>
Insiktレポート

蛇の尻尾を飲み込む:Turlaインフラストラクチャの追跡

insikt-group-logo-updated-2.png

分析の全文をPDFでダウンロードするには、ここをクリックしてください

Recorded FutureのInsikt Group®は、最近のTurlaの活動に関する詳細な調査の一環として、Turlaマルウェアとインフラストラクチャの新しい検出方法を開発しました。 データソースには、Recorded Future® Platform、ReversingLabs、VirusTotal、Shodan、BinaryEdge、およびさまざまな OSINTツールが含まれていました。 この調査の対象読者には、ロシアの国家コンピュータネットワーク運用活動に関心のあるセキュリティ実務家、ネットワーク防御者、脅威インテリジェンス専門家が含まれます。

Executive Summary

Turlaは、Snake、WaterbugVenomous Bearとも呼ばれ、10年以上にわたり、世界中の研究組織、外交組織、軍事組織に対する作戦に関与しており、特に北大西洋条約機構(NATO)および独立国家共同体(CIS)の国々に対する活動に継続的に焦点を当ててきた、定評のある洗練された戦略的に焦点を当てたサイバースパイグループです。

多くの国家レベルの脅威アクターグループが、運用のためにオープンソースやコモディティソフトウェアに依存するようになっている一方で、Turlaは独自の高度なマルウェアとツールを開発し続け、新しい攻撃方法と難読化方法を採用しています。 これらのTTPを、古い手法や一般的なオープンソースツールと一緒に使用します。 これらの理由から、Insikt Groupは、Turla Groupが今後何年にもわたってアクティブで高度な脅威であり続け、独自の運用コンセプトで驚き続けると評価しています。

しかし、このグループの一貫したパターンと、長期にわたるキャンペーンのために独自のマルウェアの安定した定期的に更新されるバージョンを使用することで、防御側はTurlaのインフラストラクチャと活動を積極的に追跡し、特定できる可能性があります。 この調査では、Turlaの運用履歴を調査し、Turlaが現在使用しているインフラストラクチャを特定するための方法論を提供します。これは、Turlaに関連するいくつかのマルウェアタイプに焦点を当てています。 そのうちの2つ(複合的なMosquitoバックドアとハイジャックされたイランのTwoFace ASPXウェブシェル)の詳細については、このレポートで紹介しています。

Recorded Futureは、Recorded Futureプラットフォームで利用可能な追加のTurla関連マルウェアファミリーのさらなる調査と検出に関する詳細なレポートをクライアントに提供しました。

主な判断

  • Turla Groupは、マルウェアとC2通信の独自の機能に基づいて追跡できます。 さらに、Turlaは、検出や紛らわしい帰属の試みを避けるためにオープンソースツールを使用することで、ソースコードを分析とテストにすぐに利用できるため、研究者は迅速に分析して検出を構築することもできます。

  • 2019年6月、Turla Groupはイランの脅威グループであるAPT34のコンピューターネットワーク運用インフラストラクチャに侵入したことが判明しました。 これは、他国の国家主体による国民国家集団のコンピュータネットワーク運用の効果的な乗っ取りに相当し、前例のない行動であった。 Insikt Groupは、Turla GroupによるAPT34インフラストラクチャの使用は、主に日和見主義的な性質のものであり、イランとロシアの組織間で調整されていなかったと評価しています。

  • Recorded Futureは、NSA/NCSCのレポートに記載されているように、TwoFaceがTurlaが追加のホストにピボットするためにスキャンしていたイランのAPT34 ASPXシェルであると高い信頼性で評価しています。 2020年1月下旬の時点で生きているTwoFace砲弾も、Turla Groupの潜在的な運用資産である可能性があると評価しています。

  • 2019年、TurlaはマルウェアのインストールのためにPowerShellスクリプトに大きく依存し始めました。 以前は、Microsoftの脆弱性や電子メールサーバーも大きく標的にしていました。 また、Turlaは、C2インフラストラクチャの基盤として、侵害されたWordPressウェブサイトをよく利用しています。

  • 私たちが調査したマルウェアの中で、Turlaは主にコマンド&コントロール(C2)通信にHTTP/Sを使用しています。

背景

トゥーラは、2008年という早い時期にペンタゴンを標的とした作戦に関与していたとされ、現在に至るまでNATO諸国を標的にし続けている。 Turlaの主なターゲットには、出版会社やメディア企業、 大学/学界、政府機関が含まれ、多くの場合、特に科学研究やエネルギー研究、遠隔地や地域の外交問題、軍事データを対象としています。 Turlaは、ヨーロッパと CIS諸国を積極的にターゲットにしており、歴史的には外務省や国防省、および同様の政府機関や関連研究機関に焦点を当てています。

