This post is also available in: English (英語)

概要

2019年4月、Unit 42はEmissary Panda脅威グループ(別名APT27、TG-3390、Bronze Union、Lucky Mouse)が、中東のある2国の政府組織の侵害を目的とし、Sharepointサーバーにwebshellをインストールした様子を観測しました。私たちは同攻撃グループが、最近パッチが公開された Microsoft SharePointの脆弱性(CVE-2019-0604)を悪用したものと考えています。当該脆弱性はリモートコード実行の脆弱性で、サーバーを侵害して最終的にwebshellをインストールするために使用されます。攻撃者は侵入先ネットワークでの追加活動実施のためさまざまなツールをアップロードしていましたが、これらのツールには、資格情報をダンプするものやネットワーク上のシステムを追加で検索し、さらに侵攻するためのツールが含まれています。特に注目に値するのは CVE-2017-0144の脆弱性をもつシステムを識別するためにそれらのツールが利用された点です。この脆弱性は、2017年のWannaCry攻撃で最もよく知られているEternalBlueにより悪用されたものと同じ脆弱性です。

この活動は、Saudi Arabian National Cyber Security Center(サウジアラビア国立サイバーセキュリティセンター)Canadian Center for Cyber Security(カナダサイバーセキュリティセンター)からの最近のセキュリティアラートで言及されているCVE-2019-0604を悪用するキャンペーンに関連しているようです。先のエクスプロイト後に利用されたツールに加え、攻撃者はこれらのwebshellを使用して正規の実行可能ファイルをアップロードします。この正規実行ファイルはDLLサイドローディングに使われ、Emissary Pandaによる攻撃であることが知られているコードと重複するコードを含む悪意のあるDLLを実行します。また、SharePointサーバー上にはChina Chopperのweblshellが見つかっています。同webshellはEmissary Panda脅威攻撃グループも使用するものです。

本稿では、これらの侵害されたSharePointサーバーで私たちが観測したツールと戦術の詳細を示し、これらがEmissary Pandaの脅威グループとどのように関連すると考えられるかを説明し、その調査結果をSaudi Arabian National Cyber Security CenterとCanadian Center for Cyber Securityの調査内容と相関し、調査で得られたIOCを提供します。本稿に詳述する活動については、こちらのAdversary Playbook(攻撃者のプレイブック)も参考にしてください。
攻撃の概要

このwebshellの活動は、2019年4月1日から2019年4月16日の間に2つの異なる政府機関がホストする3つのSharePointサーバーで行われ、攻撃者は3つのSharePointサーバーに合計24個のユニークな実行可能ファイルをアップロードしました。図1は、これらの実行可能ファイルが3つのwebshellにアップロードされた際のタイムラインを示しています。このタイムラインは3つのwebshellにまたがる3つの主な活動内容をグループ化したもので、2019年4月2日のごくわずかな時間枠内の2つの別々のwebshell(緑色とオレンジ色)で活動が行われた様子がうかがえます。またその2週間後の2019年4月16日には、3つめのwebshellに関連した活動が行われています。攻撃者は、これら3つのwebshellに同じツールをいくつかアップロードしていました。このことから、インシデント間の関係と、単一の脅威グループが関与している可能性が高いことが示唆されます。


図1 3つの関連webshell間でのファイルアップロードのタイムライン

webshellにアップロードされたツールのなかには、cURLのような正規のアプリケーションからMimikatzのようなエクスプロイト後に利用されるツールまでさまざまなものがありました。これら脅威攻撃者は、ネットワーク内の潜在的脆弱性をスキャンして悪用するツールもアップロードしていました。たとえばMS17-010 で修正された既知のSMB脆弱性は、ネットワーク上のほかのシステムに横展開する目的でEternalBlueによってよく悪用されているものです。また、攻撃者が 一般にEmissary Pandaに関連付けられているHyperBro と呼ばれるカスタムバックドアをアップロードしている様子も観測しました。webshellにアップロードされたさまざまなツールの機能から、同攻撃者はSharePointサーバーを侵害し、そこを上陸拠点として窃取した資格情報と脆弱性を使ってネットワーク内に横展開しようとしたものと見られます。

