XOR難読化を使用したフィッシングアクターがAWSのクラウドストレージに移行

August 08, 2019
The Proofpoint Threat Insight Team

概要

Proofpointの研究者が7月下旬に観測したフィッシングキャンペーンが、このブログの執筆時点でも続いています。このキャンペーンはDocuSignのブランドおよびメールフォーマットを使用して、さまざまな組織の特定の個人を標的にしています。

このキャンペーンが目をひくのは、ランディングページがAmazonのエンタープライズ向けのパブリッククラウドストレージ(S3)でホストされていることです。Proofpointが監視しているフィッシングアクターの中でも、非常に珍しいパターンです。

珍しいとはいえ、Proofpointは他のエンタープライズクラスのパブリッククラウドインフラを使用する脅威アクターについてもレポートしており、MicrosoftのGitHubサービスの不正使用Microsoft Azure BLOBストレージを活用するクレデンシャルフィッシングスキームなどがそれに該当します。

分析

以下は、DocuSignブランドを不正使用した電子メールテンプレートの例です。特定の産業を狙ったものではなく、攻撃者はさまざまな企業の少数の個人に送信しました。見た目はDocuSignを介して共有されたドキュメントであり、非常に標準的なフィッシングルアー(餌)ということができます:

1:不正なDocuSignブランドを使用していた悪意のある電子メールテンプレート

クレデンシャルフィッシングのランディングページも、ブランディングおよび全体的なフォーマットはDocuSignによく似ていますが、実際には過去数年間にわたり一般的に使用されてきたフィッシングテンプレートです:

2:フィッシングランディングページで使用されている不正なDocuSignのブランドとイメージ素材

このランディングページはAmazon S3でホストされており、前述したようにこれは非常に珍しいケースです。この特定のページは次の場所にありました:

https://s3.us-east-2.amazonaws [.] com/docusign.0rwlhngl7x1w6fktk0xh8m0qhdx4wnbzz1w
/t993zTVQwqXuQLxkegfz1CAUtcrGfe0bRm0V2Cn/eeu69zk7KqAmofMrHr6xrWgrKUoTrOn2BJhhnQg
/eAzUroFtr7Gw9JrkWkX9.html

ソースコードを詳しく調べると、多くのフィッシングランディングページと同様にJavaScriptエンコーディングされていることがわかりました。それは、デコード時にいくつかの文字列だけでなく暗号文を含む16進エンコードされた文字列で始まり、その次にエンコードされたblobをデコードするevalステートメントが続いています:

3:エンコードされたフィッシングランディングページの開始部分

4:デコードのためのevalステートメント

メインデータ内のフィールドは、表面上は単純に16進エンコードされているだけですが、Proofpointの研究者は、ランディングページのデプロイメントごとにエンコーディングと変数名が頻繁に変わることを観測しています。最近観察されたこのキットのデプロイメントで複数回のエンコーディング処理が行われていることは、注目に値します。以下は3つの異なるランディングページからの16進デコードされたコンテンツで、攻撃者が検出回避に多大な努力を払っていることを示しています。

5:フィッシングランディングページのJavaScriptASCIIコンテンツ

16進数をASCIIにデコードした後のデータの終わり近くで、デコードプロセス内で使用されるプレーンテキスト文字列を確認できます。

6ASCIIデコードされたテキストブロックの最後のプレーンテキスト文字列

このデコードが完了すると、フィッシングキャンペーンでよく見られる、より一般的な別のJavaScript unescape エンコーディングが表示されます:

7JavaScriptunescapeエンコーディング

これをデコードすると、さらに追加のエンコーディングが現われます:

8:追加のエンコーディング

これをデコードすると、Proofpointの研究者が2016年2月のThreat Insightブログ「Hiding in Plain Sight:Obfuscation Techniques in Phishing Attacks」で分析したマルチバイトXORエンコーディングが現われます:

9:マルチバイトXORエンコーディング

ただし、この特定の例では、フィッシングランディングは4つのセクションに分割され、すべて異なる値を使用してこのタイプのエンコードを実行しています。

10:フィッシングランディングページの4つのXORエンコード部

これらの4つのセクションすべてをデコードすると、最終的に生のHTMLが得られ、典型的なフィッシングコードが現われます。以下は、クレデンシャルのPOST URLと、複数のWebメールプロバイダーを含むメールアドレスのドロップダウンコンテンツです。

11Webメールプロバイダーでのユーザークレデンシャルのフィッシングコード

メールおよびパスワードフィールドを検証する典型的なコードも含まれています:

12:メールとパスワードの検証

平文のフィッシングランディングページから、このキットがドメイン名に「dancelikejoseph」を含む複数のWebサイトからいくつかのリモートリソースを収集していることがわかります。ネットワークトラフィックログにこれらのDNS/TLS SNIリクエストが存在しているということは、ユーザーがこれらのページにアクセスしようとした可能性があります。 

これらのドメインには現在「Let's Encrypt」からのTLS証明書が設置されており、すべてが「phasephaser@yandex.com」によって登録されているようです。

このページではクレデンシャルの取得を試みますが、その後訪問者がDocuSignのランディングページで情報を入力した場合、指定したWebメールサービスに類似したサイトにリダイレクトされ、別のフィッシングランディングページが再度クレデンシャルを盗もうとします。

13Microsoft Webメールログイン画面を装ったフィッシングランディングページ

このページは、DocuSignページと同じタイプのエンコード/デコードプロセスを使用します。このページの例では、従来のクレデンシャルPOSTを使用する代わりに、AJAXを使用してクレデンシャルPOSTを作成しています。クレデンシャルの送信先は、DocuSignランディングページに使用されているドメインと同じです。

14AJAXを使用したクレデンシャルの送信

この時点で、被害者は本物のoffice.comにリダイレクトされます。

キャンペーン情報

このアクティビティに関与しているアクターは、AWSでのホスティングに慣れています。Proofpointは年間を通じて同様のキャンペーンを観測でしています。AWSドメイン以外はすべて「Let's Encrypt」TLS証明書を利用しており、ほとんどがロシアのドメイン登録サービスに登録されているようです。このキャンペーンの期間中、すべてのフィッシングページはAWSでホストされていましたが、いくつかのケースでは、他のパブリッククラウドインフラストラクチャでランディングページのリソースをホストしていました。

これまでのキャンペーンと特徴、エンコーディングレベルについて以下に要約します:






Timeframe (2019)

Phished credentials/ abused brands

Landing pages encoded

Host for page resources

Stolen credentials receiving address

February

DocuSign

Microsoft Office

No

Local AWS instance

storage.googleapis.com

whistleobohemian [.] info

Early March

ShareFile (Figure 15)

DocuSign

Microsoft Office

No

Microsoft Azure

whistleobohemian [.] info

Late March to early April

ShareFile

DocuSign

Microsoft Office

No

dataanarchyofsons [.] site

whistleobohemian [.] info

Early to mid-April

ShareFile

DocuSign

Microsoft Office

Chalbai template (produced by a prolific reseller of general-purpose phishing templates)

No

dataanarchyofsons [.] site

postmasterpledge [.] ru

Late April through mid-May

DocuSign

No

dataanarchyofsons [.] site

postmasterpledge [.] ru

Mid-June

ShareFile

DocuSign

Microsoft Office

Yes - simplified version of current encoding; Figure 16 and 17

dataanarchyofsons [.] site

dancelikejoseph [.] xyz

Late June through August

DocuSign

Microsoft Office

Yes - current iteration as described in this blog

300spartans [.] dancelikejoseph [.] xyz and dancelikejoseph [.] site

dancelikejoseph [.] xyz and xplicate [.] dancelikejoseph [.] info

 

                                                                                                                                                                                                                                                                                                                                                                                                  15ShareFileのフィッシングランディングページ(20193月)

16:マルチバイトXORを使ったこのアクターの最初のエンコーディングの初期のイテレーション(単一ステートメント)

