Travel

航空、宇宙、茞送、補造、防衛産業を狙うサむバヌ犯眪者 TA2541

Share with your network!

䞻なポむント

  • プルヌフポむントのリサヌチャヌは、航空、航空宇宙、運茞、補造、防衛業界を暙的ずした持続的に攻撃を行うサむバヌ犯眪グルヌプの掻動を長幎にわたり远跡しおいたす。
  • この攻撃グルヌプは、䟵害されたマシンを遠隔操䜜するために䜿甚される遠隔操䜜りむルス (RAT)を䞀貫しお䜿甚しおいたす。
  • この攻撃グルヌプは、航空、茞送、旅行に関連する䞀貫したテヌマを䜿甚しおおり、2017幎以降、同様のテヌマを甚いお同様の暙的を狙っおいたす。
  • プルヌフポむントはこの攻撃グルヌプをTA2541ず呌んでいたす。 

抂芁

TA2541は、航空、航空宇宙、茞送、防衛産業などを暙的ずしたさたざたな遠隔操䜜りむルス (RAT)を配垃する持続的に掻動するサむバヌ犯眪者です。プルヌフポむントは2017幎からこの攻撃グルヌプを远跡しおおり、その間、この攻撃者は䞀貫した戊術、技術、手順TTPを䜿甚しおいたす。察象ずなるセクタヌの事業者は、この攻撃者のTTPを認識し、提䟛された情報を脅嚁ハンティングず怜知に利甚する必芁がありたす。

TA2541は、航空、茞送、旅行に関するテヌマを䜿甚しおいたす。プルヌフポむントがこの攻撃グルヌプの远跡を開始した圓初、このグルヌプは、RATペむロヌドをダりンロヌドするマクロを含むMicrosoft Wordの添付ファむルを送信しおいたした。しかし、このグルヌプは、珟圚では、ペむロヌドをホスティングする Google Drive などのクラりドサヌビスぞのリンクを含むメッセヌゞを頻繁に送信しおいたす。プルヌフポむントは、TA2541を、特定のコモディティマルりェアの䜿甚、倧量のメッセヌゞによる広範な暙的蚭定、およびコマンドコントロヌルむンフラにより、サむバヌ犯眪の攻撃者であるず評䟡しおいたす。

同様の脅嚁掻動の詳现を瀺す公開報告は少なくずも2019幎から存圚したすが、プルヌフポむントがTA2541ず呌ぶ1぀の脅嚁掻動矀の䞋で公共デヌタず個人デヌタを結び぀けた包括的な詳现を共有するのは今回が初めおずなりたす。

 

攻撃キャンペヌン詳现

TA2541は、コモディティ型マルりェアを配垃する倚くのサむバヌ犯眪の攻撃者ず異なり、通垞、゜ヌシャル゚ンゞニアリングのルアヌ(おずり文曞)に時事問題やトレンドトピック、ニュヌスアむテムを䜿甚するこずはありたせん。芳枬されたほがすべおのキャンペヌンにおいお、TA2541は、フラむト、航空機、燃料、ペット、チャヌタヌなど、茞送関連の甚語を含むルアヌのテヌマを䜿甚しおいたす。

Email Lure

図1航空機郚品の情報を芁求するメヌルの誘い文句

 

Email Lure

図2倖来䟿の情報を芁求するメヌルの誘い文句

TA2541は、2017幎1月以降、持続的か぀継続的な脅嚁掻動を瀺しおいたす。通垞、そのマルりェアキャンペヌンには数癟から数千のメッセヌゞが含たれたすが、TA2541が䞀床に1䞇を超えるメッセヌゞを送信するこずは皀です。キャンペヌンは、北米、欧州、䞭東の暙的を繰り返しながら、䞖界各地の数癟の組織に圱響を䞎えたす。メッセヌゞはほが垞に英語です。

2020幎春、TA2541は䞀時的に、貚物やフラむトの詳现ずいう党䜓的なテヌマず䞀臎するCOVID関連のルアヌのテヌマを採甚する方向に舵を切りたした。䟋えば、個人甚保護具PPEやCOVID-19怜査キットの貚物茞送に関連するルアヌを配垃したした。