インストールされたwebshell

前述のとおり、2つの異なる組織でホストされている3つのSharePointサーバーにwebshellがインストールされている様子を確認しました。うち2つは同じ名前(errr.aspx )をもち、残りは error2.aspxというファイル名でした。webshellは、侵入先サーバー上で次のパスにホストされていました。

/_layouts/15/error2.aspx

/_layouts/15/errr.aspx

私たちは、攻撃者がやりとりしている様子を観測できたwebshellのひとつの収集に成功しました。それが前述のerror2.aspxというファイルです。 error2.aspxファイル(SHA256: 006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38 )はAntak webshellの亜種で、Nishangと呼ばれるレッドチーム演習ツールに含まれるものです。この特定のAntak亜種error2.aspxに含まれているのはバージョンv0.5.0で、2015年8月にv0.7.6に更新されたwebshellの古いバージョンです。この亜種には、ベーシックな認証機能とSQLクエリの実行機能が含まれています。攻撃者は、Antak v0.5.0をNishang GitHubリポジトリから入手した可能性があります。 また、SecWikiのGitHubにもAntak v0.5.0が存在しています。図2は、SharepointサーバーのひとつにロードされたAntak webshellを示しています。


図2 Antak webshell 「error2.aspx」がエクスプロイトツールのアップロードに使用されていた

私たちは上記のAntak webshellに脅威攻撃者が追加ツールをアップロードしている様子を確認しましたが、Sharepointサーバーにはほかにもいくつかwebshellがインストールされていました。これら追加のwebshellは具体的にはstylecs.aspx 、 stylecss.aspx、test.aspx です(表1参照)。なお、これらのファイルは、China Chopperのwebshellとの関連しているようです。ただし、複数の攻撃者がSharePointサーバーを悪用した可能性があるため、これらのwebshellすべてが同一の攻撃者によってインストールされたかどうかは確認できていません。たとえば、China Chopper関連のwebshellは、複数のグループが簡単にコピーして使用できる1行のJScriptコードであり、Antak webshellは、公開されているリポジトリから簡単に入手できます。ですが、China Chopperのインストール、Emissary Pandaとの関連が知られているカスタムペイロード、そしてAntak webshellのアップロードという内容から、これらの攻撃が関連したものである可能性が高いことは示唆されます。同脅威攻撃グループは 過去にもChina Chopperでサーバーを侵害したことがあるからです。

ファイル名 SHA256値
stylecs.aspx 2feae7574a2cc4dea2bff4eceb92e3a77cf682c0a1e78ee70be931a251794b86
stylecss.aspx d1ab0dff44508bac9005e95299704a887b0ffc42734a34b30ebf6d3916053dbe
test.aspx 6b3f835acbd954af168184f57c9d8e6798898e9ee650bd543ea6f2e9d5cf6378

表1 Sharepointサーバーでホストされている追加のwebshell

stylecs.aspx webshellは非常に重要な機能を果たします。同webshellの開発者は、HTTPリクエスト内で提供されるすべてのJScriptコードを実行するよう同webshellをJScriptで作成しているからです。 図3は、パラメータe358efa489f58062f10dd7316b65649eのURL内でbase64エンコード形式で提供されるJScriptを実行する同webshellのコードを示したものです。このパラメータ e358efa489f58062f10dd7316b65649eは興味深いことにChina Chopperの既知のパラメータである「t」という文字をMD5ハッシュにしたものです(次のセクションで説明)。


図3 China Chopperのコードがstylecs.aspx のSharePointサーバー上のwebshellで確認された

stylecss.aspxというwebshellは stylecs.aspxと非常によく似ています。前者は、e358efa489f58062f10dd7316b65649e というURLパラメータ内で提供されているJScriptを実行します。ただし、stylecss.aspx webshellはbase64でエンコードされたJScriptは受け付けません。攻撃者がURLセーフなテキストとして提供する平文のJScriptを受け付けます。 図4 は、stylecss.aspx内のコードを示しています。 図3と比較すると、上記にはBase64デコード関数 FromBase64String() がありません。