ProofpointはMicrosoft Officeのフィッシングランディングページのいくつかで、以下の様にアクターが異なるエンコーディング技術を使おうとしていることを観測しました:

17:最初のランディングページで観測されたアクターによる別のエンコーディングイテレーション

6月下旬に、このアクターによるエンコーディングの現在のイテレーションの最初のインスタンスを観測しました。

結論

脅威アクターやフィッシング詐欺師は、悪意のあるフィッシングキットをホストするために有名で信頼できるコンシューマ向けクラウドサービスやソーシャルネットワーキング、およびコマーシャルサービスを使用することで検知を回避してきました。

一部のアクターは、Google DriveやDropboxなどのコンシューマ向けクラウドストレージから、Amazon Web Services(AWS)やMicrosoft Azureなどのエンタープライズクラスのパブリッククラウドストレージプロバイダーに移行し、ランディングページでJavaScriptを使ったさまざまなエンコード技術を引き続き使用して検出を回避しようとしています。

Amazonはこの種のマテリアルをホストするアカウントの悪用を非常に警戒しており、積極的に削除していますが、防御側もまたAWS S3クラウドストレージでホストされているWebページ上の潜在的な悪意のあるコンテンツに注意する必要があります。

Indicators of Compromise (IOCs)

IOC

IOC Type

Description

300spartans [.] dancelikejoseph [.] xyz

Domain

Loads up resources

xplicate [.] dancelikejoseph [.] info

Domain

Stolen credentials sent here

dancelikejoseph [.] site

Domain

Loads up resources

phasephaser@yandex.com

Email

Registrant

185.255.79 [.] 118

IP

Hosting

194.58.112 [.] 174

IP

Hosting

postmasterpledge [.] ru

Domain

Historical. Stolen credentials sent here (04/19-05/19)

dataanarchyofsons [.] site

Domain

Historical. Loaded up resources (03/19-05/19)

whistleobohemian [.] info

Domain

Historical. Stolen credentials sent here (02/19-04/19)

ランディングページのURL

直近のキャンペーンで、以下のURLが使われていることを確認しました:

これらは読みやすくするために要約されており、すべてのURLは以下の正規表現に従っています。

https://s3.us-east-2.amazonaws [.] com/ *Phrase* [A-Za-z0-9/]{100,}\.html

https://s3.us-east-2.amazonaws [.] com/alan.d0cus1gn
https://s3.us-east-2.amazonaws [.] com/alan.interactive.business.services.
https://s3.us-east-2.amazonaws [.] com/aland0cus.1gn
https://s3.us-east-2.amazonaws [.] com/alanprat.doc.sign
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.d0.cusig.n
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.g0vernment
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.government
https://s3.us-east-2.amazonaws [.] com/connecticut.government
https://s3.us-east-2.amazonaws [.] com/connecticut.government.d0cu
https://s3.us-east-2.amazonaws [.] com/d0cu
https://s3.us-east-2.amazonaws [.] com/d0cu.sign
https://s3.us-east-2.amazonaws [.] com/d0cudig.n
https://s3.us-east-2.amazonaws [.] com/d0cusign
https://s3.us-east-2.amazonaws [.] com/d0cusigned
https://s3.us-east-2.amazonaws [.] com/diarylandseed
https://s3.us-east-2.amazonaws [.] com/docu.s1gn
https://s3.us-east-2.amazonaws [.] com/docus.ign
https://s3.us-east-2.amazonaws [.] com/docusign
https://s3.us-east-2.amazonaws [.] com/docusigned
https://s3.us-east-2.amazonaws [.] com/homecredit.philippines
https://s3.us-east-2.amazonaws [.] com/interactive.business.service
https://s3.us-east-2.amazonaws [.] com/interactivebusiness.services

Proofpointは本記事の公開前にこれらのURLをAmazonに通知し、削除を依頼しました。

ETおよびETPRO Suricata/Snortシグネチャ

2837889 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M1

2837890 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M2

2837891 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M3