MgBotは、Windows向けのモジュラー型マルウェアです。
新しいものではなく、以前から観測されています。
モジュラー型であるため非常に高機能で、侵害先の調査機能から情報収集とその持ち出しまで各種機能が実装されています。
このMgBotはEvasive Panda APTグループが使用しているものですが、このMgBotを持ち込む新たな活動が確認されています。
内容を見てみましょう。
- DNSポイズニング
Evasive PandaはDNSポイズニングを使用して侵害行為を展開します。
攻撃者はdictionary.comを含む正規WebサイトのDNS応答を改ざんし、地理的位置やISPの所属に基づいて被害者のシステムを攻撃者管理のインフラへリダイレクトしました。
実際にこのDNS応答の改ざんを実現するためにどういった手法が使用されたのかの詳細については明らかになっていませんが、被害者の使用する何らかのネットワーク機器を使用するなどしこの行為を実現しています。
DNSポイズニングが、狙った被害者の条件に該当する通信のみを次の段階の攻撃に進める、1段階目の侵害手順となっています。 - PNG画像?
2段階目の始まりはPNG画像ファイルに偽装された暗号化状態のペイロードです。
これは解決先を勝手に変更された結果、C2から侵害されている環境に対して持ち込まれます。
持ち込まれるのですが、これは通信で持ち込まれ、そのままファイルとして侵害環境で保存されることなく、そのまま利用されます。
悪意ある内容であるこのペイロードが1度もファイルの状態でローカルに保存されることがないことから、この脅威活動を従来のセキュリティ機構で検出することは容易ではありません。
いわゆるファイルレスアタックです。 - ハイブリッド暗号
このペイロードとそのペイロードが使用する設定情報は、暗号化された状態でネットワーク経由で持ち込まれます。
その暗号は、複数の機構を組み合わせて実施されています。
Microsoftのデータ保護アプリケーションプログラミングインターフェース(DPAPI)とRC5アルゴリズムです。
このように複数の暗号化機構を組み合わせることで、暗号化されたものを復号化するためには想定された環境でないと復号化できないような状態にすることができています。
研究者が暗号化されたデータを復号化しようとしてもそれが容易でないため、分析することを困難にしています。 - 多数のC2
攻撃者はこの活動を維持するため、多数のC2を用意しています。
たとえいくつかのC2がテイクダウンされたとしてもC2群としてはすべてが停止することがないようにすることにより、攻撃を維持できる状態を作り出しています。
例えばある時点では、C2は10以上のIPで動作していることが確認されています。
これだけあればいくつかが停止されても全体としては機能を維持できてしまいそうです。
脅威アクターの活動内容は時間の経過とともに拡張されていきます。
手法は追加され、ローダーが追加され、ペイロードが追加されます。
特定の脅威アクター自身が新しい取り組みを思いついて作り出すというケースがあるでしょうし、他の脅威アクターの開始した新しい取り組みの考え方を同じように開始するということもあるでしょう。
防御側としても情報収集活動を緩めることなく継続し、実施できる対策に定常的に取り組んでいく必要があります。
Evasive Panda APT poisons DNS requests to deliver MgBot
https://securelist.com/evasive-panda-apt/118576/
| この記事をシェア |
|
|---|
