Earth Pretaは、アジア太平洋やヨーロッパを中心に世界各地の行政機関に対する攻撃活動を展開してきたAPTグループです。
これまで多くのキャンペーンを展開してきています。
Earth Pretaは、これまでもその活動内容を変化させながら攻撃キャンペーンを展開してきていることが確認されていますが、また活動内容が変化してきています。
- 入口はUSB
始まりはUSBメモリです。
USBメモリに仕込まれたHIUPANというワーム型マルウェアから攻撃が開始されます。
この攻撃キャンペーンでは、HIUPANがローダーとして使用されています。
HIUPANは以前から観測されているマルウェアですが、今回のキャンペーンで使用されているものは従来のものに改変が加えられたマルウェアとなっています。 - 感染と拡散
HIUPANの入っているUSBメモリがPCに接続されるとHIUPANの感染が開始します。
まずは自身をPCにコピーします。
そして、HIUPANは起動され、機能を開始します。
感染環境での活動の目的だけでなく、感染環境に接続される別のUSBメモリを監視し、別のUSBメモリが接続されると、そこにも自身を配置します。
横展開活動の仕込みの完了です。 - 本体はPUBLOAD
活動を開始したHIUPANはPUBLOADを侵害環境に持ち込みます。
PUBLOADは攻撃を構成する制御ツールの第1段階として動作します。
PUBLOADはWindowsに搭載された様々なネットワークコマンドを使用し、侵害環境のネットワークの情報を収集します。
ネットワークコマンドはcmd.exeから実行されます。
そして実行されるネットワークコマンドは、hostname、arp -a、whoami、ipconfig /all、netstat -ano、systeminfo、WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get、displayName /Format:List、wmic startup get command,caption、curl http://myip.ipip.net、netsh wlan show interface、netsh wlan show networks、netsh wlan show profiles、wmic logicaldisk get caption,description,providername、tasklist、tracert -h 5 -4 google.com、などです。
これらのコマンドの実行結果を使い、侵害環境での活動を広げます。
PUBLOADは第2段階の制御ツールとして使用するFDMTPを環境に設置します。 - FDMTP
FDMTPはマルウェアローダーです。
FDMTPは、データの持ち出しに使用するPTSOCKETを環境に設置します。
FDMTPはDLLサイドローディングで読み込まれる構造に仕立てられており、いくつもの防御を回避する仕組みが実装されています。
マルウェアの内部には活動に使用するネットワークの構成情報が埋め込まれているのですが、これはBase64とDESでエンコードおよび暗号化されています。
自動での検出が困難になる理由の一つとなっています。 - データの流出
このキャンペーンでのデータ流出経路は2つ用意されています。
1つはPUBLOADに搭載された機能で、もう1つはPTSOCKETです。
PUBLOADには、RARを使って情報をアーカイブし、それをFTPで外部に送信する機構が搭載されています。
FTPの実施は、一緒に持ち込んだcurlを使用します。
そして、PTSOCKETはファイル転送ツールです。
PTSOCKETはマルチスレッドで転送できる機構を持っていますので、これが利用される環境では高速にデータ持ち出しが行われることになります。
Earth Pretaの活動は変化し拡張されてきています。
いろいろな組織がターゲットになっていますが、APAC地域では、軍隊、警察、外務省、福祉、行政、教育機関などの政府機関を標的としたキャンペーンが展開されています。
ここで掲載した内容以外にも新しく手口が追加されてきています。
ツールの変更や拡張も頻繁に実施されていますので、対策を継続的に見直ししていく必要がありそうです。
Earth Preta Evolves its Attacks with New Malware and Strategies
https://www.trendmicro.com/en_us/research/24/i/earth-preta-new-malware-and-strategies.html
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- 企業・組織のサプライチェーンを守る:経済産業省が新たなセキュリティ対策評価制度(格付け)の構築へ
- ※「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2024年9月現在検討中の項目です。詳細は経済産業省より発表される最新の情報をご確認ください。 Bitsightと他...
-
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
サイバー領域
- APIキーや認証情報といった機密情報を
管理・保管するためのベストプラクティス
[クイックリファレンス(PDF形式)付き] - 本記事は、GitHubから流出した機密情報をリアルタイム検知するサービスを提供するGitGuardian社のホームページで公開されたレポートを日本語に翻訳したものです。 (原題)...
- APIキーや認証情報といった機密情報を