図4 China Chopperコード。stylecss.aspx というSharePointサーバー上のwebshell内で見つかったもの。

Sharepointサーバーから最後に抽出されたwebshellのファイル名はtest.aspx で、これは、 stylecs.aspx に非常によく似たwebshellでした。こちらもリクエストのURL内で提供されたbase64エンコード済みJScriptを実行します。ただし test.aspx webshellは、侵入先組織に関連するパラメータを使用してbase64エンコードのJScriptを取得し、それをブラウザ内で実行・表示します。test.aspx webshellには、HTTPレスポンスステータスを「404 Not Found」に設定するコードも含まれています。 これによりエラーページが表示されますが、提供されたJScriptは実行されます。 図5はtest.aspxファイル内のコードを示しています。


図5 China Chopperコード。test.aspx というSharePointサーバー上のwebshell 内で見つかったもの。  

セキュリティアドバイザリとのリンク

2019年4月に複数の国家安全保障機関がCVE-2019-0604の悪用に関するアドバイザリを公表しました。そのなかにSaudi Arabian National Cyber Security Center(サウジアラビア国立サイバーセキュリティセンター)Canadian Center for Cyber Security(カナダサイバーセキュリティセンター) のものも含まれていました。これらのアドバイザリはいずれも、攻撃者がCVE-2019-0604を使ってSharePointサーバーを侵害し、China Chopper webshellをインストールする攻撃キャンペーンについて説明したものです。これらのアドバイザリで説明されている内容のすべてを確認することはできませんが、私たちが確認した、侵害されたSharePointサーバー上にホストされているwebshellと、これらのアドバイザリで言及されているwebshellとが重複していることがわかりました。

Saudi Arabian National Cyber Security Centerのアドバイザリには、攻撃者の活動に関する詳細が提供されています。当該アドバイザリには、攻撃で観察されたChina Chopper webshellに関連したコードも含まれていました。そのコードに Request.Item ["t"] という、URLの「t」パラメータからJScriptコードを取得するコードが含まれています。先のセクションでも述べたように、 stylecs.aspx とstylecss.aspxの両方がパラメータ e358efa489f58062f10dd7316b65649eを使用していますが、この文字列は「t」のMD5ハッシュ値です。このことから、Saudi Arabian National Cyber Security Centerのアドバイザリに記載された攻撃と、私たちが観測した攻撃との間で、攻撃者が全面的に同じ機能を保持しつつもスクリプトをわずかに変更したことが示唆されます。また、Saudi Arabian National Cyber Security Centerによるアドバイザリでは攻撃者が stylecss.aspxというファイル名を使ったと説明されていますが、このファイル名は、China Chopperに関連付けられているファイル名と同じファイル名でした。

Canadian Center for Cyber Securityからのアドバイザリには、同攻撃キャンペーンに関連するファイルのSHA256ハッシュのひとつとして、05108ac3c3d708977f2d679bfa6d2eaf63b371e66428018a68efce4b6a45b4b4 という値が含まれていました。これは、pay.aspxというファイルのハッシュ値でした。 pay.aspxファイルはChina Chopper webshellの一部で、上記で説明したstylecss.aspx webshell に非常によく似ています。主な相違は、URL内の「vuiHWNVJAEF」というURLパラメータのみで、同URLパラメータをpay.aspx webshellはJScriptの取得・実行に使用します。次の図6は stylecss.aspxと pay.aspx ファイルを比較したものです。


図6 stylecss.aspx webshellとpay.aspx webshell の比較。Canadian Center for Cyber Securityのアドバイザリで論じられているキャンペーンのもの

アップロードされたツール

この攻撃キャンペーンの調査中、Unit 42は、2つの政府機関の3つのwebshellに攻撃者がアップロードしたツールを複数収集しました。 図7は同一のツールがwebshellにアップロードされている様子を示したもので、ここから同攻撃キャンペーン活動同士がリンクしている最初の兆候が読み取れます。webshellにアップロードされたうち、重複しているツールの1つが、正規のcURLアプリケーションです。このツールは、複数のグループが使用している可能性があります。このほかに重複しているファイルとして、攻撃者がネットワーク上のほかのシステムを探索するために使うツール( etool.exe)や、MS07-010で修正されたCVE-2017-0144(EternalBlue)に対して脆弱であるかどうかを確認するツール( checker1.exe)、さらにImpacket (psexec.exe )の提供するPsExecと似た、リモート実行機能によってシステムへの展開を広げるツールなどが挙げられます。これらのツールは攻撃者がカスタム化したものではありませんが、これらの活動がリンクしているという確度を中程度に度裏付けるものです。私たちはこれに加えて、攻撃者がHyperBroバックドアをwebshellのひとつにアップロードしたこと、正規の実行ファイルがサイドローディングする悪意のあるDLL内に、Emissary Pandaの活動に紐付けられているコードとの重複が見られることも確認しました。

