BlueVoyantの研究者によると、この作戦は社会工学的手法、悪意のあるインストーラー、秘密の指令統制(C2)通信を組み合わせて、標的ネットワーク内での永続的なアクセスを獲得しています。
「マルウェアのローダーはサンドボックス回避機能を備えており、キャンペーンの指令統制は、エンドポイントトラフィックを信頼された再帰的リゾルバーに限定する秘密のDNSメール交換ベースチャネルにシフトしたようです」と述べた研究者たち。
Teams詐称攻撃チェーン内部
この活動は主に金融とヘルスケア部門の組織を標的としているようで、脅威アクター集団Blitz Brigantineとしても追跡されているStorm-1811に以前関連付けられていた戦術と密接に一致しています。
このグループはBlack BastaとCactusなどのランサムウェア作戦に関連しており、初期アクセスを取得するために社会工学を使用してから、マルウェアを展開したり、後続のランサムウェア攻撃を開始することで知られています。
このキャンペーンでは、攻撃者はまず内部ITスタッフに成りすまして社会工学的手法を通じてアクセスを取得します。
被害者がアクセスを許可するよう説得した後(多くの場合、Quick Assistなどのリモートサポートツールを通じて)、攻撃者は正当なTeams関連ソフトウェア更新に見えるように設計された悪意のあるMSIインストーラーパッケージを展開します。
これらのインストーラーはUpdate.msiやUpdateFX.msiなどの名前を頻繁に使用し、通常のエンタープライズワークフローに溶け込むように作成されています。
DLLサイドローディングを通じて配信されるマルウェア
実行されると、インストーラーはTeamsアドインまたはクロスデバイス機能に関連する場所を含む、Microsoftサービスに一般的に関連付けられたディレクトリにファイルをドロップします。
パッケージは通常、攻撃者が制御するDLLファイルの横に正当なMicrosoft署名付きバイナリの混合を含みます。
この組み合わせはDLLサイドローディングとして知られる手法を可能にします。ここで、信頼できるアプリケーションが同じディレクトリに配置された悪意のあるライブラリをロードし、攻撃者のコードが正当なMicrosoftコンポーネントから発生するように見えながら実行されます。
感染チェーンの中心にあるのは、hostfxr.dllという名前の悪意のあるDLLで、正当なMicrosoft .NETホスティングコンポーネントに成りすましています。
予想される機能を実行する代わりに、このDLLはファイル内に埋め込まれた隠されたマルウェアを復号化して実行するローダーとして機能します。
悪意のあるバージョンは、信頼できる実行可能ファイルによってロードされている間、疑いを避けるために正当なコンポーネントに密接に似ているように設計されています。
ローダーは難読化と分析防止技術を使用
ローダーは、セキュリティ調査を遅延または中断させることを目的とした複数の分析防止技術を組み込みます。
1つの例は、Windows CreateThread APIを繰り返し呼び出して多数のスレッドを生成することです。
この動作は通常の実行中にはほとんど影響を与えませんが、デバッグツールを圧倒し、動的分析を遅くしたり、デバッグ環境を実際にクラッシュさせたりすることもあります。
悪意のあるDLLにはその.dataセクションに埋め込まれた暗号化されたペイロードデータも含まれます。
実行中、ローダーはASCII文字列crossdeviceservice.exeからキーを導出するカスタムアルゴリズムを使用してこのデータを復号化します。これはサイドローディングチェーンで使用される正当な実行可能ファイルの名前に対応しています。
復号化されると、ペイロードはメモリに書き込まれ、シェルコードとして実行されます。
このシェルコードは追加の難読化制御ロジックレイヤーを導入します。
その文字列と機能コンポーネントの多くはランタイムまで暗号化されたままであり、アナリストが静的分析を通じてその動作を特定するのを防ぎます。
シェルコードは最初に、実行可能ファイルに関連付けられたミューテックスを作成して、一度に1つのマルウェアインスタンスのみがシステム上で実行されることを確認します。
マルウェアは時間ベースの実行メカニズムも組み込みます。
現在のシステム時間を計算し、それをおよそ55時間続く実行ウィンドウに分割します。
マルウェアが予想される時間スロットの外で実行される場合、ペイロードの復号化に使用される暗号化値が変わり、埋め込まれたマルウェアが正常に実行されるのを防ぎます。
この手法は、研究者または自動分析システムがペイロードをトリガーする可能性を減らすのに役立ちます。
さらに、シェルコードはサンドボックスまたは仮想化環境を検出しようと試みます。
それはシステムファームウェアテーブルをクエリし、分析環境で使用される仮想化プラットフォームであるQEMUなどの指標を検索します。
