2020年02月セキュリティ記事1
Iranian Hackers Exploiting VPN Flawsto Backdoor Organizations Worldwide
概要
- イラン政府の支援を受けたハッカーがイスラエルや世界中の企業をターゲットとした攻撃を展開している
- この攻撃キャンペーンは"Foxkitten"と呼ばれている
- 主な攻撃ターゲットはIT、通信、ガス、石油、航空、政府、セキュリティ企業
破壊活動に使われるマルウェア
- ZeroCleare
- Dustman
- data wiping malware
- Shamoon(Disttrack) と高いレベルの類似性がある
- Shamoon -> ZeroCleare -> Dustman
- APT-34と関連付けられている
- https://gigazine.net/news/20191206-new-data-wiper-malware-zerocleare/
- https://thehackernews.com/2019/12/zerocleare-data-wiper-malware.html
- https://thehackernews.com/2018/12/shamoon-malware-attack.html
- https://attack.mitre.org/software/S0364/
- https://www.zdnet.com/article/new-iranian-data-wiper-malware-hits-bapco-bahrains-national-oil-company/
攻撃ベクター
- The exploitation of unpatched VPNvulnerabilities
- Pulse Secure Connect (CVE-2019-11510)
- Palo Alto Networks' Global Protect (CVE-2019-1579)
- Fortinet FortiOS (CVE-2018-13379)
- Citrix (CVE-2019-19781)
攻撃フロー
- VPN製品を乗っ取り
- C2サーバからバックドアとして動作するVBScriptをDLする
- バックドアのコードはチャンクとしてDLされるので、AVでの検知を回避する
- DLされた個々のファイルを結合して実行ファイルを作成する
- 最終的にデータの持ち出し
攻撃ツール
- Juicy Potato
- Invoke the Hash
- Powershellでpass the hashを行うツール
- STSRCheck
- A tool for mapping databases, servers, and open ports in the targeted networkand brute-force them by logging with default credentials.
- Port.exe
- A tool to scan predefined ports and servers.