APT37は、FacebookとTelegramを悪用し、改ざんされたWondershare PDFelementインストーラーを使用して、ステルスアクセスを獲得し、防衛関連の目標から機密データを流出させる新しい標的型侵入キャンペーンを実行しています。
このオペレーションは、APT37の社会工学とエビジョン技術の継続的な進化を示しており、プロセスインジェクション、悪用されたクラウドストレージ、画像を装ったペイロードを検出できる動作ベースのEDRが必要です。
オペレーターはまずフレンドリクエストを送信し、テーラーメイドされたトピックを使用してMessengerの1対1チャットで信頼を構築し、その後「より安全な」Telegramなどのチャネルに会話をシフトさせました。
暗号化された軍事兵器文書を共有するという名目で、アクターは専用のPDFビューアーが必要であると主張し、被害者にそのファイルを開くためのインストールを強要しました。
Genians Security Centerが分析したキャンペーンでは、APT37が北朝鮮の平壌と平沢からのものと主張する2つのFacebookアカウントを使用して、攻撃の前に特定のターゲットを特定およびスクリーニングしていました。
悪意のあるパッケージは、Telegram経由でパスワード保護されたZIP(例:「m.zip」)として配信され、偽のPDFビューアー実行可能ファイル、複数の軍事テーマの囮PDF、および「コムプュータ」、「プログラム」、「ファイル」などの北朝鮮風のスペルを使用した韓国語の「指示」テキストファイルがバンドルされており、DPRK関連をサポートしています。
PDFelementインストーラーが改ざん
「専用ビューアー」は、「Wondershare_PDFelement_Installer(PDF_Security).exe」という名前の慎重に改ざんされたWondershare PDFelementインストーラーであり、正当なファイル名を模倣しながら、マスカレードとして「(PDF_Security)」を追加しています。
正式なインストーラーとは異なり、改ざんされたファイルは有効なWondershare デジタル署名がなく、修正を示しており、署名がないことは防御者にとって重要な検出指標です。
内部的に、アクターは通常のインストーラーの動作を保持し、.textセクションの末尾のコードケイブに約2 KBのシェルコードを挿入し、実行をそこに最初にリダイレクトするだけで、PE エントリーポイントを変更しました。
シェルコードはランタイムで「%windir%\System32\dism.exe」へのパスを構築し、PEBベースのハッシュルーチンを介してAPIを解決します。中断状態でdism.exeを起動し、VirtualAllocEx、WriteProcessMemory、CreateRemoteThreadを使用してメモリに復号化されたペイロードを挿入します。
悪意のあるシーケンスを完了した後、制御は元のエントリーポイントにフローバックし、正当なPDFエレメント設定が実行され、通常のインストール背後の侵害をマスキングします。
シェルコードには、ランタイムで正当な日本の不動産情報サービス上のC2 URLにデコードされる51バイトのXOR暗号化ブロブが含まれており、具体的にはソウルブランチパスで、「1288247428101.jpg」で終わります。
.jpg拡張子を使用し、画像を要求しているように見えますが、応答はXOR暗号化された2段階ペイロードとして扱われ、メディアコンテンツではありません。
最初のXORパスはリーディングバイトをキーとして使用してダウンロードされたデータを復号化し、結果が標準的なx86関数プロローグバイト(55 8B)で始まることを確認し、検証が失敗した場合は再試行でループします。
脅威アクターは、改ざんされたインストーラーのメイン機能を保持し、エントリーポイントのみを変更しました。
その後、2番目の復号化層は4バイトキーを使用してMZ/PE署名が削除されたPEイメージを再構築し、メモリ内で純粋にマップして実行され、完全にファイルレスで多段階の実行チェーンを完了します。
RokRAT のようなバックドア
最終ペイロードはAPT37のRokRATバックドアファミリーに強く類似しており、その機能にはシステム偵察、コマンド実行、スクリーンショットキャプチャが含まれており、C2用の正当なクラウドサービスの悪用の歴史があります。
マルウェアはホストの詳細、実行中のプロセス、ディスクレイアウト、パブリックIPとジオロケーションを収集し、DOC、XLS、PPT、PDF、HWP、TXT、M4A、AMRを含む拡張子のスクリーンショットと文書およびモバイルオーディオ録音を流出させます。
コマンド・アンド・コントロールはZoho WorkDriveのOAuth2 APIで実装されており、複数のクライアントID、クライアントシークレット、リフレッシュトークンがハードコードされて、通常のビジネストラフィックとブレンドされ、以前に報告されたAPT37アクティビティがZohoをステルスC2として使用するのに似ています。
収集されたデータは、アップロード前にAES-256-CBCで暗号化され、インプラントは特定のセキュリティ製品をチェックしたり、偽の「OfficeUpdate.exe」アップデーターをドロップしたり、ネットワーク動作をさらに難読化するために多数のユーザーエージェント文字列を循環させることができます。
キャンペーンの戦術は、HWPおよびLNKで配信されるRokRATからクラウドバック、ファイルレスインプラント、および多段階のXOR暗号化ローダーへのAPT37の文書化された進化と一致しており、C2用のZoho WorkDriveの繰り返しの悪用を含みます。
同じ日に作成されたFacebookアカウント、韓国語マーカー、インフラストラクチャーの重複、およびZohoアカウントと北朝鮮風の囮の歴史的使用により、このDPRK関連クラスターへの帰属がさらにサポートされます。
改ざんされたインストーラー、署名されたバイナリへのプロセスインジェクション、クラウドC2、および画像を装ったペイロードの大量使用を考えると、署名のみのコントロールでは不十分です。組織は、親子プロセスチェーン、署名されていない「アップデート」バイナリ、疑わしいdism.exeアクティビティの周囲に強いテレメトリを備えた動作ベースのEDRを展開する必要があります。
翻訳元: https://gbhackers.com/new-targeted-cyberattack/
