XOR難読化を使用したフィッシングアクターがAWSのクラウドストレージに移行

概要

Proofpointの研究者が7月下旬に観測したフィッシングキャンペーンが、このブログの執筆時点でも続いています。このキャンペーンはDocuSignのブランドおよびメールフォーマットを使用して、さまざまな組織の特定の個人を標的にしています。

このキャンペーンが目をひくのは、ランディングページがAmazonのエンタープライズ向けのパブリッククラウドストレージ（S3）でホストされていることです。Proofpointが監視しているフィッシングアクターの中でも、非常に珍しいパターンです。

珍しいとはいえ、Proofpointは他のエンタープライズクラスのパブリッククラウドインフラを使用する脅威アクターについてもレポートしており、MicrosoftのGitHubサービスの不正使用やMicrosoft Azure BLOBストレージを活用するクレデンシャルフィッシングスキームなどがそれに該当します。

分析

以下は、DocuSignブランドを不正使用した電子メールテンプレートの例です。特定の産業を狙ったものではなく、攻撃者はさまざまな企業の少数の個人に送信しました。見た目はDocuSignを介して共有されたドキュメントであり、非常に標準的なフィッシングルアー（餌）ということができます：

図1：不正なDocuSignブランドを使用していた悪意のある電子メールテンプレート

クレデンシャルフィッシングのランディングページも、ブランディングおよび全体的なフォーマットはDocuSignによく似ていますが、実際には過去数年間にわたり一般的に使用されてきたフィッシングテンプレートです：

図2：フィッシングランディングページで使用されている不正なDocuSignのブランドとイメージ素材

このランディングページはAmazon S3でホストされており、前述したようにこれは非常に珍しいケースです。この特定のページは次の場所にありました：

https://s3.us-east-2.amazonaws [.] com/docusign.0rwlhngl7x1w6fktk0xh8m0qhdx4wnbzz1w
/t993zTVQwqXuQLxkegfz1CAUtcrGfe0bRm0V2Cn/eeu69zk7KqAmofMrHr6xrWgrKUoTrOn2BJhhnQg
/eAzUroFtr7Gw9JrkWkX9.html

ソースコードを詳しく調べると、多くのフィッシングランディングページと同様にJavaScriptエンコーディングされていることがわかりました。それは、デコード時にいくつかの文字列だけでなく暗号文を含む16進エンコードされた文字列で始まり、その次にエンコードされたblobをデコードするevalステートメントが続いています：

図3：エンコードされたフィッシングランディングページの開始部分

図4：デコードのためのevalステートメント

メインデータ内のフィールドは、表面上は単純に16進エンコードされているだけですが、Proofpointの研究者は、ランディングページのデプロイメントごとにエンコーディングと変数名が頻繁に変わることを観測しています。最近観察されたこのキットのデプロイメントで複数回のエンコーディング処理が行われていることは、注目に値します。以下は3つの異なるランディングページからの16進デコードされたコンテンツで、攻撃者が検出回避に多大な努力を払っていることを示しています。

図5：フィッシングランディングページのJavaScriptのASCIIコンテンツ

16進数をASCIIにデコードした後のデータの終わり近くで、デコードプロセス内で使用されるプレーンテキスト文字列を確認できます。

図6：ASCIIデコードされたテキストブロックの最後のプレーンテキスト文字列

このデコードが完了すると、フィッシングキャンペーンでよく見られる、より一般的な別のJavaScript unescape エンコーディングが表示されます：

図7：JavaScriptのunescapeエンコーディング

これをデコードすると、さらに追加のエンコーディングが現われます：

図8：追加のエンコーディング

これをデコードすると、Proofpointの研究者が2016年2月のThreat Insightブログ「Hiding in Plain Sight：Obfuscation Techniques in Phishing Attacks」で分析したマルチバイトXORエンコーディングが現われます：