そのような指標が見つかった場合、マルウェアはキー生成ロジックを変更し、ペイロード復号化を防止し、実質的にその真の機能を隠します。
これらのチェックが完了すると、シェルコードは最終ペイロードA0Backdoorを復号化して実行します。
A0BackdoorはDNSトンネリングを指令統制に使用
A0Backdoor自体は、実行後、ステルスで動作するように設計されています。感染チェーンの初期段階と同様に、それはメモリ内でのみコア機能を復号化し、伝統的なセキュリティスキャンから動作を隠すのに役立ちます。
アクティブになると、バックドアはGetComputerNameW、GetUserNameExW、DeviceIoControlなどのWindows APIを使用して識別情報を収集することにより、侵害されたシステムをフィンガープリント処理し始めます。
このデータにより、攻撃者は感染したシステムを一意に識別できます。
攻撃者インフラへの直接接続を確立する代わりに、マルウェアは指令統制(C2)通信に秘密のDNSトンネリング手法を使用します。
感染したホストは、パブリックDNSリゾルバーにエンコードされたシステムメタデータを含む特別に作成されたDNSクエリを送信します。
その後、これらのリゾルバーは感染したシステムに代わって攻撃者が制御する権限のあるDNSサーバーをクエリします。
攻撃者はホスト名フィールドに埋め込まれたエンコードされたコマンドデータを含むDNS MXレコードで応答します。マルウェアはこのデータを抽出してデコードし、オペレーターから指示を受け取ります。
感染したエンドポイントが攻撃者インフラに直接接触するのではなく信頼されたパブリックDNSリゾルバーとのみ通信するため、アクティビティは通常のネットワークトラフィックに混在する可能性があります。
このインダイレクト通信方法は、C2チャネルをディフェンダーが検出しにくくします。
組織が攻撃面を軽減する方法
組織は、エンドポイント、コラボレーションプラットフォーム、ネットワークモニタリング全体のセキュリティコントロールを強化することで、これらのキャンペーンからのリスクを軽減できます。
- リモートサポートツールを制限および監視する、Quick Assistおよび同様のユーティリティを許可されたヘルプデスク担当者に限定し、認証とセッションログを要求し、未知のまたは外部ソースから開始されたリモートセッションで警告します。
- アプリケーションホワイトリストを実装して、特にAppDataなどのユーザー書き込み可能なディレクトリに不正な実行可能ファイルまたはDLLの実行を防ぎます。
- DLLサイドローディングと疑わしいファイルアクティビティを監視する、Microsoft実行可能ファイルが予期しない、または署名されていないライブラリをロードすることを検出し、Teamsアドインまたはマイクロソフト関連AppDataパスなどのディレクトリを検査します。
- コラボレーションプラットフォームのセキュリティを強化する、外部マイクロソフトTeams通信を可能な限り制限し、条件付きアクセスポリシーを強制し、ユーザーがリモートサポートリクエストを受け入れる前に検証手順を要求します。
- DNSセキュリティ監視を改善する、ログを分析して、高エントロピーサブドメイン、異常なMXレコードクエリ、またはDNSトンネリングアクティビティを示す可能性のある過度な一意のDNSリクエストを検出します。
- EDRツールを使用して、疑わしいメモリ実行、プロセスインジェクション、異常なスレッド作成、およびマルウェアローダーとシェルコード実行に関連するその他の動作を特定します。
- インシデント対応計画を定期的にテストし、攻撃シミュレーションツールを使用します。
これらの対策を合わせると、組織は運用レジリエンスを強化し、疑わしいアクティビティをより早く検出し、攻撃者がアクセスを獲得した場合の潜在的な被害の範囲を制限するのに役立ちます。
このキャンペーンは、攻撃者が社会工学と正当なエンタープライズツールを組み合わせて初期アクセスを取得する、より広いパターンを反映しています。
Microsoft Teamsなどのコラボレーションプラットフォームを通じてITスタッフに成りすまし、組み込みのリモートサポートユーティリティを使用することで、攻撃者は主に悪意のあるソフトウェアの検出に焦点を当てたディフェンスをバイパスできます。
DNS ベースの指令統制通信の使用は、攻撃者が疑わしいサーバーへの直接接続に依存するのではなく、通常のネットワークアクティビティに混在するようにインフラストラクチャを適応させている方法も示しています。
これらの戦術は、ユーザーとデバイスの継続的な検証が必要なゼロトラストソリューションの必要性の増加を強調しています。アクセスが許可される前に。
翻訳元: https://www.esecurityplanet.com/threats/teams-social-engineering-campaign-drops-a0backdoor-malware/