Turlaは、水飲み場型攻撃(訪問者をターゲットにするためにWebサイトを侵害する)と、特定の関心のあるエンティティを正確に攻撃するスピアフィッシングキャンペーンの使用で知られています。 Turlaは、衛星を使用して北アフリカや中東の遠隔地からデータを盗み出すなど、独創的で既成概念にとらわれない技術も使用しています。 このグループは、MeterpreterやMimikatzなどのオープンソースソフトウェアの変更されていないバージョンとカスタマイズされたバージョンの両方、およびGazer、IcedCoffee、Carbon、Mosquitoなどの特注のマルウェアを使用していることで知られています。

Turlaのオペレーターは、自分たちの目的を推進するために、サードパーティのインフラストラクチャを乗っ取ったり、偽の旗を使用したりもしています。 多くの場合、このグループは、侵害されたWebサイト(通常はWordPressサイト)を感染経路として、またC2通信の運用インフラストラクチャとして使用してきました。

2019年6月、シマンテックの研究者は、Turlaがイランの脅威グループである APT34のコンピューターネットワーク運用インフラストラクチャに侵入し、イランの運用情報を収集して流出させ、同時にイランのアクティブな被害者にアクセスしたと特定しました。

TurlaによるイランのAPT34作戦のハイジャックは、既存のAPT34被害者ネットワークを使用してWebシェルをスキャンして発見し、少なくとも35か国のIPアドレスで特定のWebシェルをスキャンすることの一部でした。 特定されると、Turlaはこれらの砲弾を使用して、関心のある被害者への最初の足がかりを得て、その後、さらなるツールを展開しました。

2015年に初めて観測されたTwoFaceは、主要なAPT34ウェブシェルであり、Recorded Futureは、TwoFaceがTurlaが追加のホストにピボットするためにスキャンしていたシェルであると高い信頼性で評価しています。 2020年1月下旬の時点で生きているTwoFace砲弾も、Turla Groupの潜在的な運用資産である可能性があると評価しています。

また、Turlaは自社のインフラストラクチャからAPT34 Poison FrogツールのC2パネルに直接アクセスし、このアクセスを使用して被害者にTurlaツールのダウンロードを任せました。

脅威分析

これまで、Turla Groupによるイランのコンピューターネットワーク運用リソースのハイジャックは、既知の脅威アクターの中でもユニークなものでした。この行動は、他国の国家主体による国民国家集団のコンピュータネットワーク運用の効果的な乗っ取りに相当した。

イランとロシアの組織が何らかの形で協力していた可能性はあるが、インシクト・グループが入手した証拠は、この説を支持していない。 たとえば、TurlaはAPT34のツールと運用について重要な洞察を持っていましたが、これらのツールが展開されている場所を見つけるために、イランのWebシェルをスキャンする必要がありました。 我々は、トゥラのイラン作戦への介入は、協調性のない、したがって敵対的な行為であった可能性が高いと評価している。

Insikt Groupは、Turla GroupによるAPT34インフラストラクチャの使用は、主に日和見主義的な性質のものであったと評価していますが、オペレーターにとっての追加の利点は、ツールがイラン製であると特定する可能性のあるインシデント対応者を欺いたことである可能性が高いです。 Turlaは、2012年に 中国と関連付けられたQuarianマルウェア を使用するなど、イランのツールを使用する前に、他の脅威アクターのマルウェアを再利用しています。 この事例では、Kasperskyのリサーチャーは、Turlaの攻撃者がQuarianマルウェアをダウンロードしてアンインストールし、インシデント対応者をディスカバリ後にそらして欺こうとしたと評価しました。

イランでの大胆なベンチャー以外にも、Turlaは他の運用および開発活動も並行して行っています。 2019年、TurlaはPowerShellスクリプトを多用するようになりましたが、これはおそらくディスク上の悪意のあるファイルの発見を回避するためだったと思われます。 この1年間で、彼らはPowerSploitと PowerShell Empire を使用して PowerShellスクリプトの使用を増やし 、独自のPowershellバックドアであるPowerStallionを開発しました。

