ロシア-ネクサスUAC-0113ウクライナの通信プロバイダーのエミュレーション

編集者注:以下の記事は、レポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

このレポートでは、脅威アクティビティグループUAC-0113が使用する独自のインフラストラクチャについて紹介し、CERT-UAがSandwormに中程度の信頼度で関連付けています。 このアクティビティは、大規模な自動ネットワークトラフィック分析とオープンソースのレポートから導き出された分析の組み合わせによって特定されました。 このレポートは、サイバースペースおよびネットワーク防御者におけるロシア政府の活動に関連する戦略的および運用上の情報に従事する個人にとって最も興味深いものとなるでしょう。

Executive Summary

Recorded Futureは、ウクライナを含む複数の地理的地域の政府および民間組織を対象としたサイバースパイ活動を引き続き監視しています。 2022年8月以降、Recorded Futureは、ウクライナのコンピューター緊急対応チーム(CERT-UA)がUAC-0113として追跡している脅威活動グループが使用するコマンド&コントロール(C2)インフラストラクチャが着実に増加していることを確認しました。

UAC-0113は、CERT-UAによってロシアの持続的標的型脅威(APT)グループSandwormにリンクされています。 本レポートでは、Insikt GroupがUAC-0113インフラストラクチャの監視中に観察した傾向、例えばウクライナで運営されている通信プロバイダーを装った動的DNSドメインの定期的な使用などを取り上げており、ウクライナのエンティティを標的とするグループの取り組みが引き続き進行中であることを示しています。 ドメインマスカレードは、被害者のネットワークに脅威を与えるスピアフィッシングキャンペーンやリダイレクトを可能にする可能性があります。

Insikt Groupは、プロアクティブな敵対者インフラストラクチャ検出とドメイン分析技術の組み合わせを使用して、UAC-0113によるこの新たに発見されたインフラストラクチャの使用が、CERT-UAによって以前にグループに帰属していた他のインフラストラクチャ戦術、技術、および手順(TTP)と重複していると判断しました。 本レポートで提供される情報とTTPにより、防御側はUAC-0113による活動をより適切に検索し、防御することができます。

主な判断

• Insikt Groupは、CERT-UAによってSandwormに中程度の信頼度でリンクされているグループであるUAC-0113が使用する新しいインフラストラクチャを特定しました。 Sandwormは、ロシア連邦軍参謀本部の主要情報局/主要総局(GRU/GU)に所属するロシアのAdvanced Persistent Threat(APT)グループです。
• 特定されたステージングインフラストラクチャは、ウクライナ国内で活動する通信プロバイダーを装い、Colibri LoaderとWarzone RATマルウェアを展開するHTML密輸手法を介して悪意のあるペイロードを配信する傾向を続けています。
• この活動に関連して発見された観察されたおとり文書の意図は完全にはわかっていませんが、以前のUAC-0113ルアーと同様に、この地域での軍事行動を支援するためにウクライナを拠点とする標的に対して展開される可能性が高いです。
• DarkCrystal RATからColibri LoaderおよびWarzone RATへの移行は、UAC-0113が一般に入手可能なコモディティマルウェアを広範に使用しながらも継続的に使用していることを示しています。

背景

2022年6月24日、CERT-UAの レポート では、CERT-UAがロシアのGRU/GU(Main Intelligence Directorate/Main Directorate)関連の脅威グループであるSandwormに関連していると指摘するグループであるUAC-0113によるリモートアクセストロイの木馬DarkCrystal(RAT)の使用について詳述しました。 CERT-UAの報告書は、UAC-0113がDarkCrystal RATを展開する悪意のあるルアー文書を使用していたことを示しました。 この活動は、ウクライナの団体、特に法的支援の問題に関連してウクライナの軍人に関する情報を求める個人または団体を標的にした可能性があります。 このおとり文書のテーマは軍人の法的問題に焦点を当てていましたが、CERT-UAは、攻撃がウクライナの通信プロバイダーも標的にしている可能性が高いと指摘しています。

DarkCrystal RAT is a commodity malware dating back to at least 2018; a sample of the malware was posted to Hybrid Analysis in November of that same year. Since its initial discovery, reporting indicates that it has been offered for sale in underground forums, likely making it a tool of interest to a wide range of threat actor groups, including those entities seeking an infostealer that can hinder attribution efforts by government or security professionals. Analysis of infrastructure linked to UAC-0113 uncovered a newly identified malicious ISO file (SHA256: 1c6643b479614340097a8071c9f880688af5a82db7b6e755beafe7301eea1abf) as part of an HTML smuggling technique. The ISO file contained a lure document, written in Ukrainian, that masquerades as a request for discounts on fuel for citizens of the Oleksandrivka Raion (district), an area in Donetsk. Additionally, the ISO file delivers an executable that deploys both Colibri Loader and Warzone RAT to the target machine.