PPE themed lure

図3TA2541が䜿甚した個人甚保護具PPEをテヌマずしたルアヌ

COVID-19のテヌマは短期間だけ採甚され、攻撃者はすぐに䞀般的な貚物、飛行、チャヌタヌ䟿などをテヌマにしたルアヌに戻りたした。

2019幎以降、Cisco Talos、Morphisec、Microsoft、Mandiant、独立系リサヌチャヌなど、耇数の研究者が同様の掻動に関するデヌタを発衚しおいたす。プルヌフポむントは、これらのレポヌトの掻動が、TA2541ずしお远跡されおいる脅嚁グルヌプず重耇しおいるこずを確認するこずができたす。

配送ずむンストヌル 

プルヌフポむントは、最近のキャンペヌンで、このグルヌプが、難読化されたVisual Basic ScriptVBSファむルに぀ながるGoogle DriveのURLをメヌルに䜿甚しおいるこずを確認したした。実行されるず、PowerShellは、Pastetext、Sharetext、GitHubなど、さたざたなプラットフォヌムでホストされおいるテキストファむルから実行ファむルを呌び出したす。攻撃者は、さたざたなWindowsプロセスにPowerShellを実行し、アンチりむルスやファむアりォヌル゜フトりェアなどのセキュリティ補品のWindows Management InstrumentationWMIを甚いお、内蔵のセキュリティ保護を無効化しようず詊みたす。攻撃者は、ホスト䞊でRATをダりンロヌドする前に、システム情報を収集したす。

TA2541の攻撃の流れ

 

図4アタックチェヌンの䟋

TA2541は䞀貫しおGoogle Drive、時にはOneDriveを䜿甚しお悪意のあるVBSファむルをホストしおいたすが、2021幎埌半から、このグルヌプがAgentTeslaたたはIminent Monitorに぀ながる圧瞮ファむルにリンクするDiscordApp URLを䜿甚し始めるのをプルヌフポむントは芳察しおいたす。Discordは、攻撃者が䜿甚するコンテンツ配信ネットワヌクCDNずしおたすたす人気が高たっおいたす。

TA2541は通垞、配信の䞀郚ずしおURLを䜿甚したすが、プルヌフポむント瀟では、この攻撃者が電子メヌルの添付ファむルを掻甚するこずも確認しおいたす。䟋えば、この攻撃者は、マルりェアのペむロヌドをホストするCDNぞのURLを含む実行ファむルを埋め蟌んだRARなどの圧瞮された実行ファむルを添付しお送信する堎合がありたす。

以䞋は、StrReverse関数ずPowerShellのRemoteSigned機胜を掻甚した最近の攻撃キャンペヌンで䜿甚されたVBSファむルの䟋です。VBSファむルは通垞、メヌル党䜓のテヌマず䞀臎するように呜名されおいるこずは泚目に倀したす戊闘、航空機、燃料、ペット、チャヌタヌなど。

Contents of a sample VBS file

図5サンプルVBSファむルの内容

難読化されたコマンド:  

https://paste[.]ee/r/01f2w/0 

䞋図は、最近のキャンペヌンの䟋で、PowerShellコヌドがpaste.eeのURLでホストされおいる様子を瀺しおいたす。

URL Example

図6URLの貌り付けの䟋

パヌシステンス(氞続性確立): 

通垞、TA2541 は Visual Basic Script (VBS) ファむルを䜿甚しお、圌らのお気に入りのペむロヌドの 1 ぀である AsyncRAT ず共にパヌシステンスを確立するこずになりたす。これは、PowerShell スクリプトを指す VBS ファむルをスタヌトアップディレクトリに远加するこずで実珟されたす。泚䜿甚されるVBSずPowerShellのファむル名は、ほずんどがWindowsやシステムの機胜を暡倣しお呜名されおいたす。最近のキャンペヌンでの䟋は以䞋の通りです。

氞続性確立の䟋: 

C:\Users[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemFramework64Bits.vbs   