Turlaはほとんどの場合、Microsoft Windowsオペレーティングシステムを標的にしていますが、意図的に電子メールサーバーを悪用しています。 LightNeuronバックドアは 、Microsoft Exchangeメールサーバー上で機能するように特別に設計されており、Outlookバックドアは 、ExchangeおよびThe Bat! (東ヨーロッパで人気)メールサーバーで動作するように設計されています。 メールサーバーを侵害することで、Turlaはターゲットネットワーク上のメールトラフィックを制御できるようになり、メールを監視するだけでなく、メールを作成、送信、さらにはブロックする機能も可能になります。

Turlaは、 C2として侵害されたWordPressサイト に依存しています。 また、 2014年以降、おそらくそれ以前にも、ペイロードの配信にWordPressに焦点を当てたURL名 を定期的に使用しています。 この傾向により、C2とペイロードURLのプロファイリングを行い、新しいTurlaインフラストラクチャを発見できます。

Turlaの運用は、さまざまなカスタムマルウェアに関連付けられています。 Insikt Groupは、2019年12月から2020年1月にかけてアクティブだったTurla関連のライブインフラストラクチャを検出するためのスキャンルールを作成するために、これらのマルウェアタイプのいくつかについてより詳細な分析を行いました。

Turlaの高度な検出分析

私たちの分析の焦点は、Turlaに関連するいくつかのマルウェアタイプに焦点を当てた、Turlaの識別方法の開発でした。 このレポートでは、複合バックドア「Mosquito」とハイジャックされたイランのWebシェル「TwoFace」の両方の分析について詳しく説明しています。

蚊コントローラーの検出

2018年1月、ESETは、侵入分析中にTurlaが使用していることを確認したMosquitoという名前の 新しいバックドアについて報告 しました。 Mosquitoの配送と設置には、次のような複数のコンポーネントがありました。

  • トロイの木馬化されたAdobeインストーラーの使用

  • Metasploitシェルコードを使用して、Adobe Flashインストーラーの正規のコピーとMeterpreterのコピーをダウンロードして、Mosquitoインストーラーのダウンロードとインストールを有効にします

  • 暗号化されたペイロードを持つインストーラー

  • プライマリバックドア「Commander」を実行するランチャー

Mosquito は、Win32リモートアクセストロイの木馬(RAT)です。 このマルウェアには、インストーラー、ランチャー、およびCommanderDLLと呼ばれることもあるバックドアコンポーネントの3つの主要なコンポーネントが含まれています。 Moskitoマルウェアは、 Metasploitシェルコードを最初に使用し 、被害者を制御するためにMeterpreterをインストールした後にドロップされました。 次の機能があります。

  • ファイルのダウンロード

  • 作成プロセス

  • ファイルの削除

  • ファイルのアップロード

  • シェルコマンドの実行

  • PowerShell コマンドの実行

  • C2サーバーを追加

  • C2サーバーの削除

Commanderは、Mosquitoバックドアの主要コンポーネントです。 本研究では、主にCommanderのC2通信に着目して分析を行いました。 Mosquitoパッケージのその他の側面の詳細については、 ESETの研究者によって徹底的な分析が行われました。

ESETがCommanderからC2への通信を分析した結果、コントローラーとの通信はHTTPまたはHTTPSで送信されていることがわかりました。 クライアント側では、データは GET リクエストのパラメーターとして、Cookie として、または POST のパラメーターとペイロードとして送信できます (下の画像を参照)。 コントローラー側では、応答とコマンドは HTTP ペイロードとして送信されます。

turla-apt-infrastructure-1-1.png

Mosquitoの「Commander」バックドアからのビーコンで、POSTパラメータとペイロードで暗号化されたデータが送信されます。

上記のように、コントローラーに送信されるデータはクリア テキストではありません。 まず、 Blum Blum Shub 擬似乱数ジェネレータ を使用して、クリアテキストデータの XOR エンコードに使用されるバイトストリームを作成する暗号化ルーチンで保護されます。 結果のデータは Base64 でエンコードされます。

暗号化または復号化するには、暗号化プロセスでキーとモジュラスが必要です。 ESETが報告したように、またInsikt Groupが分析中に観察したように、「0x7DFDC101」の係数はハードコードされています。 キーはハードコードされておらず、クライアントとコントローラー間の交換ごとにランダムに生成されるため、キーは送信ごとに異なります。 このランダム化されたキーは、C2通信の一部として送信され、簡単に抽出できます。 Insikt Groupのアナリストは、この擬似乱数発生器の実装を逆転させ、Pythonでデコーダースクリプトを作成しました。これは、 GitHubリポジトリにあります。