図9：マルチバイトXORエンコーディング

ただし、この特定の例では、フィッシングランディングは4つのセクションに分割され、すべて異なる値を使用してこのタイプのエンコードを実行しています。

図10：フィッシングランディングページの4つのXORエンコード部

これらの4つのセクションすべてをデコードすると、最終的に生のHTMLが得られ、典型的なフィッシングコードが現われます。以下は、クレデンシャルのPOST URLと、複数のWebメールプロバイダーを含むメールアドレスのドロップダウンコンテンツです。

図11：Webメールプロバイダーでのユーザークレデンシャルのフィッシングコード

メールおよびパスワードフィールドを検証する典型的なコードも含まれています：

図12：メールとパスワードの検証

平文のフィッシングランディングページから、このキットがドメイン名に「dancelikejoseph」を含む複数のWebサイトからいくつかのリモートリソースを収集していることがわかります。ネットワークトラフィックログにこれらのDNS/TLS SNIリクエストが存在しているということは、ユーザーがこれらのページにアクセスしようとした可能性があります。 

これらのドメインには現在「Let's Encrypt」からのTLS証明書が設置されており、すべてが「phasephaser@yandex.com」によって登録されているようです。

このページではクレデンシャルの取得を試みますが、その後訪問者がDocuSignのランディングページで情報を入力した場合、指定したWebメールサービスに類似したサイトにリダイレクトされ、別のフィッシングランディングページが再度クレデンシャルを盗もうとします。

図13：Microsoft Webメールログイン画面を装ったフィッシングランディングページ

このページは、DocuSignページと同じタイプのエンコード/デコードプロセスを使用します。このページの例では、従来のクレデンシャルPOSTを使用する代わりに、AJAXを使用してクレデンシャルPOSTを作成しています。クレデンシャルの送信先は、DocuSignランディングページに使用されているドメインと同じです。

図14：AJAXを使用したクレデンシャルの送信

この時点で、被害者は本物のoffice.comにリダイレクトされます。

キャンペーン情報

このアクティビティに関与しているアクターは、AWSでのホスティングに慣れています。Proofpointは年間を通じて同様のキャンペーンを観測でしています。AWSドメイン以外はすべて「Let's Encrypt」TLS証明書を利用しており、ほとんどがロシアのドメイン登録サービスに登録されているようです。このキャンペーンの期間中、すべてのフィッシングページはAWSでホストされていましたが、いくつかのケースでは、他のパブリッククラウドインフラストラクチャでランディングページのリソースをホストしていました。

これまでのキャンペーンと特徴、エンコーディングレベルについて以下に要約します：

Timeframe (2019)	Phished credentials/ abused brands	Landing pages encoded	Host for page resources	Stolen credentials receiving address
February	DocuSign Microsoft Office	No	Local AWS instance storage.googleapis.com	whistleobohemian [.] info
Early March	ShareFile (Figure 15) DocuSign Microsoft Office	No	Microsoft Azure	whistleobohemian [.] info
Late March to early April	ShareFile DocuSign Microsoft Office	No	dataanarchyofsons [.] site	whistleobohemian [.] info
Early to mid-April	ShareFile DocuSign Microsoft Office Chalbai template (produced by a prolific reseller of general-purpose phishing templates)	No	dataanarchyofsons [.] site	postmasterpledge [.] ru
Late April through mid-May	DocuSign	No	dataanarchyofsons [.] site	postmasterpledge [.] ru
Mid-June	ShareFile DocuSign Microsoft Office	Yes - simplified version of current encoding; Figure 16 and 17	dataanarchyofsons [.] site	dancelikejoseph [.] xyz
Late June through August	DocuSign Microsoft Office	Yes - current iteration as described in this blog	300spartans [.] dancelikejoseph [.] xyz and dancelikejoseph [.] site	dancelikejoseph [.] xyz and xplicate [.] dancelikejoseph [.] info

 

                                                                                                                                                                                                                                                                                                                                                                                                  図15：ShareFileのフィッシングランディングページ（2019年3月）

図16：マルチバイトXORを使ったこのアクターの最初のエンコーディングの初期のイテレーション（単一ステートメント）

ProofpointはMicrosoft Officeのフィッシングランディングページのいくつかで、以下の様にアクターが異なるエンコーディング技術を使おうとしていることを観測しました：

