2020年02月セキュリティ記事1

Iranian Hackers Exploiting VPN Flawsto Backdoor Organizations Worldwide

• https://thehackernews.com/2020/02/iranian-hackers-vpn-vulnerabilities.html

概要

• イラン政府の支援を受けたハッカーがイスラエルや世界中の企業をターゲットとした攻撃を展開している
• この攻撃キャンペーンは"Foxkitten"と呼ばれている
• 主な攻撃ターゲットはIT、通信、ガス、石油、航空、政府、セキュリティ企業 

破壊活動に使われるマルウェア

• ZeroCleare
• Dustman
• data wiping malware
  • 正規のデバイスドライバ(EldoS RawDisk)を利用してMBRやパーティションを消去(上書き)する
• Shamoon(Disttrack) と高いレベルの類似性がある
• Shamoon -> ZeroCleare -> Dustman
• APT-34と関連付けられている
  • https://gigazine.net/news/20191206-new-data-wiper-malware-zerocleare/
  • https://thehackernews.com/2019/12/zerocleare-data-wiper-malware.html
  • https://thehackernews.com/2018/12/shamoon-malware-attack.html
  • https://attack.mitre.org/software/S0364/
  • https://www.zdnet.com/article/new-iranian-data-wiper-malware-hits-bapco-bahrains-national-oil-company/  

攻撃ベクター

• The exploitation of unpatched VPNvulnerabilities
  • Pulse Secure Connect (CVE-2019-11510)
  • Palo Alto Networks' Global Protect (CVE-2019-1579)
  • Fortinet FortiOS (CVE-2018-13379)
  • Citrix (CVE-2019-19781)

攻撃フロー

• VPN製品を乗っ取り
• C2サーバからバックドアとして動作するVBScriptをDLする
• バックドアのコードはチャンクとしてDLされるので、AVでの検知を回避する
• DLされた個々のファイルを結合して実行ファイルを作成する
• 最終的にデータの持ち出し

攻撃ツール

• Juicy Potato
  • windowsの権限昇格脆弱性(RottenPotato)のexploitをツール化したもの
• Invoke the Hash
  • Powershellでpass the hashを行うツール
• STSRCheck
  • A tool for mapping databases, servers, and open ports in the targeted networkand brute-force them by logging with default credentials.
• Port.exe
  • A tool to scan predefined ports and servers.