RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する

ロシアのサイバー攻撃:これまでに分かっていること

2022年3月9日
Luke Richards
Threat Intelligence Lead
ロシアのサイバー攻撃:これまでに分かっていること

パースペクティブに関する簡単な最新情報:2022年3月9日

ウクライナ侵攻とそれに続くサイバー作戦が新たな段階に入った今、何を知る必要があるのか?

トップレベルでは、その質問に対する最も重要な答えは、Vectra Security ResearchとThreat intelが、お客様のネットワークのあらゆるレベルで脅威が発生したときに、脅威を検知するための最高のカバレッジを確実に提供するために懸命に取り組んでおり、次のインシデントレスポンス ケーススタディになる前に、迅速かつ効果的に反応し、攻撃を遮断する手段を提供しているということです。  

地上でもメディアでも、戦争は新たな領域への積極的な急拡大から、より緊迫した言葉の戦いに変化している。世界の指導者たちは、ロシアの億万長者や資産に対する制裁をさらに強め、支配力を強めようとしている。企業がロシアから製品を引き揚げるよう求める社会的圧力が高まっており、人々の心の中で戦争はかなり小さくなっている。サイバースパイ活動やコンピューターネットワーク上で繰り広げられる戦いに関しても、戦術は変化している。地上戦が始まった当初は、陣地防衛のために移動する部隊の通信やコンピューター・ネットワークを混乱させようとする動きがあった。世界では、3種類の攻撃が展開された。まず、ウクライナのシステムが大規模なDDoS攻撃を受けた。これに続いて、システムを破壊するために使用される有名なマルウェアHermeticWiperが登場し、さらにマイクロソフトは新しいトロイの木馬FoxBladeを展開した。  

秘密作戦へのシフト

Mandiantは最近、米国政府をターゲットにしたAPT41による進行中の攻撃を詳述したレポートを作成した5。この中国の脅威者は、Web アプリケーションのゼロデイを利用したものから、Log4J の脆弱性を利用したものまで、複数の手段を用いて標的を攻撃していました。これらのケースでは、脅威者は従来のC&Cタイプ(振る舞い )を利用した独自の高度なマルウェアを展開し、C&Cの IP アドレスを更新する「デッド・ドロップ」テクニックを使用して永続性も実現しています。

それでどうする?

もし、これが通常通りなら、我々は何をすべきなのか?  

何よりもまず、私たちは警戒を怠らないようにしなければならない。というのも、大ニュースを賑わすような活動が私たちの関心を海外に向けさせる一方で、私たちが知っている真実にも目を光らせていなければならないからだ:犯罪者は、世界的なイベントを利用して独自のマルウェアを拡散する機会に飛びつき、洗練されたAPTアクターは、破壊的なマルウェアが作り出す煙幕を利用して、地上戦で関心のあるターゲットに侵入しようとする。  

--

[1]https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

[2 ] https://twitter.com/dsszzi/status/1499740427783651336?s=20&t=fDgbTX1ydsnTRjocdQUopw

[3]https://malpedia.caad.fkie.fraunhofer.de/details/win.formbook

[4]https://www.vectra.ai/blog/customer-advisory-bulletin-mitigating-detecting-and-responding-to-russian-cyberactivity

先行コンテンツ 2 2022年3月

週間前に、ロシアの国家レベルのアクターやその他の関連グループが、サイバーセキュリティ攻撃時や進行中の地上紛争時にどのように行動するかについて書いた。この7日間を振り返って、ロシアからの脅威アクターがどのように行動するかについて我々が知っていることを再確認し、最新の視点を提供したい。

さらに、FoxBlade.A!dhaとそのドロッパーの親であるFoxBlade.B!dhaとして知られるDDoS攻撃の一部として使用される可能性のある新しいトロイの木馬をマイクロソフトが確認したという事実にも注意を喚起したい。これらは、ウクライナの領土を掌握するためのロシア軍の最初の動きの直前に確認されたもので、ロシア軍とサイバー作戦がいかに連携しているかを示している。

マルウェア運営者はロシアの防衛に殺到する

どんな紛争にも必ず志願者がいるように、この地上とサイバーのハイブリッド戦争も同じだ。ロシアに忠誠を誓った最初のグループの一つは、Conti / TrickBotグループであったが、彼らはその後、この姿勢を軟化させた。このグループは、過去5年間で最大かつ最も成功したランサムウェア・キャンペーンのいくつかに関与している。IcedID、CobaltStrike、そして数々のランサムウェア・キャンペーンを展開したTrickBotとその役割は、ほとんどのブルーチーム・オペレーターがよく知っている名前だ。2月下旬、TrickBotプロジェクトが閉鎖されたことが報告され、ギャングに大きな打撃を与えた。しかし、Contiは、最近BazarBackdoorマルウェアを制御し、優勢を保っている。

Vectra Vectra Threat Intel Matchの検知で、脅威の主体がWIZARD SPIDERまたはWIZARDSPIDERと記載されているものを確認してください。BazarLoaderマルウェアによってドロップされるBazarBackdoorは、HTTPおよびDNSを介して[.]bazarドメインと通信します。これらはバックドアの主要な通信手段であるため、お客様はHidden HTTP TunnelHidden HTTPS Tunnel、およびHidden DNS Tunnelの検知を確認する必要があります。これらは潜在的な感染の関連付けに役立ちます。

このバックドアには、感染したホスト上でPowerShellコマンドを実行できるモジュールコンポーネントもいくつかあるため、WMIメソッドを使用して他のホスト上でコマンドを実行するSuspicious Remote Executionの検知にも注意が必要です。この脅威グループはまた、横方向に拡散するためにタスクスケジューラとSMBを使用することが知られているため、Suspicious Remote Executionの検知で操作としてschtaskを探します。

