UNC5221のBRICKSTORMバックドアは、単なるmalwareありません。高度な敵対者は、SOCチームが見えない場所に隠れて勝利を収めていることを証明しています。Mandiant社の調査によると、BRICKSTORMを使用した攻撃者は、検知されるまでに平均400日以上も米国企業内に潜伏していました。彼らは、ネットワーク・アプライアンス、仮想化プラットフォーム、IDシステムの死角を突くことで、これを達成した。このキャンペーンは、破壊と奪取を目的とした攻撃ではなかった。ほとんどのセキュリティ・ツールが無視するインフラ内部での忍耐力、ステルス性、持続性が重要だったのだ。
暗闇の中の家電:ブリックストームが隠れた場所
BRICKSTORMが成功したのは、ほとんどのセキュリティ・チームがほとんど目を向けない場所に潜んでいたからだ。バックドアは、VPNゲートウェイ、ファイアウォール、VMware vCenterサーバーなどのエッジ・アプライアンス上で実行されるように設計されていた。これらのシステムは事業継続に不可欠ですが、エンドポイントエージェントがないことが多く、ログもほとんど生成されません。そのため セキュリティ・ギャップが完璧な隠れ場所を作り出していた。
いったんインストールされると、BRICKSTORMは通常のプロセスに溶け込み、スタートアップ・スクリプトを変更することで再起動後も持続する。攻撃者から見れば、これは理想的な足がかりとなる。防御者の視点からは、ほとんど見えません。エンドポイントやクラウドのワークロードを監視しているSOCチームは、敵対者がこれらのシステムをつなぐインフラ内部で活動していることを知ることができなかった。
これらの死角は、攻撃者が隠れ続けるために必要なスペースを提供した。しかし、ステルスとは、彼らがどこに住んでいるかということだけでなく、どのように行動するかということでもあった。
1年以上続いたステルス
UNC5221のオペレーターは、従来のあらゆる検知方法を回避するためにBRICKSTORMを構築した。各インプラントは、被害者のために独自にコンパイルされ、多くの場合、識別子が取り除かれ、正規のプロセスのように見えるように難読化されていた。バージョンによっては、起動する前に数カ月間眠っている遅延起動機能まで含まれていた。malware 警告を発する頃には、インシデント対応者はとっくに次の段階に進んでいた。
約400日という驚異的な滞留時間は、この手口によるものだ。侵害の指標はほとんど役に立たなかった。再利用されるドメインも、繰り返されるファイルハッシュも、頼るべきシグネチャもなかった。その代わりに、攻撃者は、有効な認証情報と標準的な管理ツールを使って、横方向に移動し、データを盗み、その土地で生活していた。攻撃者の存在は、日常的な活動にきれいに溶け込んでいたため、経験豊富なSOCチームでさえその兆候を見逃していた。
このレベルのステルスは、静的なアプローチでは捕捉できないのが現実だ。滞留時間を短縮するためには、検知は指標を追うことから行動を監視することにシフトしなければならない。インフラ、ユーザー、サービスの操作方法における微妙な異常を発見することによってのみ、防衛側はBRICKSTORMが享受した優位性に迫ることができる。
家電製品がアイデンティティへの入り口になるとき
UNC5221にとって、BRICKSTORMは決して最終目標ではなかった。侵害されたアプライアンスは、最も重要なシステムであるIDインフラへの踏み台となった。
一旦侵入すると、攻撃者はドメインコントローラ全体をクローン化し、Active Directoryデータベースを静かに抜き出しました。VMware vCenter内にカスタムサーブレットフィルタを導入し、管理者認証情報を吸い上げました。クラウド環境では、Microsoft 365に不正なアプリケーションを登録し、あたかも正規のサービスであるかのようにメールボックスを読み込ませた。このような手口により、攻撃者はアラームを発することなく特権的なアクセスを得ることができました。
防御側から見れば、通常の管理者がログインし、マシンのクローンを作成し、クラウドアプリにアクセス許可を与えているように見えた。実際には、企業の中核で信頼がゆっくりと解体されていったのだ。
このアイデンティティへの軸足は、このキャンペーンの最も有害な部分である。ひとたび敵がドメインコントローラやSaaS認証をコントロールすれば、事実上あらゆるリソースにアクセスできるようになります。BRICKSTORMは、攻撃者がハイブリッド環境全体で優位に立つために、アプライアンスの足場とクレデンシャルの窃盗をどのように組み合わせているかを明らかにしました。
IDが究極の賞品である以上、エンドポイントの保護だけではもはや十分ではない。
主要ターゲット以外のサプライチェーンへの影響
UNC5221は個々の企業にとどまらない。BRICKSTORMによって侵害された組織の多くは、SaaSプラットフォーム、アウトソーシング会社、法律サービスなど、データを保持したり、何十もの下流クライアントにアクセスを提供したりするサービス・プロバイダー だった。このようなプロバイダーに潜り込むことで、攻撃者は単一のネットワークをはるかに超える範囲に手を伸ばすことができるのだ。
この戦略は、あらゆる侵害の影響を拡大する。SaaS企業への侵入を足がかりに、政府機関の機密データが暴露される可能性がある。アウトソーシング・パートナーを侵害すれば、一度に複数の業界への道が開かれる可能性がある。攻撃者にとっては、攻撃範囲を広げる効率的な方法である。防御側にとっては、セキュリティ態勢が強固であるのは、信頼しているパートナーやベンダーがあってこそであることを思い知らされることになる。
