蛇の尻尾を飲み込む:Turlaインフラストラクチャの追跡

蛇の尻尾を飲み込む:Turlaインフラストラクチャの追跡

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Recorded FutureのInsikt Group®は、最近のTurlaの活動を徹底的に調査する一環として、Turlaマルウェアとインフラストラクチャの新しい検知手法を開発しました。 データ情報源には、Recorded Future Platform®、ReversingLabs、VirusTotal、Shodan、BinaryEdge などが含まれていました。 OSINTツール。この調査の対象者には、ロシアの国家コンピュータネットワーク運用活動に関心のあるセキュリティ実務担当者、ネットワーク防御者、および Threat Intelligence 専門家が含まれます。

Executive Summary

スネークウォーターバグヴェノマスベアとしても知られるトゥーラは、確立され、洗練され、戦略的に焦点を当てたサイバースパイグループであり、10年以上にわたり、世界中の研究、外交、軍事組織に対する作戦に関与しており、特に北大西洋条約機構(NATO)および独立国家共同体(CIS)諸国内のエンティティ。

多くの国家レベルの脅威アクターグループが、運用のためにオープンソースやコモディティソフトウェアに依存するようになっている一方で、Turlaは独自の高度なマルウェアとツールを開発し続け、新しい攻撃方法と難読化方法を採用しています。 これらのTTPを、古い手法や一般的なオープンソースツールと一緒に使用します。 これらの理由から、Insikt Groupは、Turla Groupが今後何年にもわたってアクティブで高度な脅威であり続け、独自の運用コンセプトで驚き続けると評価しています。

しかし、このグループの一貫したパターンと、長期にわたるキャンペーンのために独自のマルウェアの安定した定期的に更新されるバージョンを使用することで、防御側はTurlaのインフラストラクチャと活動を積極的に追跡し、特定できる可能性があります。 この調査では、Turlaの運用履歴を調査し、Turlaが現在使用しているインフラストラクチャを特定するための方法論を提供します。これは、Turlaに関連するいくつかのマルウェアタイプに焦点を当てています。 そのうちの2つ(複合的なMosquitoバックドアとハイジャックされたイランのTwoFace ASPXウェブシェル)の詳細については、このレポートで紹介しています。

Recorded Futureは、Recorded Futureプラットフォームで利用可能な追加のTurla関連マルウェアファミリーのさらなる調査と検出に関する詳細なレポートをクライアントに提供しました。

主な判断

背景

トゥーラは、2008年には国防総省を標的とした作戦に関与しており、現在に至るまでNATO諸国を標的にし続けている。トゥーラの主な標的には、出版社やメディア企業、 大学/学界、政府機関が含まれ、多くの場合、科学およびエネルギー研究、遠隔地および地方の外交問題、軍事データを特に標的にしています。トゥルラはヨーロッパ やCIS諸国を積極的に標的にしており、歴史的に外務省や国防省、および同様の政府機関や関連研究機関に焦点を当てている。

Turlaは、水飲み場型攻撃(訪問者をターゲットにするためにWebサイトを侵害する)と、特定の関心のあるエンティティを正確に攻撃するスピアフィッシングキャンペーンの使用で知られています。 Turlaは、衛星を使用して北アフリカや中東の遠隔地からデータを盗み出すなど、独創的で既成概念にとらわれない技術も使用しています。 このグループは、MeterpreterやMimikatzなどのオープンソースソフトウェアの変更されていないバージョンとカスタマイズされたバージョンの両方、およびGazer、IcedCoffee、Carbon、Mosquitoなどの特注のマルウェアを使用していることで知られています。

Turlaのオペレーターは、自分たちの目的を推進するために、サードパーティのインフラストラクチャを乗っ取ったり、偽の旗を使用したりもしています。 多くの場合、このグループは、侵害されたWebサイト(通常はWordPressサイト)を感染経路として、またC2通信の運用インフラストラクチャとして使用してきました。

2019年6月、Turlaはシマンテックの研究者によって、イランの脅威グループであるAPT34のコンピューターネットワーク運用インフラストラクチャに侵入し、イランの運用情報を収集および漏洩すると同時に、イラン人の活動的な被害者にアクセスしたと特定されました。

TurlaによるイランのAPT34作戦のハイジャックは、既存のAPT34被害者ネットワークを使用してWebシェルをスキャンして発見し、少なくとも35か国のIPアドレスで特定のWebシェルをスキャンすることの一部でした。 特定されると、Turlaはこれらの砲弾を使用して、関心のある被害者への最初の足がかりを得て、その後、さらなるツールを展開しました。