ESETのミラーリング分析により、Insikt Groupは、送信されるデータの先頭にヘッダー情報が付加されていることを発見しました。 ヘッダーは、復号化されると、次のフィールドで構成されます。

田畑 長さ 説明
スターティングキー DWORDの データの復号化に使用される開始キー
身分証明書 バイト C2 通信に使用されるさまざまな方法を示す値。 使用可能な ID には、0x85 (HTTP GET と可能なカスタム ヘッダー)、0x87 (HTTP POST 送信)、0x88 (HTTP GET と Cookie)、0x89 (HTTP GET) が含まれます
文字列の長さ バイト 文字列フィールドの長さ
変数 1-4 バイト ASCII 10 進数表現を表す 2 つの 16 進数バイト。 0x37,0x32 (HEX) == 72 (10進数) == H (ASCI)I
MACアドレス QWORDの ホストのMACアドレス
ヌル DWORDの
データ長 DWORDの URL 内のデータ セグメントの長さ
データ (URL) 変数 28 バイトのヘッダーとデータが含まれます。データは、ハードコードされたキー 0x3EB13を使用してBlum Blum Shubも暗号化されています。データがPOSTとして送信されると、このフィールドにはジャンク値が含まれることが確認されています
データ (POST) 変数 POST として送信されるデータには、URL メソッドのようなヘッダーは含まれていません。URL方式と同様に、データはハードコードされたキーを使用してBlum Blum Shub暗号化されます0x3EB13

Mosquito Commander のヘッダー情報を復号化しました。

Commanderバックドアをさらに分析すると、コントローラーから期待される応答はHTTP/Sパケットであり、ペイロードはBase64でエンコードされ、C2ビーコンパケットと同じ方法で暗号化されていることがわかります。 応答が正常にデコードされた場合は、最初のバイトがチェックされ、28 に等しい場合は、データの残りのバイトが解析されます。 最初のバイトが 0x27 に等しい場合、C2 応答では他に何も行われません。

turla-apt-infrastructure-2-1.png

Mosquito Commander C2 応答処理コード。

コマンダーパッシブスキャン

パッシブスキャンでは、urlscan.io などのオープンソースツールと、Insikt Groupが開発した独自のスキャン方法を使用して、侵害されたホストがコントローラーにビーコンを戻している証拠を探します。 クエリは、以下のリンクに示すように、GETまたはPOSTリソース文字列"/scripts/m/query.php?id="の静的な側面を検索します。

このクエリと urlscan.io の最近の結果の例を次に示します。

  • 204.193.62.62/scripts/m/query.php?id=eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO...

  • 204.193.62.62/scripts/m/query.php?id=eQV0AKBGOorB/sB6ZkIU0e+KQOWiwulq...

  • 77.232.99.77/scripts/m/query.php?id=eQV0AKBGOorB%2FsB6ZkIU0e%2BKQ...

上記のURLは、一般的なMosquitoのURLパターンと完全に一致します。 上記のPythonデコーダースクリプトを使用して、URLの暗号化された部分「eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO...」のデコードを試みることができます。スクリプトの結果を以下に示します。

turla-apt-infrastructure-3-1.png

復号された urlscan.io Commander URL 文字列。

デコードスクリプトを実行した後、侵害されたデバイスのID、文字列値、およびMACアドレスを抽出できるため、ヘッダーの先頭が正しくデコードされたと判断できます。 どちらのIPでも、データセクションをデコードすることはできませんが、IDが0x87であること、つまりこれがHTTP POSTであり、デコードする実際のデータがパラメータではなくHTTPペイロードにあることを考えると、これは予想されます。 この分析に基づいて、これらのIPがMosquitoコントローラーであると中程度の信頼性で評価します。

TwoFace Webシェル検出

TwoFace Webシェルは、 Palo Alto Unit42の研究チーム によって最初に発見および分析され、後に彼らが関連付けるOilRig(一般的にAPT34に関連付けられる)と呼ばれるグループに起因しています。 前述のように、TurlaはTwoFace ASPXのWebシェルの存在をスキャンし、Snakeやその他のマルウェアにアクセスしてダウンロードしようとしました。 これらのWebシェルの多くは、現在Turlaの運用資産であり、APT34の管理下にない可能性があると考えています。