図7 SharePointサーバーでホストされている3つのwebshellにアップロードされたツール間の関係

攻撃者は10個のPEファイルをerror2.aspx webshellにアップロードしています(表2参照)。このwebshellにアップロードされたツールのリストには、cURLや悪意のあるDLLをサイドロードするために使用されるSublime Textのコンポーネントなど、正当なアプリケーションも含まれています。これについては次のセクションで説明します。またこのリストには、資格情報をダンプするためのMimikatzや、ローカルネットワーク上のほかのシステムの場所を突き止めて侵害するために使用されるコンパイル済みPythonスクリプトなど、いくつかのハッキングツールも含まれています。最後に、私たちは攻撃者がHyperBroと呼ばれるカスタムバックドアをアップロードしている様子を確認しました。このカスタムバックドアも過去のEmissary Pandaのオペレーションに関連しています。HyperBroツールの分析については後述します。

ファイル名 SHA256値 説明
m2.exe b279a41359367408c627ffa8d80051ed0f04c76fbf6aed79b3b2963203e08ade Mimikatzツールをパックしたもの
psexec.exe 7eea6e15bb13a3b65cca9405829123761bf7d12c6dc3b81ce499d8f6a0b25fb7 コンパイル済みのImpacket psexec
s.exe 04f48ed27a83a57a971e73072ac5c769709306f2714022770fb364fd575fd462 HyperBroバックドア
curl.exe abc16344cdfc78f532870f4dcfbb75794c9a7074e796477382564d7ba2122c7d 正規のcURL
curl.exe bbb9cd70fdc581812822679e6a875dcf5b7d32fd529a1d564948a5a3f6f9e3ab 正規のcURL
checker1.exe 090cefebef655be7f879f2f14bd849ac20c4051d0c13e55410a49789738fad98 コンパイル済みEternalBlue脆弱性チェック用スクリプト
etool.exe 38fa396770e0ecf60fe1ce089422283e2dc8599489bd18d5eb033255dd8e370c C#のツールでhttps://github.com/mubix/netviewから取得したものか?
plugin_host.exe 738abaa80e8b6ed21e16302cb91f6566f9322aebf7a22464f11ee9f4501da711 正規のSublime Textプラグインホスト
PYTHON33.dll 2dde8881cd9b43633d69dfa60f23713d7375913845ac3fe9b4d8a618660c4528 Sublime TextによってロードされるサイドロードDLL
curl.exe bbb9cd70fdc581812822679e6a875dcf5b7d32fd529a1d564948a5a3f6f9e3ab 正規のcURL

表2 SharePointサーバーにインストールされた error2.aspx webshellにアップロードされたユニークなツール

errr.aspx webshellは、ある政府機関のSharePointサーバーのひとつにホストされており、ここに17種類のツールがアップロードされた様子が確認されました。当該政府は図7の中心に記載されています。 表3は攻撃者がwebshellにアップロードしたことが確認されたツールをすべて表示しています。このリストには、資格情報のダンプ、リモートシステムの検索、利用、ネットワーク上のほかのシステムのピボット検索に使用されるツールが含まれています。

