ブログ(脅威調査)

中央アジアの政府部門が、Microsoft Officeの脆弱性を介して配信される新しいバックドアHAWKBALLの標的に

FireEye Labsは最近、中央アジアの政府部門に対する攻撃を観察しました。この攻撃は新しいバックドアHAWKBALLによるもので、Microsoft Officeの既知の脆弱性CVE-2017-11882およびCVE-2018-0802を介して配信されました。
HAWKBALLは、攻撃者が被害者から情報を収集したり、ペイロードを配信したりできるバックドアです。HAWKBALLには、ホストの調査、ネイティブのWindowsコマンドを実行するための名前付きパイプの作成、プロセスの終了、ファイルの作成や削除とアップロード、ファイルの検索、ドライブの列挙などの機能があります。

図1に、攻撃に使用されたデコイを示します。

図1:攻撃に使用されたデコイ

デコイ・ファイルdoc.rtf(MD5: AC0EAC22CE12EAC9E15CA03646ED70C)は数式エディターを使用するOLEオブジェクトを含み、埋め込まれたシェルコードを8.tという名称で%TEMP%内にドロップします。このシェルコードは、EQENDT32.EXEを介してメモリ内で復号されます。図2は、EQENDT32.EXEで使用された復号メカニズムを示しています。


図2:シェルコード復号ルーチン

復号されたシェルコードは、Microsoft WordプラグインWLL(MD5: D90E45FBF11B5BBDCA945B24D155A4B2)としてC:\Users\ADMINI~1\AppData\Roaming\Microsoft\Word\STARTUPにドロップされます(図3)。


図3:Wordプラグインとしてドロップされたペイロード

技術的な詳細

ドロップされたペイロードのDllMainは、文字列WORD.EXEがサンプルのコマンド行に存在するかどうかを判別します。文字列が存在しない場合、マルウェアは終了します。文字列が存在する場合、マルウェアはWinExec()関数を使用して、コマンドRunDll32.exe <C:\Users\ADMINI~1\AppData\Roaming\Microsoft\Word\STARTUP\hh14980443.wll, DllEntry>を実行します。

DllEntryは、ペイロードの唯一のエクスポート関数です。マルウェアは、ログファイルをc3E57B.tmpという名称で%TEMP%に作成します。マルウェアは、現在のローカル時間とハードコードされた2つの値を、次の形式で毎回書き出します。

<Month int>/<Date int> <Hours>:<Minutes>:<Seconds>\t<Hardcoded Digit>\t<Hardcoded Digit>\n

例:

05/22 07:29:17 4          0

このログファイルは15秒ごとに書き込まれます。最後の2桁はハードコードされたもので、パラメータとして関数に渡されます(図4)。


図4:ログファイルの文字列フォーマット

暗号化ファイルには、0x78バイトの設定ファイルが含まれます。データは、0xD9 XOR演算で復号されます。復号されたデータは、指令(C2)情報、マルウェア初期化中に使用されるミューテックス文字列を含みます。図5に、復号ルーチンおよび復号された設定ファイルを示します。


図5:設定復号ルーチン

設定ファイルから得たIPアドレスは、現在のローカル時間を付加して%TEMP%/3E57B.tmpに書き込まれます。
次に例を示します。

05/22 07:49:48 149.28.182.78.

<中略>

結論

HAWKBALLは、攻撃者が被害者から情報を収集し、新しいペイロードをターゲットに配信するための機能を持った新しいバックドアです。本記事執筆時においてFireEye MVXエンジンは、この脅威を検知し、阻止することができます。ただし、このキャンペーンに関与する攻撃グループは、最終的には現在の標的からその範囲を広げる可能性があるため、FireEyeは業界にかかわらず警戒を怠らないことをお勧めします。

侵害インジケーター(IOC)

MD5

Name

AC0EAC22CE12EAC9EE15CA03646ED70C

Doc.rtf

D90E45FBF11B5BBDCA945B24D155A4B2

hh14980443.wll

Network Indicators

  • 149.28.182[.]78:443
  • 149.28.182[.]78:80
  • http://149.28.182[.]78/?t=0&&s=0&&p=wGH^69&&k=<tick_count>
  • http://149.28.182[.]78/?e=0&&t=0&&k=<tick_count>
  • http://149.28.182[.]78/?e=0&&t=<int_xor_key>&&k=<tick_count>
  • Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2)

FireEye Detections

MD5

Product

Signature

Action

AC0EAC22CE12EAC9EE15CA03646ED70C

FireEye Email Security

FireEye Network Security

FireEye Endpoint Security

FE_Exploit_RTF_EQGEN_7

Exploit.Generic.MVX

Block

D90E45FBF11B5BBDCA945B24D155A4B2

FireEye Email Security

FireEye Network Security

FireEye Endpoint Security

Malware.Binary.Dll

FE_APT_Backdoor_Win32_HawkBall_1

APT.Backdoor.Win.HawkBall

Block

 

本ブログは、米FireEyeが公開した「Government Sector in Central Asia Targeted With New HAWKBALL Backdoor Delivered via Microsoft Office Vulnerabilities」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。
https://www.fireeye.com/blog/threat-research/2019/06/government-in-central-asia-targeted-with-hawkball-backdoor.html