BlindEagleはAPT攻撃者です。
APT-C-36としても知られています。
2018年から活動が追跡されていますが、このグループは複雑ではない方法で活動を展開しています。
どんな内容なのでしょうか。
- 入口はフィッシング
活動の開始部分は、フィッシングメールです。
そのケースによって異なりますが、標的型スパイ攻撃ならスピアフィッシング、金融関連情報入手の攻撃なら一般的なフィッシングといった具合です。
いずれにしろ、入口はフィッシングです。 - 添付ファイルを使う
次の段階は、添付ファイルです。
攻撃によってこの段階の部分は変更されることがありますが、概ねこの部分はPDFファイルかMicrosoftのdocxファイルです。
これらのドキュメントにはURLが埋め込まれています。
文面などのつくり込みで、このURLをクリックさせます。 - 攻撃対象の絞り込み
URLをクリックすると、通信はURL短縮サービスに向かいます。
このサイトでは通信元の国や地域によって解決されるURLが変化する機構が利用できるようになっています。
この機構を使用し、攻撃者はターゲットを選別します。
この機能により、効果的な攻撃を展開するということだけでなく、解析者による解析の機会を減らすという効能を手に入れていると考えられます。 - パブリックインフラストラクチャの悪用
攻撃が進捗する場合、初期ドロッパーが持ち込まれ、具体的な攻撃活動が現地で開始されます。
このように攻撃は多段階で展開されるのですが、中間段階の攻撃ツールの配布にはパブリックインフラストラクチャが悪用されます。
悪用されるのは、画像ホスティングサービス、pastebin、GitHubリポジトリ、DiscordのCDNなどです。
これにより、悪意ある通信であると判定されにくい状態を作り出しています。 - 手作りの中間ツール
初期ドロッパー以降、中間段階の攻撃を展開します。
ここで使われるツールは、この脅威アクターの自前のツールとなります。
作成にはVBSや.Netアセンブリが使用されます。 - プロセスホロウイング
最終的なツールを展開する際に、そのツールをどこで動かすかが重要になります。
BlindEagleはプロセスホロウイングを選択します。
一時停止状態の正当なプロセスを作成し、そのメモリをアンマップして悪意のあるペイロードに置き換え、最後にプロセスを再開して実行を開始します。 - 最終的なツールはオープンソースRAT
中間段階の攻撃ツールは自前でしたが、最終的な部分はオープンソースツールを使用します。
使用されるのは、AsyncRAT、njRAT、Lime-RAT、Quasar RAT、BitRATなどです。
これらに限られているということではなく、攻撃の目的によってツールが選択されているようです。
金銭目的の攻撃ならQuasar RATの修正版をバンキング型トロイの木馬として使う、とか、スパイ活動ならnjRATを使う、といった感じです。
この脅威アクターの活動内容には、驚くべき発明のような奇抜な内容は含まれていません。
他でもありそうな攻撃手法が組み合わせて使用され攻撃を成り立たせます。
その代わり、効果的な攻撃が実現できるように攻撃手順を頻繁に見直して新たな手口を追加していくということで成功率を高めているようです。
しかし、大きな意味でのTTPは一定の内容となっているとみられます。
これらの複雑ではない攻撃は、どうして成功するのでしょうか。
それは通常の安全対策が徹底できていない環境が多いから、このような攻撃でも十分に効果があるということなのかもしれません。
防御側としては、各種のとるべき方策の実施を継続することで対策するということになりそうです。
BlindEagle flying high in Latin America
https://securelist.com/blindeagle-apt/113414/
| この記事をシェア |
|
|---|