2015年に初めて観測されたTwoFaceは、主要なAPT34ウェブシェルであり、Recorded Futureは、TwoFaceがTurlaが追加のホストにピボットするためにスキャンしていたシェルであると高い信頼性で評価しています。 2020年1月下旬の時点で生きているTwoFace砲弾も、Turla Groupの潜在的な運用資産である可能性があると評価しています。

また、Turlaは自社のインフラストラクチャからAPT34 Poison FrogツールのC2パネルに直接アクセスし、このアクセスを使用して被害者にTurlaツールのダウンロードを任せました。

脅威分析

これまで、Turla Groupによるイランのコンピューターネットワーク運用リソースのハイジャックは、既知の脅威アクターの中でもユニークなものでした。この行動は、他国の国家主体による国民国家集団のコンピュータネットワーク運用の効果的な乗っ取りに相当した。

イランとロシアの組織が何らかの形で協力していた可能性はあるが、インシクト・グループが入手した証拠は、この説を支持していない。 たとえば、TurlaはAPT34のツールと運用について重要な洞察を持っていましたが、これらのツールが展開されている場所を見つけるために、イランのWebシェルをスキャンする必要がありました。 我々は、トゥラのイラン作戦への介入は、協調性のない、したがって敵対的な行為であった可能性が高いと評価している。

Insikt Groupは、Turla GroupによるAPT34インフラストラクチャの使用は主に日和見主義的な性質であったと評価していますが、オペレーターにとっての追加の利点は、ツールがイラン産であると特定する可能性のあるインシデント対応者を欺いたことである可能性があります。Turla は、2012 年に 中国に起因する Quarian マルウェア の使用など、イランのツールを使用する前に、他の脅威アクターからのマルウェアを再利用してきました。その場合、カスペルスキーの研究者は、Turla 攻撃者が発見後のインシデント対応者をそらして欺くために、Quarian マルウェアをダウンロードしてアンインストールしたと評価しました。

大胆なイラン事業以外にも、トゥルラは他の運用および開発活動を並行して行っています。2019 年、Turla はディスク上の悪意のあるファイルの発見を回避するために、PowerShell スクリプトを多用し始めました。この年の間に、PowerSploit と PowerShell Empire を使用して PowerShell スクリプトの使用を増や し、独自の Powershell バックドアである PowerStallion を開発しました。

Turla はほとんどの場合、Microsoft Windows オペレーティング システムを標的にしていますが、電子メール サーバーも意図的に悪用しています。LightNeuron バックドアは Microsoft Exchange メールサーバーで機能するように特別に設計されており、Outlook バックドアは Exchange と The Bat! (東ヨーロッパで人気がある) 電子メールサーバーで動作するように設計されています。侵害、ハッキングメールサーバーは、電子メールを監視するだけでなく、電子メールを作成、送信、さらにはブロックする機能など、ターゲットネットワーク上の電子メールトラフィックの制御をTurlaに提供します。

Turlaは 侵害に依存しており、WordPressサイト をC2としてハッキングします。 また、 2014 年以降、場合によってはそれ以前から、ペイロード配信に WordPress に焦点を当てた URL 名 を定期的に使用してきました。この傾向により、C2 とペイロード URL のプロファイリングにより、新しい Turla インフラストラクチャを検出できます。

Turlaの運用は、さまざまなカスタムマルウェアに関連付けられています。 Insikt Groupは、2019年12月から2020年1月にかけてアクティブだったTurla関連のライブインフラストラクチャを検出するためのスキャンルールを作成するために、これらのマルウェアタイプのいくつかについてより詳細な分析を行いました。

Turlaの高度な検出分析

私たちの分析の焦点は、Turlaに関連するいくつかのマルウェアタイプに焦点を当てた、Turlaの識別方法の開発でした。 このレポートでは、複合バックドア「Mosquito」とハイジャックされたイランのWebシェル「TwoFace」の両方の分析について詳しく説明しています。

蚊コントローラーの検出

2018年1月、ESETは、侵入分析中にTurlaが使用していたMosquitoという名前の新しいバックドアについて報告しました。Mosquitoの配送と設置には、次のような複数の要素がありました。

Mosquito は Win32 リモート アクセス型トロイの木馬 (RAT) です。このマルウェアには、インストーラー、ランチャー、およびバックドア コンポーネント (CommanderDLL とも呼ばれる) の 3 つの主要コンポーネントが含まれています。Mosquito マルウェアは、 Metasploit シェルコードを最初に使用 し、被害者を制御するために Meterpreter をインストールした後、削除されました。次の機能があります。

