EastWind攻撃がLNKファイルを使ってPlugYとGrewApachaバックドアを展開
ロシア政府およびIT組織が、EastWindというコードネームのスピアフィッシングキャンペーンの一環として、多数のバックドアやトロイの木馬を配信する新たな攻撃の標的となっています。この攻撃チェーンは、RARアーカイブ添付ファイルを利用しており、Windowsショートカット(LNK)ファイルを含んでいます。このファイルを開くと感染シーケンスが起動し、CloudSorcererバックドアの更新版であるGrewApachaや、以前は文書化されていなかったPlugYと呼ばれるインプリントの展開に至ります。
PlugYは「CloudSorcererバックドアを介してダウンロードされ、広範なコマンドセットを持ち、コマンド&コントロールサーバーとの通信のために三つの異なるプロトコルをサポートします」とロシアのサイバーセキュリティ会社カスペルスキーは述べています。最初の感染ベクターは、DLLサイドローディング技術を用いて悪意のあるDLLファイルを起動するトラップされたLNKファイルに依存しており、Dropboxを通信手段として使用して偵察コマンドを実行し、追加のペイロードをダウンロードします。
DLLを使用して展開されたマルウェアの中には、以前中国に関連付けられたAPT31グループと関連することが知られているGrewApachaも含まれます。DLLサイドローディングを使用して起動され、攻撃者が制御するGitHubプロファイルをデッドドロップリゾルバとして利用し、実際のC2サーバーのBase64エンコードされた文字列を保存します。
一方、CloudSorcererは、ステルス監視、データ収集、Microsoft Graph、Yandex Cloud、およびDropboxクラウドインフラストラクチャを介したデータの流出に使用される高度なサイバー諜報ツールです。GrewApachaのケースと同様に、更新されたバリアントは、初期C2サーバーとしてLiveJournalやQuoraなどの正当なプラットフォームを利用しています。
「CloudSorcererの以前のバージョンと同様に、プロフィールの経歴にはクラウドサービスと相互作用するための暗号化された認証トークンが含まれています」とカスペルスキーは述べています。さらに、マルウェアが被害者のコンピュータ上でのみ起爆することを保証する暗号化ベースの保護メカニズムを利用し、実行時にWindowsのGetTickCount()関数から導出されたユニークなキーを使用します。
攻撃で観察された3番目のマルウェアファミリーは、TCP、UDP、または名前付きパイプを使用して管理サーバーに接続する完全な機能を持つバックドアのPlugYであり、シェルコマンドの実行、デバイス画面の監視、キーストロークの記録、およびクリップボードの内容のキャプチャの機能を備えています。
カスペルスキーは、PlugXのソースコード分析により、APT27およびAPT41として追跡される中国関連の脅威クラスターに帰属することが知られているDRBControl(別名Clambling)というバックドアとの類似点が明らかになったと述べました。「EastWindキャンペーンの背後にいる攻撃者は、GitHub、Dropbox、Quora、さらにロシアのLiveJournalおよびYandex Diskなどの人気のあるネットワークサービスをコマンドサーバーとして使用しました」と同社は述べています。
この開示は、カスペルスキーがロシアのガス供給に関連する正当なサイトを侵害し、機密データや支払いデータを収集し、スクリーンショットを撮り、追加のマルウェアをダウンロードし、興味のあるターゲットに対して分散型サービス拒否(DDoS)攻撃を展開するCMoonというワームを配布するウォータリングホール攻撃についても詳細に説明したことに続いています。
このマルウェアは、さまざまなウェブブラウザ、暗号通貨ウォレット、インスタントメッセージングアプリ、SSHクライアント、FTPソフトウェア、ビデオ録画およびストリーミングアプリ、認証ツール、リモートデスクトップツール、VPNからファイルやデータを収集します。「CMoonは、データ窃盗とリモート制御のための広範な機能を持つ.NETで書かれたワームです」と述べています。「インストール直後に、実行可能ファイルは接続されたUSBドライブを監視し始めます。これにより、攻撃者にとって潜在的に興味のあるファイルをリムーバブルメディアから盗むことができ、さらにワームをコピーして他のコンピュータに感染させることが可能になります。」