APT37は、Facebook、Telegram、およびトロイの木馬化されたWondershare PDFelementインストーラーを悪用して、RokRATのようなバックドアを配信し、機密データを流出させZoho WorkDriveを通じて社会工学的駆動型のサイバー諜報キャンペーンを実行しています。
この作戦は、社会ネットワーク偵察、改ざんされたインストーラー、および多段階のファイルレスペイロード配信に向けたAPT37の長年のTTPの明確な進化を示しています。
Genians Security Centerは、APT37が北朝鮮の平壌と平澤をロケーションとして表示する2つのFacebookアカウントを使用して、防衛関連セクターのターゲットを特定およびスクリーニングした最近の侵入キャンペーンを分析しました。
オペレーターはまず友人リクエストを送信し、世間話を交わし、その後「暗号化された」軍事兵器文書などのより敏感なトピックを紹介する前に信頼を構築するためにFacebook Messengerに会話を移しました。
古典的なプリテキスト戦術を使用して、攻撃者はこれらのドキュメントが保護されており、「専用PDFビューア」でのみ開くことができると主張しました。これはMessenger経由またはTelegram経由で暗号化されたZIPアーカイブ(m.zip)として配信されました。
最終的なペイロードは、Zoho WorkDriveのOAuth2 APIをコマンド・アンド・コントロール基盤として悪用し、複数のクライアントID、シークレット、およびリフレッシュトークンがバイナリにハードコードされています。
デスクトップスクリーンショットをキャプチャし、cmd.exe経由で任意のコマンドを実行し、ホストおよびユーザー識別子を収集し、ドライブを列挙し、さらにipinfo[.]ioをクエリして公開IPおよび地理的位置を決定してから、暗号化されたチャネル経由でZoho WorkDriveにデータを流出させます。
ドキュメント(.DOC、.XLS、.PPT、.PDF、.HWP、.TXT)とスマートフォンオーディオファイル(.M4A、.AMR)を含むデータは、パッケージ化され、AES-256-CBCで暗号化され、正規のクラウドストレージトラフィックとシームレスにブレンドされる方法でアップロードされます。
マルウェアには、プロセスベースの製品チェック(たとえば、360 security)、OfficeUpdate.exeのような偽のアップデーター名、およびHTTPリクエストを偽装するためのブラウザのようなUser-Agent文字列のプールなどの回避機能も含まれています。
インフラストラクチャとペルソナレベルの手がかりは、APT37へのリンクを強化します。このオペレーションで使用された2つのFacebookアカウントは同じ日に作成され、北朝鮮の地域が表示されています。
関連するアクティビティは、脅威インテリジェンスベンダーが以前北朝鮮にリンクされたクラスターに関連付けたAstrill VPN IPに繰り返し解決されます。
これらのケースを通じて、RokRATのコア機能はほとんど変わっていませんが、配信と回避は、LNKおよびHWPベースのスピアフィッシングからDLLサイドローディング、ステガノグラフィー、そして現在Facebookドリブンの社会工学とトロイの木馬化されたインストーラーへと着実に進化し、静的IoC単独に基づいた検出をますます脆弱にしています。
防御者は、同様のキャンペーンが正規のソフトウェア、侵害または悪用されたウェブインフラストラクチャ、およびクラウドAPIをブレンドしてC2アクティビティを隠蔽し続けると想定する必要があります。
翻訳元: https://cyberpress.org/apt37-social-lure-campaign/