コマンダーはモスキートバックドアの主要コンポーネントです。本研究では、主にコマンダーのC2通信に焦点をあてて分析した。Mosquito パッケージのその他の側面の詳細については、 ESET の研究者によって徹底的な分析が行われました。
CommanderからC2への通信のESETの分析によると、コントローラーとの間の通信はHTTPまたはHTTPSを介して送信されます。クライアント側では、データは GET リクエストのパラメーター、Cookie、または POST のパラメーターとペイロードとして送信できます (下の画像を参照)。コントローラー側では、対応とコマンドがHTTPペイロードとして送信されます。

Mosquitoの「Commander」バックドアからのビーコンで、POSTパラメータとペイロードで暗号化されたデータが送信されます。

上記のように、コントローラーに送信されるデータはクリアテキストではありません。これは、 まず、Blum Blum Shub擬似乱数ジェネレーター を使用して、クリアテキスト・データのXORエンコードに使用されるバイト・ストリームを作成する暗号化ルーチンで保護されます。結果のデータは Base64 でエンコードされます。

暗号化または復号化するには、暗号化プロセスでキーとモジュラスが必要です。ESETが報告したように、またInsikt Groupが分析中に観察したように、「0x7DFDC101」のモジュラスはハードコードされています。キーはハードコードされておらず、クライアントとコントローラー間の交換ごとにランダムに生成されるため、キーは送信ごとに異なります。このランダム化されたキーは、C2通信の一部として送信され、簡単に抽出できます。Insikt Groupのアナリストは、この擬似乱数ジェネレーターの実装を逆にし、 GitHubリポジトリにあるPythonのデコーダースクリプトを作成しました。

ESETのミラーリング分析により、Insikt Groupは、送信されるデータの先頭にヘッダー情報が付加されていることを発見しました。 ヘッダーは、復号化されると、次のフィールドで構成されます。

田畑
長さ
説明
スターティングキー
DWORDの
データの復号化に使用される開始キー
身分証明書
バイト
C2 通信に使用されるさまざまな方法を示す値。 使用可能な ID には、0x85 (HTTP GET と可能なカスタム ヘッダー)、0x87 (HTTP POST 送信)、0x88 (HTTP GET と Cookie)、0x89 (HTTP GET) が含まれます
文字列の長さ
バイト
文字列フィールドの長さ
変数 1-4 バイト
ASCII 10 進数表現を表す 2 つの 16 進数バイト。 0x37,0x32 (HEX) == 72 (10進数) == H (ASCI)I
MACアドレス
QWORDの
ホストのMACアドレス
ヌル
DWORDの
データ長
DWORDの
URL 内のデータ セグメントの長さ
データ (URL)
変数
28 バイトのヘッダーとデータが含まれます。データは、ハードコードされたキー 0x3EB13を使用してBlum Blum Shubも暗号化されています。データがPOSTとして送信されると、このフィールドにはジャンク値が含まれることが確認されています
データ (POST)
変数
POST として送信されるデータには、URL メソッドのようなヘッダーは含まれていません。URL方式と同様に、データはハードコードされたキーを使用してBlum Blum Shub暗号化されます0x3EB13


復号化された Mosquito Commander ヘッダー情報。
Commander バックドアをさらに分析すると、コントローラから予想されるレスポンスは、ペイロードが Base64 でエンコードされ、その後 C2 ビーコン パケットと同じ方法で暗号化された HTTP/S パケットであることがわかります。 レスポンスが正常にデコードされると、最初のバイトがチェックされ、それが 28 に等しい場合は、残りのデータバイトが解析されます。 最初のバイトが 0x27 に等しい場合、C2 応答では何も行われません。

Mosquito Commander C2 応答処理コード。

コマンダーパッシブスキャン

パッシブスキャンでは、urlscan.io などのオープンソースツールと、Insikt Groupが開発した独自のスキャン方法を使用して、侵害されたホストがコントローラーにビーコンを戻している証拠を探します。 クエリは、以下のリンクに示すように、GETまたはPOSTリソース文字列"/scripts/m/query.php?id="の静的な側面を検索します。

このクエリと urlscan.io の最近の結果の例を次に示します。

上記のURLは、一般的なMosquitoのURLパターンと完全に一致します。 上記のPythonデコーダースクリプトを使用して、URLの暗号化された部分「eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO...」のデコードを試みることができます。スクリプトの結果を以下に示します。

復号された urlscan.io Commander URL 文字列。

デコードスクリプトを実行した後、侵害されたデバイスのID、文字列値、およびMACアドレスを抽出できるため、ヘッダーの先頭が正しくデコードされたと判断できます。 どちらのIPでも、データセクションをデコードすることはできませんが、IDが0x87であること、つまりこれがHTTP POSTであり、デコードする実際のデータがパラメータではなくHTTPペイロードにあることを考えると、これは予想されます。 この分析に基づいて、これらのIPがMosquitoコントローラーであると中程度の信頼性で評価します。