BRICKSTORMキャンペーンは、サプライチェーンの侵害がいかに進化しているかを浮き彫りにしている。それは、ソフトウェアのアップデートに悪意のあるコードを注入することとは限らない。時には、ビジネス・サービスの結合組織を標的にし、信頼関係を悪用して新たな環境に静かに移行することもある。
次のレベルの敵に立ち向かう
Mandiantは、UNC5221を「非常に高度な敵対者」と評しましたが、BRICKSTORMはそれを証明しました。これらのオペレーターは、キャンペーン間で再利用されるmalware ファミリーには依存していませんでした。彼らはカスタムインプラントを構築し、被害者ごとに独自のインフラを配備し、対応者が証拠を収集する前に証拠を解体しました。その一挙手一投足は、忍耐と規律を示していました。
伝統的な守備はこのような相手には対応できない:
ステルスにこれほど投資する行為者に対して、唯一の現実的な対応は検知モデルを変更することである。
このシフトは、指標よりも行動に焦点を当てることを意味する。つまり、ネットワーク、ID、クラウド環境を横断して行動を相関させ、単独のツールでは見ることのできない微妙なパターンを明らかにすることだ。それ以下では、決意の固い敵が数カ月、あるいは数年にわたって悪用する隙を残すことになる。
Vectra AIでギャップを埋める
BRICKSTORMキャンペーンは、雑音の中に消えるように設計されていた。暗号化されたクラウドのフロントエンドを経由してビーコンを鳴らし、HTTPS内でDNSをトンネリングし、有効な認証情報を使ってピボットを行い、数カ月にわたってデータを静かに演出した。これらはまさに、Vectra AIプラットフォームが表面化するために構築された行動である。
ここでは、Vectra AIが攻撃者の隙を突く方法を紹介する:
外部との通信と流出
- 暗号化されたC2トラフィックとフロントC2トラフィック高度なC2分析検知 ドメイン・フロンティング、断続的なビーコン、異常なSaaSやクラウドの使用、暗号化されたC2セッション。モデルは、HTTPヘッダー、ユーザーエージェント、宛先の希少性、ビーコンの規則性の異常を分析し、BRICKSTORMがクラウドサービス上でHTTPSやWSSを使用しているような、ワーカーがホストするステルスC2を明らかに します。
- DNS-over-HTTPS 解決:VectraHidden HTTPSトンネル検知と機械学習モデルは、暗号化されたトラフィックに隠れたDoHパターンを検知します。これは、BRICKSTORMが秘密裏にC2を解決するためにDoHを使用していることに直接対応します。
- DNSとプロトコルのトンネリングによる流出攻撃者がDNSトンネリングやC2経由のデータ流出に逆戻りした場合、VectraHidden DNS TunnelとATT&CK-mapped検出が異常なパターンを即座にハイライトします。
内部移動と回収
- 横の動きと偵察BRICKSTORMがRDPまたはSMBトラフィックを中継し、有効な認証情報でピボットを行う場合、SMBアカウントスキャンやKerberosアカウントスキャンなどの検出機能により、認証情報の不正使用や不審な内部プロービングを警告します。
- ステージングと収集:リポジトリ、コードベース、ファイル共有への一括アクセスは、データ収集検知のトリガーとなります。これは、データ損失が発生する前に、攻撃者が流出のための資料を準備していることを照らし出します。
ディフェンス・イン・デプス
- IOCカバレッジの補完 Vectra センサーは、深層防衛を強化するために、NVISOのBRICKSTORM C2ルールなどのコミュニティシグネチャを含むSuricataベースのルール(SPA)を実行し、行動駆動型分析を補完することができます。
この多層的なアプローチにより、SOCチームは固有のハッシュやドメインを追う必要がなくなる。その代わりに、高度な敵が隠すことのできない行動を見ることができます。Vectra AIは、ネットワーク、ID、SaaS、クラウドにまたがる検出を相関させ、目に見えない足がかりを目に見える脅威に変え、滞留時間を数カ月から瞬時に短縮します。
結論ブリックストームから学ぶ
BRICKSTORMは単なるバックドアではない。それは、最も高度な敵は、従来のツールではカバーできない場所で繁栄していることを思い起こさせるものだ。UNC5221が企業ネットワーク内で1年以上生き延びたのは、死角で活動し、IDを悪用し、合法的に見える経路でデータを移動させたからだ。
攻撃者が被害者ごとにインフラを変更する場合、防御者はインジケータや静的なシグネチャに頼ることはできない。重要なのは、malware そのものがどれほど変化しても、キャンペーン全体にわたって一貫した動作を検知 能力です。Vectra AIプラットフォームは、まさにそれを実現します。
ネットワーク、アイデンティティ、SaaS、クラウドにわたる検出のギャップを埋めることで、Vectra AIはSOCチームが他のチームが見逃しているものを見抜き、1年以上にわたる侵害が発生する前にステルス作戦を阻止することを可能にします。
Vectra AIがどのように検知ギャップをなくすかをご覧ください。今すぐセルフガイドデモをご利用ください。