FireEye Labsは最近、中央アジアの政府部門に対する攻撃を観察しました。この攻撃は新しいバックドアHAWKBALLによるもので、Microsoft Officeの既知の脆弱性CVE-2017-11882およびCVE-2018-0802を介して配信されました。
HAWKBALLは、攻撃者が被害者から情報を収集したり、ペイロードを配信したりできるバックドアです。HAWKBALLには、ホストの調査、ネイティブのWindowsコマンドを実行するための名前付きパイプの作成、プロセスの終了、ファイルの作成や削除とアップロード、ファイルの検索、ドライブの列挙などの機能があります。
図1に、攻撃に使用されたデコイを示します。
図1:攻撃に使用されたデコイ
デコイ・ファイルdoc.rtf(MD5: AC0EAC22CE12EAC9E15CA03646ED70C)は数式エディターを使用するOLEオブジェクトを含み、埋め込まれたシェルコードを8.tという名称で%TEMP%内にドロップします。このシェルコードは、EQENDT32.EXEを介してメモリ内で復号されます。図2は、EQENDT32.EXEで使用された復号メカニズムを示しています。
図2:シェルコード復号ルーチン
復号されたシェルコードは、Microsoft WordプラグインWLL(MD5: D90E45FBF11B5BBDCA945B24D155A4B2)としてC:\Users\ADMINI~1\AppData\Roaming\Microsoft\Word\STARTUPにドロップされます(図3)。
図3:Wordプラグインとしてドロップされたペイロード
技術的な詳細
ドロップされたペイロードのDllMainは、文字列WORD.EXEがサンプルのコマンド行に存在するかどうかを判別します。文字列が存在しない場合、マルウェアは終了します。文字列が存在する場合、マルウェアはWinExec()関数を使用して、コマンドRunDll32.exe <C:\Users\ADMINI~1\AppData\Roaming\Microsoft\Word\STARTUP\hh14980443.wll, DllEntry>を実行します。
DllEntryは、ペイロードの唯一のエクスポート関数です。マルウェアは、ログファイルをc3E57B.tmpという名称で%TEMP%に作成します。マルウェアは、現在のローカル時間とハードコードされた2つの値を、次の形式で毎回書き出します。
<Month int>/<Date int> <Hours>:<Minutes>:<Seconds>\t<Hardcoded Digit>\t<Hardcoded Digit>\n
例:
05/22 07:29:17 4 0
このログファイルは15秒ごとに書き込まれます。最後の2桁はハードコードされたもので、パラメータとして関数に渡されます(図4)。
図4:ログファイルの文字列フォーマット
暗号化ファイルには、0x78バイトの設定ファイルが含まれます。データは、0xD9 XOR演算で復号されます。復号されたデータは、指令(C2)情報、マルウェア初期化中に使用されるミューテックス文字列を含みます。図5に、復号ルーチンおよび復号された設定ファイルを示します。
図5:設定復号ルーチン
設定ファイルから得たIPアドレスは、現在のローカル時間を付加して%TEMP%/3E57B.tmpに書き込まれます。
次に例を示します。
05/22 07:49:48 149.28.182.78.
<中略>
結論
HAWKBALLは、攻撃者が被害者から情報を収集し、新しいペイロードをターゲットに配信するための機能を持った新しいバックドアです。本記事執筆時においてFireEye MVXエンジンは、この脅威を検知し、阻止することができます。ただし、このキャンペーンに関与する攻撃グループは、最終的には現在の標的からその範囲を広げる可能性があるため、FireEyeは業界にかかわらず警戒を怠らないことをお勧めします。
侵害インジケーター(IOC)
MD5 |
Name |
AC0EAC22CE12EAC9EE15CA03646ED70C |
Doc.rtf |
D90E45FBF11B5BBDCA945B24D155A4B2 |
hh14980443.wll |
Network Indicators
- 149.28.182[.]78:443
- 149.28.182[.]78:80
- http://149.28.182[.]78/?t=0&&s=0&&p=wGH^69&&k=<tick_count>
- http://149.28.182[.]78/?e=0&&t=0&&k=<tick_count>
- http://149.28.182[.]78/?e=0&&t=<int_xor_key>&&k=<tick_count>
- Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2)
FireEye Detections
MD5 |
Product |
Signature |
Action |
AC0EAC22CE12EAC9EE15CA03646ED70C |
FireEye Email Security FireEye Network Security FireEye Endpoint Security |
FE_Exploit_RTF_EQGEN_7 Exploit.Generic.MVX |
Block |
D90E45FBF11B5BBDCA945B24D155A4B2 |
FireEye Email Security FireEye Network Security FireEye Endpoint Security |
Malware.Binary.Dll FE_APT_Backdoor_Win32_HawkBall_1 APT.Backdoor.Win.HawkBall |
Block |
本ブログは、米FireEyeが公開した「Government Sector in Central Asia Targeted With New HAWKBALL Backdoor Delivered via Microsoft Office Vulnerabilities」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。
https://www.fireeye.com/blog/threat-research/2019/06/government-in-central-asia-targeted-with-hawkball-backdoor.html