ロシアのサイバー活動の緩和、検知、対応

2022年2月23日
Luke Richards
Threat Intelligence Lead
ロシアのサイバー活動の緩和、検知、対応

Vectra ウクライナの分離主義地域をロシアが承認したことに関連する現在の世界的な出来事には、ロシアの国家レベルのアクターが行うサイバー活動が増加するリスクがあることを、お客様は認識しておく必要があります。 これには、ロシアの主要な諜報機関であるFSBが、2022年2月のウクライナのシステムに対するDDoSに関与しているという証拠も含まれている。[1] ターゲットの選択が、地域的なターゲットを超えて、例えばNATO諸国の政治的または経済的に有用なターゲットを含むように拡大する可能性があるという信頼できる懸念が存在する。

この勧告は、リスクが高まっている業界や地域で事業を営む顧客に積極的に伝え、これらのリスクを管理するためにVectra が提供している保護機能を強調するために作成されました。

この勧告は情報提供を目的としたものですが、攻撃を受けていると思われるお客様は、直ちに弊社までご連絡ください。

Vectra ロシアのAPTからの保護

多くのAPTグループは、その起源に関係なく、同様の攻撃パターンをたどります。 したがって、国家レベルのアクター(ロシアの国家レベルのアクターも含む)によるこれまでの活動に基づいて、Vectra 、標的とされた場合、一般的に次のような活動が予想されます:

  • 妥協目標
  • ネットワークの偵察
  • 足場固め/粘り強さ
  • データの流出

このため、該当する脅威インテリジェンスに加え、Vectra 、以下のような検知をユーザーに通知することを想定している:

妥協目標

  • 隠しHTTP(S)トンネル
  • 隠しDNSトンネル
  • 外部リモートアクセス - これらの検知は、Cobalt Strikeなどの既知のインプラントやカスタムインプラントを使用する高度な脅威アクターの既知の活動に関連しています。

ネットワークの偵察

  • RPCリコン/RPCターゲット・リコン
  • ポートスキャン
  • 内部ダークネットスキャン - このような検知は、前のカテゴリーと組み合わせて、ネットワークを調査しているホストを示しています。RPC偵察や標的型偵察は、脅威アクターがBloodhoundのようなツールを使って価値の高い標的をマッピングしている可能性を示しています。

足場を築く/粘り強さ

  • 不審なリモート実行(Schtask / WMI / RPCコール)
  • 特権異常 - 攻撃者が攻撃の初期段階で盗んだアカウントを使おうとすると、おそらくそのアカウントが今まで使ったことのないサービスを使おうとするでしょう。これにより、アカウント、ホスト、サービスが学習された動作から外れていることを示す特権異常の検知が行われます。攻撃者はまた、インプラントを他のホストに広めるために、既存の方法と通信チャネルを使用します。これは最初のインプラントと同じではないかもしれず、何年か後にアクセスするためにホストに WebShell をドロップする脅威者もいることが知られています。

データの流出

  • データ・スマグラー
  • 隠しDNSトンネル - この最終段階を発見するのは通常非常に難しい。Turlaのようなロシアの高度な脅威アクターは、ネットワークの端に居座り、ほとんど受動的にデータを盗みます。これは電子メールのスレッドジャッキングでもよく見られる手口で、攻撃者が電子メールのチェーンに入り込み、ターゲットにリンクをクリックさせたり、文書を開かせたり、何らかの方法で悪意のある活動をさせたりします。

Microsoft365 およびクラウド環境

ロシアの国家権力者によるこれまでの攻撃は、標的のオンライン環境を利用している。これは、最初のアクセスを得るために、ブルートフォース、パスワードスプレー (デフォルトの保護がロックアウトされないようにVPNを使用する) 、MFAのバイパス、またはフィッシングによるアカウントの乗っ取りという形を取ることができる。

2021 年 5 月、ノーベリウムとして知られるロシアの国家機関が、サプライ チェーンを侵害するためにMicrosoftのクラウド環境を侵害しました。 これらの攻撃は、クラウド環境における国家主体による他の侵害でも観察されているパターンに従い、次のようなパターンに従いました。

  • 特権的役割の濫用
  • 既存アプリケーションの悪用
  • 持続性を得る
  • データの流出

このため、Vectra 、次のような検知をユーザーに通知することが期待される:

特権的役割の濫用

  • Azure ADの強引な試み
  • Azure ADの不審なサインオン
  • Azure AD MFA-疑わしいサインオンの失敗
  • O365 不審なサインオン・アクティビティ - 攻撃のこのステップは、時に最も騒々しいものになる可能性があります。しかし、リモート・ワークフォースでは、このアクティビティの検知は、単純なログ検索では不十分です。Detect forクラウドは、上記のような検知を行い、アナリストがアクティビティを見つけやすくします。