Colibri Loaderは、2021年8月にInsikt Groupによって最初に報告された、ユーザー「c0d3r_0f_shr0d13ng3r」によってXSSフォーラムでリースされているコモディティマルウェアです。 これは、依存関係のないWindowsオペレーティングシステムを対象とするアセンブリとCで記述されています。 2022年3月11日、Cloudsekの研究者は、Colibri Loaderを「感染したシステムにより多くの種類のマルウェアをロードするために使用されるマルウェアの一種」であり、「検出を回避するのに役立つ複数の手法」を備えていると 説明しました 。 2022年4月5日、Malwarebytesの研究者は、Colibri Loaderの動作についても 報告 し、「感染したコンピューターにペイロードを配信および管理する」機能など、その機能についてさらに詳しく説明しました。

Warzone RAT(別名Ave Maria Stealer)は、2018年から活発に開発されている人気のコモディティリモートアクセスツール(RAT)です。 アンダーグラウンドフォーラムや開発者のウェブサイト、warzone[.]WSです。 このマルウェアは、C / C ++で開発されたフル機能のRATとして宣伝されており、「使いやすく、信頼性が高い」と主張しています。

脅威と技術の分析

Insikt Groupは、CERT-UAから提供されたインテリジェンスを使用して、UAC-0113に関連するさらなるインフラストラクチャを発見しました。 明らかになった情報から、この脅威グループは、ウクライナ国内で活動する通信プロバイダーになりすまし続けている可能性が高いことが示唆されています。 インフラストラクチャの監視中に、Insikt GroupはHTMLコードに埋め込まれた悪意のあるISOファイルを確認し、ドメインと関連するIPアドレスがすでに運用されているか、まもなく運用可能になる可能性が高いことを示唆しています。

インフラ

図 1: 以前に報告されたインフラストラクチャと、このレポートで新たに説明したインフラストラクチャおよびアクティビティとのリンクを示す Maltego チャート。 付録B(出典:Recorded Future)を参照してください。

UAC-0113に関するCERT-UAの6月の レポート に記載されているドメイン、datagroup[.]ddns[.]ネットは、ウクライナの通信会社Datagroupになりすました可能性が高いです。 このドメインはIPアドレス31[.]7[.]58[.]82, また、別のドメインであるkyiv-star[.]ddns[.]網おそらく、ウクライナの通信会社Kyivstarになりすましている。

これらのドメインとそれに関連する共有IPアドレスの分析により、Subject Common Nameデータグループ[.]ddns[.]網。kyiv-star[.]ddns[.]ネットが見つかりました。IPアドレス31[.]7[.]58[.]図 82については、以下の図2で詳しく説明します。

図 2: IPアドレスのサーバーバナー 31[.]7[.]58[.]82 (出典:Shodan.io)

ett[.]ddns[.]網

Insikt Groupは、UAC-0113に関連する可能性のある別のドメインを特定しました。ddns[.]網 2022年7月7日から15日にかけて、IPアドレス103[.]150[.]187[.]121. ドメイン ett[.]ddns[.]netは、EuroTransTelecom LLCの正規ドメインであるett[.]ua、ウクライナの電気通信事業者。 この新しいインフラストラクチャには、ウクライナで運営されている通信プロバイダーを装ったドメインでのダイナミックDNSプロバイダーNO-IPの使用、無料のTLS証明書プロバイダーからのTLS証明書の使用、IPアドレス31[.]7[.]58[.]82 上記の 図 2 に示します。

図 3: ett[.]ddns[.]網 証明書登録イベント(出典:Recorded Future)

ダーケット[.]ddns[.]網

ett[.]ddns[.]網 ドメイン、SecurityTrailsバナー データは 、同様の名前のドメイン、darkett[.]ddns[.]網 同じIPアドレスでホストされている、103[.]150[.]187[.]121, ett[.]ddns[.]網。 ドメインdarkett.ddns[.]網 また、以前に観測されたドメインデータグループ[.]ddns[.]網。

図 4: July 16, 2022, server banner and HTML from scan of the IP address 103[.]150[.]187[.]121 on port 4443 (Source: SecurityTrails)

ドメインdarkett.ddns[.]網 2022年7月15日から16日にかけて、ドメインもIPアドレス94[.]153[.]171[.]42. IPアドレスの履歴DNS 94[.]153[.]171[.]42 また、ドメインkievstar[.]オンライン 2022年7月12日に。

図 5: ダーケット[.]ddns[.]網 証明書登録イベント(出典:Recorded Future)