VBSファむルの内容:  

Set Obj = CreateObject("WScript.Shell") 

Obj.Run "PowerShell -ExecutionPolicy RemoteSigned -File " & "C:\Users\[User]\AppData\Local\Temp\RemoteFramework64.ps1", 0 

Other Recent VBS File Names Observed 

UserInterfaceLogin.vbs 

HandlerUpdate64Bits.vbs 

WindowsCrashReportFix.vbs 

SystemHardDrive.vbs 

たた、TA2541は、スケゞュヌルタスクの䜜成やレゞストリぞの゚ントリの远加により、氞続性を確立しおいたす。たずえば、2021幎11月にTA2541は、これらの䞡方の方法を䜿甚しおペむロヌドImminent Monitorを配垃したした。最近のキャンペヌンでは、vjw0rmずSTRRATもタスクの䜜成ずレゞストリぞの゚ントリの远加を掻甚しおいたす。たずえば、以䞋のようなものです。

 

スケゞュヌルされたタスク: 

schtasks.exe /Create /TN "Updates\BQVIiVtepLtz" /XML C:\Users\[User]\AppData\Local\Temp\tmp7CF8.tmp 

schtasks /create /sc minute /mo 1 /tn Skype /tr "C:\Users\[Use]\AppData\Roaming\xubntzl.txt" 

レゞストリヌキヌ: 

Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost 

Data: C:\Users[User]\AppData\Roaming\server\server.exe 

Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xubntzl 

Data: C:\Users\User\AppData\Roaming\xubntzl.txt 

マルりェア:

プルヌフポむントは、2017幎以降、TA2541が十数皮類のマルりェアペむロヌドを䜿甚しおいるこずを芳枬しおいたす。攻撃者は、犯眪者フォヌラムで賌入可胜なコモディティマルりェアや、オヌプン゜ヌスリポゞトリで入手可胜なマルりェアを䜿甚しおいたす。珟圚、TA2541はAsyncRATを奜んで䜿甚しおいたすが、その他の人気のあるRATには、NetWire、WSH RAT、Parallaxがありたす。  

Malware used by TA2541

図7メッセヌゞ量に関連するTA2541が䜿甚したマルりェア

TA2541が䜿甚するすべおのマルりェアは、情報収集目的や感染したマシンを遠隔操䜜するために䜿甚するこずができたす。珟時点では、脅嚁者が最初の䟵害を達成した埌の最終的な目暙や目的に぀いおは、プルヌフポむント瀟では把握しおいたせん。

珟圚はAsyncRATが遞択されおいるマルりェアですが、TA2541は2017幎以降、毎幎マルりェアの䜿甚方法を倉化させおいたす。攻撃者は通垞、芳枬されたキャンペヌンで1぀たたは少数のRATのみを䜿甚したすが、2020幎、ProofpointはTA2541が10皮類以䞊のマルりェアを配垃し、すべお同じ最初の感染チェヌンを䜿甚しおいるこずを芳枬したした。

Distribution of TA2541 malware

図8TA2541のマルりェアの経幎分垃

むンフラ

TA2541は、メヌル送信むンフラの䞀郚ずしおVirtual Private Serversを䜿甚しおおり、C2むンフラにはDynamic DNSDDNSを頻繁に䜿甚しおいたす。  

C2むンフラずメッセヌゞのアヌティファクトには、耇数のパタヌンが存圚したす。たずえば、過去のキャンペヌンでは、「kimjoy」ずいう甚語がC2ドメむン名や脅嚁者の返信先アドレスに含たれおいたした。たた、TA2541のC2ドメむンずペむロヌドのステヌゞングURLには、「kimjoy」、「h0pe」、「grace」ずいったキヌワヌドを含む共通のパタヌンが確認されおおり、これも顕著なTTPの1぀ずいえたす。たた、TA2541は、NetdormやNo-IP DDNSなどのドメむンレゞストラ、xTom GmbHやDanilenko, Artyomなどのホスティングプロバむダヌも定期的に䜿甚しおいたす。