TwoFace Webシェル検出

TwoFace Web シェルは、 Palo Alto Unit42 研究チーム によって最初に発見および分析され、後に、一般的に APT34 に関連付けられている OilRig として関連付けられたグループに起因しています。前述したように、Turla は TwoFace ASPX Web シェルの存在をスキャンし、Snake やその他のマルウェアにアクセスしてダウンロードしようとしました。これらのWebシェルの多くは、現在Turlaの運用資産であり、APT34の管理下になくなっている可能性があると考えています。

TwoFace Webシェルは、実際には2つのシェルです:最初のローダーシェルと、オペレーターがWebサイトをより詳細に制御できるようにする2番目の完全に機能するWebシェルです。 どちらのコンポーネントも C# で記述されており、Active Server Page Extended (ASPX) ファイルを使用して操作し、ASP.NET をサポートする Web サーバー上で機能するように設計されています。 TwoFaceは、次の機能を備えたリモートアクセス型トロイの木馬です。

Webシェルへのアクセスは、下の画像のようなコントロールパネルから行います。 その後、脅威アクターは追加のアクションを実行するために認証を行う必要があります。 ただし、認証がなくても、この特定の.aspx ファイルは、TwoFace Webシェルの存在を十分に判断しています。

TwoFace Webシェルパネル。

TwoFace Webシェル検出の詳細

Insikt Groupは、TwoFace WebシェルのURLをスキャンする独自のツールを作成しました。 ツールを使用してTwoFace Webシェルをスキャンするために使用される構成は、次の表のとおりです。

ルール名
HTTP メソッド
コレクションフィルター
HTTP ヘッダー
HTTP ペイロード
予期されるコントローラー応答 (RegEx)
Turla_TwoFace_Webshell_Detection
取得
.aspx
該当なし
該当なし
"function use() { var n = document;var d = n.getElementById("d").innerHTML;d = d.substring(0, d.lastIndexOf('\\') + 1);n.getElementsByName("cmd")[0].value += d;n.getElementsByName("sav")[0].value += d;n.getElementsByName("ドン")[0].value += d;}”


TwoFace Web シェルのスキャナー構成。
この構成では、まずパスに「*.aspx」ファイル名を持つ情報ソース リストからすべての URL が収集されます。 Recorded Future スキャナーは各 URL に接続します。接続すると、.aspxのコンテンツが取得されます以下の画像に示すようにファイルを作成します。

.aspxの自動検索ファイル。
次に、既知の TwoFace Web シェル文字列を対応して、URL が TwoFace Web シェルにつながるかどうかを判断します。 Insikt Groupのアナリストは、下の画像のJavaScriptスニペットをTwoFace Webシェルのインジケーターとして使用しました。

TwoFace Webシェル検出で使用されるJavaScriptコード。

今後の展望

Turla Groupは洗練された脅威であり、多くの国民国家グループがオープン情報源やコモディティソフトウェアへの依存度を高めているにもかかわらず、Turlaは独自の高度なマルウェアを開発し続けています。 2019 年後半に初めて観測された Turla の新しいマルウェアである Reductor RAT は、そのようなイノベーションの一例です。Insikt Groupは、2020年もReductor RATの使用が継続されると予想しています。

Turlaは、GazerやOutlookバックドアを使用した仮想ファイルシステムなどの効果的な古い手法を引き続き使用しながら、Reductorのブラウザの擬似番号生成の変更などの新しい方法を一貫して採用し、最近の.NETやPowerShellバックドアなどの新しいツールを継続的に開発しています。

前述のように、これはTurlaが汎用ツールを使用しないという意味ではありません。Turlaは、Mosquitoバックドアの配信メカニズムとして、MimikatzやMetasploitなどのオープンソースツールを定期的に使用しています。

Turla Groupは、Insikt Groupによって、長年にわたって活動し、そのツールと実践を改善してきた、資金が豊富で先進的な国民国家グループであると評価されています。 そのターゲティングと慣行は時間の経過とともに変化すると予想していますが、Insikt Groupは、Turla Groupが今後何年にもわたって活発で高度な脅威であり続け、独自の運用コンセプトで驚かせ続けると評価しています。 しかし、このグループの一貫したパターンと、長期にわたるキャンペーンのために、独自のマルウェアの安定した定期的に更新されるバージョンを使用することで、将来的にそのインフラストラクチャと活動を積極的に追跡し、特定できる可能性があります。