既存アプリケーションの悪用

  • Azure ADの信頼されたIP構成への変更
  • Azure ADの不審な操作
  • O365 Suspicious Teams Application - 貴重なアクセス権を持つアプリケーションやサービスプリンシパルが、追加的なシークレットで変更され、基本的に攻撃者がそれらのアプリケーションの代わりに特権アクションを実行するために使用する「バックドア」を作成します。

粘り強さを身につける

  • Azure AD 新規作成 AdminAccount
  • Azure ADの冗長アクセス作成
  • Azure ADの不審な操作
  • Azure ADの異常なスクリプトエンジンの使用法
  • O365内部スピアフィッシング
  • O365 不審なExchange TransportRule
  • O365 疑わしいメールの転送
  • O365 Suspicious MailboxManipulation -クラウド環境で永続性を得る方法はたくさんあります。Detect forクラウドの多くの検知は、Azure AD で作成されるアカウントから、電子メールをリダイレクトすることができるトランスポートルールのインストール、あるいは以前の攻撃ではコマンド&コントロールインプラントとして使用された[1]まで、アクティビティを検知するように構築されています。

データの流出

  • O365 危険な為替操作
  • O365 不審なダウンロード活動
  • O365 疑わしいメールの転送
  • O365 不審なメールボックス操作
  • O365 不審な共有アクティビティ - この段階では、ローカル以外の宛先への共有権限の開放とともに、ターゲットのメールボックスのパーミッションが変更され、(攻撃者がコントロールする) 別のユーザーがターゲットの電子メールに読み取りアクセスできるようになり、その後、定期的に電子メールが流出します。

このリストは、クラウド攻撃で予想されるすべての攻撃の完全なリストではありません。攻撃者は、クラウドのターゲットが豊富な環境において、多様な戦術を使用します。Vectra Security Research の今後のブログでは、予想される行動の詳細を概説します。これらは、ロシアの国家レベルのアクターが積極的な侵害を行った際の観察から得られたものです。

歴史が語るもの

例えば、DDoS攻撃は、FSBなどのグループからの脅威となるだけでなく、Turla (Snake、Venomous Bear、Uroburous) のようなグループも、斬新で高度なテクニックやマルウェアを駆使して、ネットワークの縁辺で活動している。

最近のロシア国家アクターの活動の具体的な例としては、2020年のSolarFlare / SUNBURST攻撃があり、ロシアの国家工作員Nobelium(Cozy Bear、APT29)がSolarWindsのインフラとコード展開メカニズムを侵害しました。さらに、このグループは、データを盗み、偵察を行い、次の攻撃の準備をしながら、横方向に移動し、隠れたまま、盗んだo365認証情報を使用して、大量の顧客データを侵害するために、非常に地上に近いステルスアプローチでo365インフラを侵害しました。

しかし、グローバルなサイバー攻撃に関与するのはロシアだけではない。例えば、2014年のクリミア併合後、多くの脅威アクターがこの出来事を口実に、ロシアの国家レベルの目的とは全く関係のない目的で組織を侵害するために、悪意のある文書や電子メールの中に誘い文句を盛り込んだ。

結論

Vectraは、ネットワーク攻撃やCommand and Control トラフィックから、アカウントの乗っ取りや悪意のあるMicrosoft Office 365の活動まで、あらゆるレベルの脅威から保護します。Vectraのマネージド検知とレスポンスサービス(Sidekick)の顧客は、Spot Priorityによってさらに保護されます。つまり、Vectraのアナリストは、ロシアのAPT脅威アクターに関連する活動を示すホストについて直ちに通知されます。

さらに、Vectra には脅威インテリジェンスが組み込まれており、検知されたホストについて、攻撃者のインフラストラクチャへの挙動があれば、その活動の概要を示す検知がホストのコンテナに追加される。

特定のcybercriminels からのリスクの高まりを認識することは重要だが、Vectra は、すべてのcybercriminels に共通する行動を探す。つまり、どの攻撃者があなたの組織を標的にしても、Vectra は、被害が及ぶ前に攻撃者を迅速に特定し、駆除するのに役立つ。

--

[1]https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine

[2]https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf

[3] https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf -ソースはもう入手できません。

[4]https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/

[5]https://www.crowdstrike.com/blog/observations-from-the-stellarparticle-campaign/

[6]https://www.mandiant.com/resources/insights-into-office-365-attacks-and-how-managed-defense-investigates

よくあるご質問(FAQ)