攻撃のタヌゲット

倚くの堎合、キャンペヌンには、数十の異なる組織に察する数癟から数千の電子メヌルメッセヌゞが含たれおいたした。プルヌフポむントは、TA2541が䜕千もの組織を暙的にしおいるこずを確認しおいたすが、航空、航空宇宙、茞送、補造、および防衛産業にわたる耇数の組織が、キャンペヌンの暙的ずしお定期的に衚瀺されおいたす。TA2541 は、特定の圹割や機胜を持぀人物を暙的にしおいるわけではないこずが、受信者党䜓に広く分垃しおいるようです。

結論

TA2541は、特に最も頻繁に暙的ずなるセクタヌの䌁業に察しお、䞀貫しお掻発なサむバヌ犯眪の脅嚁を䞎え続けおいたす。プルヌフポむントは、この攻撃者が、ルアヌのテヌマ、配信、むンストヌルに最小限の倉曎を加えるだけで、過去の掻動で芳察されたのず同じTTPを匕き続き䜿甚するず、高い信頌性をもっお評䟡しおいたす。TA2541 は、今埌のキャンペヌンでも AsyncRAT ず vjw0rm を䜿い続け、その目的を達成するために他のコモディティマルりェアを䜿甚する可胜性が高いず思われたす。

IoC (Indicators of Compromise / 䟵害の痕跡)  

C2 ドメむン

IoC

説明

芳枬日 

joelthomas[.]linkpc[.]net 

AsyncRAT C2 Domain 

Throughout 2021 

rick63[.]publicvm[.]com 

AsyncRAT C2 Domain 

January 2022 

tq744[.]publicvm[.]com 

AsyncRAT C2 Domain 

January 2022 

bodmas01[.]zapto[.]org 

AsyncRAT C2 Domain 

January 2022 

bigdips0n[.]publicvm[.]com 

AsyncRAT C2 Domain 

December 2021 

6001dc[.]ddns[.]net 

AsyncRAT C2 Domain 

September 2021 

kimjoy[.]ddns[.]net 

Revenge RAT C2 Domain 

March 2021 

h0pe[.]ddns[.]net 

AsyncRAT C2 Domain 

April/May 2021 

e29rava[.]ddns[.]net 

AsyncRAT C2 Domain 

June 2021 

akconsult[.]ddns[.]net 

AsyncRAT C2 Domain 

July 2021 

grace5321[.]publicvm[.]com 

StrRAT C2 Domain 

January 2022 

grace5321[.]publicvm[.]com 

Imminent Monitor C2 Domain 

November 2021 

VBS SHA256 ハッシュ

VBS SHA256 hashes observed in recent December and January campaigns.  

File Name: Aircrafts PN#_ALT PN#_Desc_&_Qty Details.vbs 

SHA256: 67250d5e5cb42df505b278e53ae346e7573ba60a06c3daac7ec05f853100e61c 

File Name: charters details.pdf.vbs 

SHA256: ebd7809cacae62bc94dfb8077868f53d53beb0614766213d48f4385ed09c73a6 

File Name: charters details.pdf.vbs 

SHA256: 4717ee69d28306254b1affa7efc0a50c481c3930025e75366ce93c99505ded96 

File Name: 4Pax Trip Details.pdf.vbs 

SHA256: d793f37eb89310ddfc6d0337598c316db0eccda4d30e34143c768235594a169c 

ET シグネチャ  

2034978 - ET POLICY Pastebin-style Service (paste .ee) in TLS SNI 
2034979 - ET HUNTING Powershell Request for paste .ee Page 
2034980 - ET MALWARE Powershell with Decimal Encoded RUNPE Downloaded 
2850933 - ETPRO HUNTING Double Extension VBS Download from Google Drive 
2850934 - ETPRO HUNTING Double Extension PIF Download from Google Drive 
2850936 - ETPRO HUNTING VBS Download from Google Drive  

 

※本ブログの情報は、英語による原文「Charting TA2541's Flight」の翻蚳です。英語原文ずの間で内容の霟霬がある堎合には、英語原文が優先したす。