバッグを利用して認証情報を抽出します。

ハッシュ種別
SHA256(VBS) 5404e39f2f175a0fc993513ee52be3679a64c69c79e32caa656fbb7645965422
SHA256(ローダー) bd1f0fb085c486e97d82b6e8acb3977497c59c3ac79f973f96c395e7f0ca97f8
SHA1(ローダー) 0ef4f7a8d7b1d34e10faa0bca1dcb76a518dd417
MD5(ローダー) 081419a484bbf99f278ce636d445b9d8

TAMECATは%LocalAppData%にChromeディレクトリを作成し、保存されたログイン情報を標的にします。ブラウザのデバッグプロトコルを悪用して、ディスク書き込みなしで認証情報をダンプします。

Image
復号されたデータ(出典:Pulsedive)

難読化には、配列フラグメント、ワイルドカード、文字列置換などが含まれ、PowerStarの亜種と共通する特徴が見られます。​

User-agentはChrome 119を模倣しています:「Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36…」。Discordのようなプラットフォームは、Telegramを補完してC2の柔軟性を高めます。

MITRE ATT&CK マッピング

  • T1059.001: PowerShellの実行。
  • T1547: ブート/ログオン自動起動(永続化の疑い)。
  • T1555: パスワードストアからの認証情報(Edge/Chrome)。
  • T1071.001: Webプロトコル(HTTPS C2)。
  • T1027: 難読化されたファイル/情報。

wscriptがPowerShellを生成するようなプロセスチェーンを検知するために、EDR/AVを導入してください。PowerShellのスクリプトブロックログを有効化し、実行ポリシーを署名済みスクリプトのみに制限してください。VBScriptがインタプリタを起動する挙動や、異常なブラウザデバッグを監視してください。

TAMECATは進化を続けていますが、多層防御により高価値ターゲットへの影響を抑えられます。国家支援の脅威が増大する中、組織はブラウザのセキュリティとログ取得を優先すべきです。

翻訳元: https://gbhackers.com/tamecat-targets-edge-chrome-credentials/

ソース: gbhackers.com
#APT42 #Google Chrome #Microsoft Edge #MITRE ATT&CK #PowerShellバックドア #TAMECAT #TelegramボットC2 #イラン国家支援ハッキング #スピアフィッシング #認証情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