地上作戦の初期に、情報セキュリティ紛争において2つの新しいマルウェア・ファミリーが出現した。どちらも破壊型/ランサムウェア・ライト型のマルウェアで、システムを破壊し、時には支払いを要求するが、回復オプションは提供しない。現時点では、ネットワークIOCを探すことはできないが、Vectra 、ランサムウェア攻撃を発見し、対応者が迅速に対応できるようにしている。その一例として、Cognito検知 を使用してインシデント発生後のレビューを行った顧客の事例がある。VectraCognitoのCTOはまた、このランサムウェアの現在の波について語るブログポストも作成している。

また、Vectra の脅威インテリジェンスおよびサービスチームは、お客様に最適なサービスを提供するため、何百もの指標やレポートを照合しています。このため、Recall では、これまでに 3 つの新しい保存検索を公開しました:

  • Cogntio - TTP - iSession - Cyclops BlinkのハードコードされたC2 IPアドレス:この保存された検索は、Cyclops BlinkマルウェアのハードコードされたC&C IPアドレスとの通信を検索するように設計されています。
  • Cognito - TTP - SMBファイル - Lockbit既知のランサムノートと拡張機能
  • Cognito - TTP - SMB Files - Lockbit Known Named Pipe:この2つの検索は、マルウェアが隠れた状態で使用する名前付きパイプ通信を探すことで、ネットワーク上のLockBitアクティビティを見つけるように設計されています。また、潜在的に悪意のあるファイルの転送を特定することもできます。

その他の認識とベストプラクティス

現在、Vectra 、すべてのお客様が確実に保護されるよう懸命に取り組んでいます。Sidekickをご利用のお客様には、アナリストチームが直接カバレッジを提供し、Vectra の脅威インテリジェンスと直接連携して、可能な限り最高の優先順位とサービスを提供しています。より広範なお客様には、Vectra の脅威インテリジェンスが1,000を超えるインジケータと独立したレポートを照合し、すべてのお客様に最高のカバレッジをお約束します。また、既知のマルウェアや脅威アクターの行動と検知結果が一致するように、既知のマルウェアや脅威アクターの行動を確認する作業も続けています。

常に気をつけるべき注目すべき検知は以下の通りである:

  • 隠された[HTTP、HTTPS、DNS]トンネル:これらの検知は、マルウェアのコマンド&コントロール動作を検知します。
  • 外部リモートアクセス:ここでもまた、より伝統的なマルウェアのコマンド&コントロール・チャンネルが見られる。
  • 疑わしいリモート実行:多くの脅威者は、既存のチャネルを使用して環境内で横方向への拡散を試みます。
  • 特権異常検知:これらの検知は、疑わしいアカウントの使用を示します。多くの脅威者は、マルウェアを拡散したり、Active Directoryのような価値の高いターゲットに関与したりするために、ネットワーク上で高いレベルの特権を持つアカウントを探します。

クラウドベースの攻撃はまだ広く報告されていないが、このような破壊的で騒々しい攻撃が起きている一方で、クラウドに焦点を当てた静かな攻撃も起きている可能性が高い。ロシアの国家活動家は、攻撃対象をクラウド。CISAは2022年2月に、ロシア国家が支援する攻撃者が防衛請負業者(クラウド)のインフラを侵害したとする報告書を発表した。 過去の侵害からの調査、および既知の脅威アクターの行動に基づいて、Azure ADおよびOffice 365環境のDetectでは、以下のタイプの検知が予想されます。

  • Azure ADの強引な試み
  • Azure ADの不審なサインオン
  • Azure AD MFA-疑わしいサインオンの失敗
  • O365 不審なサインオン・アクティビティ- 攻撃のこのステップは、時に最も騒々しいものになる可能性があります。しかし、リモート・ワークフォースでは、このアクティビティの検知は、単純なログ検索では不十分です。Detect forクラウドは、上記のような検知を行い、アナリストがアクティビティを見つけやすくします。
  • Azure ADの信頼されたIP構成への変更
  • Azure ADの不審な操作
  • O365 Suspicious Teams Application- 貴重なアクセス権を持つアプリケーションやサービスプリンシパルが、追加的なシークレットで変更され、基本的に攻撃者がそれらのアプリケーションに代わって特権アクションを実行するために使用する「バックドア」を作成します。
  • Azure AD 新規作成管理者アカウント
  • Azure ADの冗長アクセス作成
  • Azure ADの不審な操作
  • Azure ADの異常なスクリプトエンジンの使用法
  • O365内部スピアフィッシング
  • O365 不審なエクスチェンジ・トランスポート・ルール
  • O365 疑わしいメールの転送
  • O365 不審なメールボックスの操作-クラウド環境で永続性を得る方法はたくさんあります。Detect forクラウドの多くの検知は、Azure AD で作成されるアカウントから、電子メールをリダイレクトできるトランスポートルールのインストール、あるいは以前の攻撃ではコマンド&コントロールインプラントとして使用されたものまで、アクティビティを検知するように構築されています。
  • O365 危険な為替操作
  • O365 不審なダウンロード活動
  • O365 疑わしいメールの転送
  • O365 不審なメールボックス操作
  • O365 不審な共有アクティビティ- この段階では、ローカルではない宛先への共有権限の開放とともに、ターゲットのメールボックスのパーミッションが変更され、(攻撃者がコントロールする)別のユーザーがターゲットの電子メールに読み取りアクセスできるようになり、その後、定期的に電子メールが流出します。

最後に、MITRE ATT&CK によって概説されたこれらのTTPは、歴史的にロシアの国家活動家と関連しており、最新の破壊的なワイパー攻撃を含むように更新されている: