何が起こり、誰がやったのか?
12月13日付のワシントン・ポスト紙は、ロシアのグループAPT29(コージー・ベア)が米国財務省と商務省に侵入したと報じ、FBIの推測では、攻撃は早ければ2020年3月に始まったと報じている。
FireEyeの報告によると、今回の侵入はSolarWinds Orionソフトウェアを通じてSUNBURSTと名付けられたマルウェアを配信するサプライチェーン攻撃によるものであった。SolarWinds Orionは、フォーチュン500の425社、10大通信会社、米軍の各支部、NSA、国務省、国防総省、司法省、ホワイトハウスなどの米政府機関を含む、世界中の30万以上の組織で使用されている人気のIT管理ツールです。そのため、米国政府のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、「すべての米国連邦政府民間機関は、侵害の指標となるネットワークがないか確認し、SolarWinds Orion製品の接続を直ちに切断するか、電源を落とすこと」を求める緊急指令を発表しました。
国家主導のアクターは、SolarWinds Orionソリューションを侵害し、2020年3月の時点でOrionにバックドアを構築した。そして、感染したアップデートをインストールすることで、標的をさらに感染させるために使用されました。このソフトウェアはサプライヤレベルで侵害されたため、有効な署名でデジタル署名されており、アンチウイルスやオペレーティングシステムの保護では検知されませんでした。
ソーラーウインズは、2020年3月から2020年6月までにリリースされたソーラーウインズ・オリオン・プラットフォーム・ソフトウェアが影響を受けることを開示する アドバイザリを発行しました。
クラウド、ユーザーを監視することがなぜ不可欠なのか。
被害者が侵害されたソフトウェアをインストールすると、APTグループはさらにネットワークを侵害し続け、特権アカウントを使用して横方向に移動し、最終的にドメイン管理者アカウントまたはSAML署名証明書の認証情報を取得した。これによって攻撃者は、オンプレミスのあらゆるデバイスや、クラウドインフラストラクチャに横方向に移動できるようになりました。このレベルのアクセスを利用して、新たな特権アカウントを偽造し、組織内により強固な足場を築くことができる。この攻撃者は、マイクロソフト社によって、足がかりを得るためにDomain Federation Trustの活動を行っていることが確認されている。
Vectra Cognitoには、この攻撃によって侵害されたかどうかを調査または検知したい顧客が利用できる機能がいくつかある。
Vectraの検知の概要
APT 29のツールやテクニックは非常に洗練されており、長期間気付かれることはありませんでした。このグループの手口は、過去のAPTによる侵害と類似している:
- 妥協のホスト
- ホストを使用して認証情報を盗む/特権を昇格させる
- 新しいクレデンシャルを使用して、ネットワークのさまざまな部分に足がかりを築く
- クラウド環境を移動する
- データを盗む
Vectra の顧客は、報告された戦術やテクニックを活用した攻撃から保護されています。以下は、TTP に基づくVectraのAI主導の検知の概要です。
ネットワーク・アクティビティに基づく検知
外部リモートアクセス / 隠された HTTPSTunnel/ 隠された HTTP トンネル
- 感染したホストとの C2 通信および相互作用が予想されます。この検知は、ドメイン avsvmcloud[.]com にリンクされている可能性が高い。
Vectra 脅威インテルMatch
- このキャンペーンに関連する悪意のある送信先は、Vectra Threat Intelligence Feedで監視されています。
RPC偵察/ターゲットRPC偵察
- 攻撃者は、マイクロソフト社に組み込まれているツールを使って偵察を行い、標的に対する悪用を試みる。
不審なリモート実行
- 攻撃者は、インプラントやリモートコード実行を利用して新たな足がかりを築くだろう。
特権アクセス異常
- 攻撃者は、サービスアカウント、特にSolarWindsアカウントを活用して、インフラストラクチャサーバに対して横方向に移動する。
- 攻撃者は、昇格した特権を持つ新しいアカウントを生成し、既存のホストやインフラに対して使用することで、ネットワーク内を移動する。
Office 365およびAzure ADのアクティビティに基づく検知
不審なサインオン活動
- 攻撃者は、クラウドのアカウントを使用して、組織のインフラス トラクチャに対して管理アクションを実行することが知られている。したがって、この検知は、そのグループが組織外のどこかからアカウントを使用した場合に作動する。
管理者アカウントの作成
- 攻撃者は管理者アカウントを作成している。
新規作成された管理者アカウント
- 前回の検知と同様に、これは敵が新しく作成したアカウントを使用していることを示している。
- 疑わしいAzure ADの操作
- 攻撃者は、新しいフェデレーション・トラストを作成し、Azure ADの足場を維持するために他の種類の高度な操作を行うことが確認されている。
危険なアプリケーションのパーミッション
- 攻撃者は、環境内で永続性を維持するために、広範なパーミッションを持つ悪意のあるアプリケーションを活用しています。
あなたの環境で何を探すべきか:
Stream またはRecall 、ネットワーク・メタデータを収集するツールを使用している人は、直ちに以下の項目について自分の環境を検索する必要がある;
iSessionメタデータストリームにおけるAPT29リンクドメインに関連するアクティビティをレビューする。
- resp_hostname:*.appsync-api.eu-west-1.avsvmcloud[.]com(角括弧なし)
- resp_hostname:*.appsync-api.eu-west-2.avsvmcloud[.]com(角括弧なし)
すべてのメタデータで、SolarWindsシステムから予期しないアクティビティをレビューします。
- orig_hostname:(ソーラーウィンズ_01* OR ソーラーウィンズ_01*)
Kerberos_txnメタデータの管理者ADアカウントに関連するアクティビティを確認する。
- クライアント:(*admin_account* OR *Admin_Account*)
NTLM メタデータにおける管理者アカウント関連のアクティビティをレビューする。
- ユーザー名:(*admin_account* OR *Admin_Account*)
RDPメタデータで管理者アカウントに関連するアクティビティを確認する(RDPクッキーは9文字で切り捨てられることに注意)。
- クッキー:(admin_acc OR Admin_Acc)
- Cookieフィールドには、ユーザー名の前にドメイン名を含めることもできます。このような場合は、SolarWindsサーバーがソースである検索を実行してください。
結論
SolarWindsは、すべてのお客様に対し、環境のセキュリティを確保するために、できるだけ早くOrion Platformバージョン2020.2.1 HF 1にアップグレードするか、Orion Platformのインターネットアクセスを無効にし、ポートおよび接続を必要なものだけに制限することをお勧めします。
このようなサイバー攻撃を検知し、対応するためのアプローチを変更する準備ができており、Cognitoが攻撃者のツールやエクスプロイトをどのように見つけることができるかを詳しく知りたい場合は、Vectra のデモを今すぐご予約ください。