ファイル名 SHA256値 説明
smb1.exe 88027a44dc82a97e21f04121eea2e86b4ddf1bd7bbaa4ad009b97b50307570bd SMBバックドア、smbrelay3をベースにしたもの
mcmd.exe 738128b4f42c8d2335d68383d72734130c0c4184725c06851498a4cf0374a841 コンパイル済みzzz_exploit.py
mcafee.exe 3bca0bb708c5dad1c683c6ead857a5ebfa15928a59211432459a3efa6a1afc59 コンパイル済みzzz_exploit.py
dump.exe 29897f2ae25017455f904595872f2430b5f7fedd00ff1a46f1ea77e50940128e pwdump
checker1.exe d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333 コンパイル済みMS17-010 チェックツール
memory.exe a18326f929229da53d4cc340bde830f75e810122c58b523460c8d6ba62ede0e5 Mimikatzをパックしたもの
checker.exe 090cefebef655be7f879f2f14bd849ac20c4051d0c13e55410a49789738fad98 コンパイル済みMS17-010 チェックツール
psexec.exe 7eea6e15bb13a3b65cca9405829123761bf7d12c6dc3b81ce499d8f6a0b25fb7 コンパイル済みのImpacket psexec
etool.exe 38fa396770e0ecf60fe1ce089422283e2dc8599489bd18d5eb033255dd8e370c C#のツールでhttps://github.com/mubix/netviewから取得したものか?
smb.exe 4a26ec5fd16ee13d869d6b0b6177e570444f6a007759ea94f1aa18fa831290a8 SMBバックドア、smbrelay3をベースにしたもの
agent_Win32.exe b2b2e900aa2e96ff44610032063012aa0435a47a5b416c384bd6e4e58a048ac9 Termite
smb_exec.exe 475c7e88a6d73e619ec585a7c9e6e57d2efc8298b688ebc10a3c703322f1a4a7 httprelay
curl.exe bbb9cd70fdc581812822679e6a875dcf5b7d32fd529a1d564948a5a3f6f9e3ab 正規のcURL
incognito.exe 9f5f3a9ce156213445d08d1a9ea99356d2136924dc28a8ceca6d528f9dbd718b Incognito
nbtscan.exe c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e nbtscan
fgdump.exe a6cad2d0f8dc05246846d2a9618fc93b7d97681331d5826f8353e7c3a3206e86 pwdump
smbexec.exe e781ce2d795c5dd6b0a5b849a414f5bd05bb99785f2ebf36edb70399205817ee コンパイル済みImpacketのsmbexec

表3 SharePointサーバーにインストールされた errr.aspx webshell にアップロードされたユニークなツール

このうち2つのツール、特にコンパイル済みのzzz_exploit.py とchecker.py から、攻撃者がリモートシステムをチェックし、MS17-010用のパッチが適用されているかどうかを確認している様子がうかがえます。このMS17-010では、CVE-2017-0144(EternalBlue)の脆弱性が修正されています。また、Mimikatzとpwdumpツールを使用することにより、攻撃者が侵害したシステムで資格情報をダンプしようとしていることが示唆されます。私たちはまた、攻撃者がSMBのバックドア smb1.exeを実行するさいに使用したコマンドライン引数を収集することに成功しました。次の引数は、SMBバックドアを使用し、ドメインのユーザー名とアカウントのパスワードハッシュを使ってリモートホスト上で m.batというバッチスクリプトを実行しようとする攻撃者の様子を示しています(編集済み)。

c:\programdata\smb1.exe <10.0.0.0/8のIPアドレス> <ドメイン>\<ユーザー名> :<特定のパスワードハッシュ> winsk c:\programdata\m.bat

次のerrr.aspx webshellににアップロードされたPEファイル数ははるかに少ないことがわかりました。具体的には、 表4に示す3ファイルが確認されました。このwebshellにアップロードされたファイルには、 errr.aspx webshellでも確認された、CVE-2017-0144(EternalBlue)に対して脆弱なリモートシステムをスキャンするコンパイル済みPythonスクリプトが含まれていました。また、攻撃者が悪意のあるDLLをサイドロードする正規のMicrosoftアプリケーションをアップロードしていることを確認しました。これは、 error2.aspxwebshellにアップロードされたSublime TextプラグインホストがサイドロードするDLLと非常によく似たものでした。