図17：最初のランディングページで観測されたアクターによる別のエンコーディングイテレーション

6月下旬に、このアクターによるエンコーディングの現在のイテレーションの最初のインスタンスを観測しました。

結論

脅威アクターやフィッシング詐欺師は、悪意のあるフィッシングキットをホストするために有名で信頼できるコンシューマ向けクラウドサービスやソーシャルネットワーキング、およびコマーシャルサービスを使用することで検知を回避してきました。

一部のアクターは、Google DriveやDropboxなどのコンシューマ向けクラウドストレージから、Amazon Web Services（AWS）やMicrosoft Azureなどのエンタープライズクラスのパブリッククラウドストレージプロバイダーに移行し、ランディングページでJavaScriptを使ったさまざまなエンコード技術を引き続き使用して検出を回避しようとしています。

Amazonはこの種のマテリアルをホストするアカウントの悪用を非常に警戒しており、積極的に削除していますが、防御側もまたAWS S3クラウドストレージでホストされているWebページ上の潜在的な悪意のあるコンテンツに注意する必要があります。

Indicators of Compromise (IOCs)

IOC	IOC Type	Description
300spartans [.] dancelikejoseph [.] xyz	Domain	Loads up resources
xplicate [.] dancelikejoseph [.] info	Domain	Stolen credentials sent here
dancelikejoseph [.] site	Domain	Loads up resources
phasephaser@yandex.com	Email	Registrant
185.255.79 [.] 118	IP	Hosting
194.58.112 [.] 174	IP	Hosting
postmasterpledge [.] ru	Domain	Historical. Stolen credentials sent here (04/19-05/19)
dataanarchyofsons [.] site	Domain	Historical. Loaded up resources (03/19-05/19)
whistleobohemian [.] info	Domain	Historical. Stolen credentials sent here (02/19-04/19)

ランディングページのURL

直近のキャンペーンで、以下のURLが使われていることを確認しました：

これらは読みやすくするために要約されており、すべてのURLは以下の正規表現に従っています。

https://s3.us-east-2.amazonaws [.] com/ *Phrase* [A-Za-z0-9/]{100,}\.html

https://s3.us-east-2.amazonaws [.] com/alan.d0cus1gn
https://s3.us-east-2.amazonaws [.] com/alan.interactive.business.services.
https://s3.us-east-2.amazonaws [.] com/aland0cus.1gn
https://s3.us-east-2.amazonaws [.] com/alanprat.doc.sign
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.d0.cusig.n
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.g0vernment
https://s3.us-east-2.amazonaws [.] com/c0nnecticut.government
https://s3.us-east-2.amazonaws [.] com/connecticut.government
https://s3.us-east-2.amazonaws [.] com/connecticut.government.d0cu
https://s3.us-east-2.amazonaws [.] com/d0cu
https://s3.us-east-2.amazonaws [.] com/d0cu.sign
https://s3.us-east-2.amazonaws [.] com/d0cudig.n
https://s3.us-east-2.amazonaws [.] com/d0cusign
https://s3.us-east-2.amazonaws [.] com/d0cusigned
https://s3.us-east-2.amazonaws [.] com/diarylandseed
https://s3.us-east-2.amazonaws [.] com/docu.s1gn
https://s3.us-east-2.amazonaws [.] com/docus.ign
https://s3.us-east-2.amazonaws [.] com/docusign
https://s3.us-east-2.amazonaws [.] com/docusigned
https://s3.us-east-2.amazonaws [.] com/homecredit.philippines
https://s3.us-east-2.amazonaws [.] com/interactive.business.service
https://s3.us-east-2.amazonaws [.] com/interactivebusiness.services

Proofpointは本記事の公開前にこれらのURLをAmazonに通知し、削除を依頼しました。

ETおよびETPRO Suricata/Snortシグネチャ

2837889 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M1

2837890 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M2

2837891 ETPRO CURRENT_EVENTS AWS S3 Hosted Phishing Landing M3