TwoFace Webシェルは、実際には2つのシェルです:最初のローダーシェルと、オペレーターがWebサイトをより詳細に制御できるようにする2番目の完全に機能するWebシェルです。 どちらのコンポーネントも C# で記述されており、Active Server Page Extended (ASPX) ファイルを使用して操作し、ASP.NET をサポートする Web サーバー上で機能するように設計されています。 TwoFaceは、次の機能を備えたリモートアクセス型トロイの木馬です。

  • プログラムの実行

  • シェルコマンドの実行

  • ファイルのアップロード

  • ファイルの変更

  • ファイルの削除

  • ファイルのダウンロード

  • Timestomping (ファイル・タイム・スタンプの変更)

Webシェルへのアクセスは、下の画像のようなコントロールパネルから行います。 その後、脅威アクターは追加のアクションを実行するために認証を行う必要があります。 ただし、認証がなくても、この特定の.aspx ファイルは、TwoFace Webシェルの存在を十分に判断しています。

turla-apt-infrastructure-4-1.png

TwoFace Webシェルパネル。

TwoFace Webシェル検出の詳細

Insikt Groupは、TwoFace WebシェルのURLをスキャンする独自のツールを作成しました。 ツールを使用してTwoFace Webシェルをスキャンするために使用される構成は、次の表のとおりです。

ルール名 HTTP メソッド コレクションフィルター HTTP ヘッダー HTTP ペイロード 予期されるコントローラー応答 (RegEx)
Turla_TwoFace_Webshell_Detection 取得 .aspx 該当なし 該当なし "function use() { var n = document;var d = n.getElementById("d").innerHTML;d = d.substring(0, d.lastIndexOf('\\') + 1);n.getElementsByName("cmd")[0].value += d;n.getElementsByName("sav")[0].value += d;n.getElementsByName("ドン")[0].value += d;}”

TwoFace Webシェルのスキャナー構成。

この設定では、まず、パスに "*.aspx" ファイル名が含まれるすべての URL がソース リストから収集されます。 Recorded Futureスキャナーは各URLに接続します。 つなげることで、.aspxの中身を引っ張り出していきます ファイルを作成します。

turla-apt-infrastructure-5-1.png

.aspxの自動取得 ファイル。

次に、レスポンスで既知のTwoFace Webシェル文字列を検索し、URLがTwoFace Webシェルにつながるかどうかを判断します。 Insikt Groupのアナリストは、TwoFace Webシェルの指標として、下の画像のJavaScriptスニペットを使用しました。

turla-apt-infrastructure-6-1.png

TwoFace Webシェル検出で使用されるJavaScriptコード。

今後の展望

Turla Groupは巧妙な脅威アクターであり、多くの国家規模のグループが運用のためにオープンソースやコモディティソフトウェアに依存するようになっているにもかかわらず、Turlaは独自の高度なマルウェアを開発し続けています。 2019年後半に初めて観測されたTurlaの新種のマルウェアであるReductor RATは、そのようなイノベーションの一例です。Insikt Groupは、2020年もReductor RATの継続的な使用を見込んでいます。

Turlaは、GazerやOutlookバックドアを使用した仮想ファイルシステムなどの効果的な古い手法を引き続き使用しながら、Reductorのブラウザの擬似番号生成の変更などの新しい方法を一貫して採用し、最近の.NETやPowerShellバックドアなどの新しいツールを継続的に開発しています。

前述のように、これはTurlaが汎用ツールを使用しないという意味ではありません。Turlaは、Mosquitoバックドアの配信メカニズムとして、MimikatzやMetasploitなどのオープンソースツールを定期的に使用しています。

Turla Groupは、Insikt Groupによって、長年にわたって活動し、そのツールと実践を改善してきた、資金が豊富で先進的な国民国家グループであると評価されています。 そのターゲティングと慣行は時間の経過とともに変化すると予想していますが、Insikt Groupは、Turla Groupが今後何年にもわたって活発で高度な脅威であり続け、独自の運用コンセプトで驚かせ続けると評価しています。 しかし、このグループの一貫したパターンと、長期にわたるキャンペーンのために、独自のマルウェアの安定した定期的に更新されるバージョンを使用することで、将来的にそのインフラストラクチャと活動を積極的に追跡し、特定できる可能性があります。

関連