ファイル名 SHA256値 説明
checker1.exe d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333 コンパイル済みMS17-010 チェックツール
CreateMedia.exe 2bb22c7b97e4c4d07e17a259cbc48d72f7e3935aa873e3dd78d01c5bbf426088 MicrosoftのSystem Center 2012 Configuration Managerからの正規のCreateMedia.exeアプリケーション
CreateTsMediaAdm.dll 06510504f30feb1adc7e423d5a24e67e5b97acbfafe40f253a054be8b1c4e8d7 CreateMedia.exeによってサイドロードされるDLL

表4 SharePointサーバーにインストールされた errr.aspx webshell にアップロードされたユニークなツール

Emissary Panda独自ツール

これらwebshellにアップロードされたツールの多くは広く公開されており、複数の脅威攻撃者が使用する可能性のあるハッキングツールです。ただし、webshellにアップロードされたツールのなかには、カスタムメイドで、おそらくEmissary Panda脅威攻撃グループに関連しているものもありました。

HyperBro

s.exe (SHA256: 04f48ed27a83a57a971e73072ac5c769709306f2714022770fb364fd575fd462 )は、error2.aspx webshell にアップロードされたツールで、HyperBroバックドアのひとつである自己解凍型7-zipアーカイブです。 KasperskySecureWorks の調査によれば、HyperBroはEmissary Pandaによって開発・使用されているカスタムメイドのバックドアです。このHyperBroのサンプルは、Kasperskyの調査で説明されたサンプルと似ています。特に、正当なpcAnywhereアプリケーションを使用してDLLをサイドロードし、「thumb.db」という名前のファイルに埋め込まれたペイロードを復号・解凍・実行する点が似ています。 表5は、このHyperBroサンプルに関連付けられている3つのファイルを示しています。これらのファイルは、Kasperskyのブログ(SHA256ハッシュ)に記載されている自己解凍型7zipアーカイブと同じファイル名でした(34a542356ac8a3f6e367c6827b728e18e905c71574b3813f163e043f70aa3bfaと2144aa68c7b2a6e3511e482d6759895210cf60c67f14b9485a0236af925d8233)。

ファイル名 SHA256値 説明
thinprobe.exe 76d2e897ca235beab44ee7eaab9ede7bc7868bbaeb7d6cb10b4323c07eb216af Symantec pcAnywhere ThinProbeアプリケーション
thinhostprobedll.dll d40414b1173d59597ed1122361fe60303d3526f15320aede355c6ad9e7e239af thinprobe.exeによってサイドロードされるDLL
thumb.db 270ea24f2cef655bd89439ab76c1d49c80caaa8899ffa6f0ef36dc1beb894530 サイドロードされたDLLによって実行される暗号化・圧縮されたDLLペイロードを含む

表5 SharePointサーバー上のwebshellにアップロードされたHyperBroツールに関連するファイル

機能を提供するペイロードは2019-03-11 02:23:54でコンパイルされたDLLで、バイナリにコマンドライン引数が与えられたかどうかによって2つの異なる役割を果たします。このコマンドライン引数は、-daemon と -worker です。 daemon の機能は、トロイの木馬のC2通信部分を処理することで、 185.12.45[.]134と 次のURLを使用してHTTPS経由で通信するよう設定されています。

hxxps://185.12.45[.]134:443/ajax

worker の機能は、C2サーバから受信したデータを処理することです。 このときのデータは daemon から worker へ名前付きパイプ(\pipe\testpipe)経由で渡されます。workerは受信したデータをコマンドハンドラに渡します。コマンドハンドラで使用可能なコマンドは次の 表6 のとおりです。

コマンド サブコマンド 説明
0x12 ファイルマネージャ
0x10 論理ストレージボリュームを列挙する
0x11 指定したファイルを削除する
0x12 ファイルをアップロードする
0x13 ファイルをダウンロードする
0x17 フォルダの内容を一覧表示する
0x19 アプリケーション(CreateProcessW)またはスクリプト/ファイル(ShellExecuteW)を実行する
0x13 シェルでコマンドを実行する
0x16 スクリーンショットを撮る
0x19 新しく作成したプロセス「msiexec.exe」に挿入するシェルコードを実行する
0x1a 特定のプロセスを強制終了する
0x1e サービスマネージャ
0x17 すべてのサービスとその構成を一覧表示する
0x19 指定したサービスを開始する
0x1a 指定したサービスを停止する

表6 HyperBroツールのコマンドハンドラ内で利用可能なコマンド

サイドロードされる未知のペイロード

上記の 表2と表4 には、DLLサイドローディングに使用される2つの正規実行可能ファイル、すなわちSublime Textの plugin_host.exe アプリケーションとMicrosoftのSystem Center 2012 Configuration Managerからの CreateMedia.exe アプリケーションが含まれています。 plugin_host.exe アプリケーションは python33 という名前のライブラリからいくつか関数をインポートします。このようにして正規のアプリケーションに悪質なDLLである PYTHON33.dll をサイドローディングさせています。私たちがSublime Textのプラグインホストアプリケーションがサイドローディングに使用された例を確認したのはこれが初めてです。プラグインホストアプリケーションのように、 CreateMedia.exe アプリケーションは CreateTsMediaAdm という名前のライブラリからいくつかの関数をインポートします。これにより、悪意のあるDLL CreateTsMediaAdm.dll をロードします。

PYTHON33.dll と CreateTsMediaAdm.dll ライブラリはBinDiffで見ると非常によく似ており、2つのDLLについては99%の確度で類似度が97%となっています。コードのdiffを 図8 に示します。右側が PYTHON33.dll の復号ルーチン、左側が CreateTsMediaAdm.dll です。いずれも8バイトのXORキーを使用して shikata_ga_nai という難読化シェルコードの断片を復号化します。このシェルコードは、正規アプリケーションのエントリポイントにパッチを適用し、シェルコード内で . hlp という拡張子を持つ( PYTHON33.hlp または CreateTsMediaAdm.hlp )ライブラリをロードする役割を果たす、別の関数を呼び出しています。


図8 サイドロードに利用される、2つのwebshellsにアップロードされたファイル CreateTsMediaAdm.dllと PYTHON33.dll のコード比較

残念ながら、私たちは PYTHON33.hlp 、 CreateTsMediaAdm.hlp のいずれも入手できませんでした。このため、これらのDLLのどちらかによってロードされた最終ペイロードがどのようなものかはわかりません。ただし、NCCグループが2018年5月に発表した調査の内容から、NCCグループがEmissary Pandaキャンペーンに関連していると特定したSysUpdateツールと、当該SysUpdateツールを実行するこれらのDLLやサイドローディングされたDLLとの間でコードに重複が見られることは確認できました。 図9 のコード比較は、 PYTHON33.dll (右)と inicore_v2.3.30.dll (左)(SHA256: 4d65d371a789aabe1beadcc10b38da1f998cd3ec87d4cc1cfbf0af014b783822 )とを比較したものです。後者は、以前のEmissary Pandaによる攻撃キャンペーンで使われたSysUpdateツールを実行するためにサイドロードされていたものでした。以下のコードの重複は、ロードする実行可能ファイルのエントリポイントを見つけ、エントリポイントにパッチを適用するために使用されるシェルコードの最初の部分を復号化するために同一の手法を含んでいます。


図9 webshellにアップロードされサイドローディングされる PYTHON33.dll と inicore_v2.3.30.dll ファイル
(以前のEmissary Panda 攻撃でサイドローディングに使用された)のコード比較

結論

Emissary Panda脅威攻撃グループはChina Chopper webshellを中東の2つの異なる政府組織のSharePointサーバーにロードしていました。私たちはこの攻撃について、高い確度でSharePointのリモートコード実行脆弱性(CVE-2019-0604)が関連しているものとみなしています。 Microsoftのアドバイザリ によれば、本脆弱性は2019年3月12日にパッチが適用されており、私たちが最初に同webshellによる活動を確認したのは2019年4月1日でした。このことから、同脅威攻撃グループは既知の脆弱性をいち早く取り入れ、インターネット上のサーバーをエクスプロイトし、標的ネットワークにアクセスできたことがわかります。

標的のネットワークに上陸拠点を築いた後は、China Chopperそのほかのwebshellを使って、追加ツールをSharePointサーバーにアップロードし、資格情報をダンプし、ネットワーク内を偵察し、ほかのシステムの探索を行っていました。私たちは同攻撃グループが、窃取した資格情報やMS17-010で修正されたCVE-2017-0144 (EternalBlue)脆弱性を悪用してネットワーク上のほかのシステムに展開したものと考えています。私たちはまた、これらの攻撃者が正規のツールをアップロードしてDLLサイドローディングを行っていた様子を観測しました。具体的にはSublime TextのプラグインホストとMicrosoftのCreate Mediaアプリケーションが使われていましたが、これらはいずれも過去にDLLサイドローディングに使用された事例が確認されていません。

パロアルトネットワークスのお客様は、次の方法でこの脅威から保護されています。

  • CVE-2019-0604の脆弱性には、Microsoft Sharepoint Remote Code Execution Vulnerability (55411) IPSシグネチャが対応済みです。
  • webshellにアップロードされた不正ツールはWildFireによりマルウェアと判定されます。
  • AutoFocusはHyperBroを使ってwebshellにアップロードされたことが確認されているカスタムメイドのEmissary Pandaペイロードを同タグで追跡できます。このほかのハッキングツールについては、次のタグで追跡できます(注意: これらのハッキングツールはEmissary Pandaだけでなく複数の攻撃グループが使っているものです):

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

IOC

WebshellのSHA256ハッシュ値

  • 006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38
  • 2feae7574a2cc4dea2bff4eceb92e3a77cf682c0a1e78ee70be931a251794b86
  • d1ab0dff44508bac9005e95299704a887b0ffc42734a34b30ebf6d3916053dbe
  • 6b3f835acbd954af168184f57c9d8e6798898e9ee650bd543ea6f2e9d5cf6378

悪意のあるハッキングツールとペイロードのSHA256ハッシュ値

  • 88027a44dc82a97e21f04121eea2e86b4ddf1bd7bbaa4ad009b97b50307570bd
  • 738128b4f42c8d2335d68383d72734130c0c4184725c06851498a4cf0374a841
  • 3bca0bb708c5dad1c683c6ead857a5ebfa15928a59211432459a3efa6a1afc59
  • 29897f2ae25017455f904595872f2430b5f7fedd00ff1a46f1ea77e50940128e
  • d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333
  • a18326f929229da53d4cc340bde830f75e810122c58b523460c8d6ba62ede0e5
  • 090cefebef655be7f879f2f14bd849ac20c4051d0c13e55410a49789738fad98
  • 7eea6e15bb13a3b65cca9405829123761bf7d12c6dc3b81ce499d8f6a0b25fb7
  • 38fa396770e0ecf60fe1ce089422283e2dc8599489bd18d5eb033255dd8e370c
  • 4a26ec5fd16ee13d869d6b0b6177e570444f6a007759ea94f1aa18fa831290a8
  • b2b2e900aa2e96ff44610032063012aa0435a47a5b416c384bd6e4e58a048ac9
  • 475c7e88a6d73e619ec585a7c9e6e57d2efc8298b688ebc10a3c703322f1a4a7
  • 9f5f3a9ce156213445d08d1a9ea99356d2136924dc28a8ceca6d528f9dbd718b
  • c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e
  • a6cad2d0f8dc05246846d2a9618fc93b7d97681331d5826f8353e7c3a3206e86
  • e781ce2d795c5dd6b0a5b849a414f5bd05bb99785f2ebf36edb70399205817ee
  • d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333
  • 06510504f30feb1adc7e423d5a24e67e5b97acbfafe40f253a054be8b1c4e8d7
  • b279a41359367408c627ffa8d80051ed0f04c76fbf6aed79b3b2963203e08ade
  • 7eea6e15bb13a3b65cca9405829123761bf7d12c6dc3b81ce499d8f6a0b25fb7
  • 04f48ed27a83a57a971e73072ac5c769709306f2714022770fb364fd575fd462
  • 090cefebef655be7f879f2f14bd849ac20c4051d0c13e55410a49789738fad98
  • 38fa396770e0ecf60fe1ce089422283e2dc8599489bd18d5eb033255dd8e370c
  • 2dde8881cd9b43633d69dfa60f23713d7375913845ac3fe9b4d8a618660c4528

HyperBroのC2

  • hxxps://185.12.45[.]134:443/ajax
  • 185.12.45[.]134
Enlarged Image