キエフスター[.]オンライン

2022年7月12日、ドメインkievstar[.]オンライン IPアドレス94[.]から移動しました153[.]171[.]Cloudflareがホストする42から複数のコンテンツ配信ネットワーク(CDN)のIPアドレス。 ドメインkievstar[.]オンライン 2022年7月12日に作成されたLet's Encrypt TLS証明書 の詳細。

103[.]150[.]187[.]121, ett[.]ホプト[.]組織 およびstar-link[.]ddns[.]網

2022年8月1日、SecurityTrailsはIPアドレス103[.]150[.]187[.]121, ドメインett[.]ホプト[.]組織。 この TLS証明書 もZeroSSLによって提供され、2022年7月13日に作成されました。 2022年7月13日、ドメインett[.]ホプト[.]組織 IPアドレス217[.]77[.]221[.]199. このIPアドレスをさらに分析すると、ドメインの解像度、star-link[.]ddns[.]netは、2022年8月15日に、ロシアとの紛争で ウクライナを支援していると報じ られている通信会社、スターリンク(アメリカのメーカーSpaceXが運営)を再びなりすました可能性が高い。

図 6: JSON excerpts from August 1, 2022, scan of the IP address 103[.]150[.]187[.]121 on port 443 (Source: SecurityTrails)

図 7: スターリンク[.]ddns[.]ネットの インテリジェンスカード(出典:Recorded Future)

star-cz[.]ddns[.]網

ドメインstar-cz.ddns[.]網 2022年6月10日にCERT-UAによって報告された、IPアドレス103[.]27[.]202[.]127.さらに別のドメイン、kyivstar[.]オンライン また、この同じIPアドレスに解決されることもわかり、このドメインの使用は、ウクライナの通信プロバイダーをエミュレートするというテーマで継続されています。 前述の類似ドメインkievstar[.]オンライン この綴りはウクライナでは通常使用されていませんが、 以前は 国際社会で使用されており、歴史的にもソビエト時代に使用されており、現在はロシア国内の口語的な使用に持ち込まれているため、注目に値します。

ドメインからIPアドレスへの解決のタイムライン

図 8: 2022年5月から8月までのUAC-0113ドメインアクティビティのタイムライン(出典:Recorded Future)

HTML分析

ドメイン ett[.]ddns[.]網 スターリンク[.]ddns[.]網 キエフスター[.]オンライン およびIPアドレス 103[.]150[.]187[.]121 および217[.]77[.]221[.]199 すべてが、さまざまな時期に同じWebページをホストしています。 ウェブページには、ウクライナ語のテキスト「ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ」が掲載されており、これは「オデッサ地域軍事政権」と訳され、下の 図9 に示すように、英語では「ファイルは自動的にダウンロードされます」とされています。

図 9: 103[.] のスクリーンショット150[.]187[.]121 (出典:URLScan)

WebページのHTMLには、HTMLスマグリング手法を介して展開されるBase64でエンコードされたISOファイルが含まれています。 このISOファイルは、Webサイトにアクセスしたときに自動的にダウンロードするように設定されています。 以下の図 10 は、ファイルの HTML コンテンツを示しています。

図 10: IPアドレス103[.]150[.]187[.]121 (Base64でエンコードされたデータを削除した状態)、2022年8月8日(出典:URLScan)

Insikt Groupは、WebページのHTMLを検査し、ページの悪意のあるISO配信動作を支援する埋め込みJavaScriptを特定しました。 26 行目から 28 行目で for ループの機能をテストしても、変数 "binary" に保持されている Base64 でエンコードされたデータは変更されません。 for ループは、Base64 文字列を構成する文字から整数値 11 を削除しようとします。JavaScript は、char から整数を減算しようとするとエラーを生成し、その結果、その値は更新されません。 変数 "binary" の Base64 の内容は 、for ループを通過した後もまったく同じになり、冗長になり、Base64 データは引き続き ISO ファイルに正しくデコードされます。

UAC-0113 がこのルーチンを組み込んだ目的は、JavaScript では文字列が不変オブジェクトであるため、その機能が目的を果たさないため、オペレーターのエラーによるものである可能性があります。

注目すべきは、パロアルトのUnit42による レポート では、APT29が別のキャンペーンでISOファイルをダウンロードするために使用した同様のHTMLスマグリングルーチンについて詳しく説明しています(図 11を参照)。 APT29 がこのルーチンを最初に使用していたのはバイナリ配列であり、UAC-0113 の冗長な for ループの本来の目的を明らかにするのに役立つ可能性があります。 APT29のHTMLおよびJavaScriptコードは、上の 図10 に示したUAC-0113リンクサンプルと同様の重複があります。

編集者注:この記事はレポート全文の抜粋です。 分析の全文を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。