最大の脅威は引き続きランサムウェア、今四半期は APT グループの活動がこれまでになく増加
今四半期も、Cisco Talos インシデント対応チーム(CTIR)が対応に当たった最大の脅威はランサムウェアでした。この傾向は 2020 年から続いています。2021 年の総括レポートでも紹介していますが、CTIR は、増大するランサムウェア攻撃者や、世界中の組織に被害を与える主要なサイバーセキュリティ インシデントに継続的に対応しています。
このほか、2022 年第 1 四半期に目立って増加したのは、APT(Advanced Persistent Threat)グループの活動に関連する対応業務です。たとえば、MuddyWater(イラン政府が支援)、Mustang Panda(中国を拠点とし、USB ドライブを利用してリモートアクセス型トロイの木馬(RAT)の PlugX を展開する)、Deep Panda(中国の攻撃者と推測され、Log4j をエクスプロイトする)などの APT グループの活動に対応しました。
攻撃の標的
教育、エネルギー、金融サービス、医療、工業生産・設備、地方政府機関、製造、不動産、電気通信、公益事業など、標的となった業種は多岐にわたっています。最も狙われたのは電気通信で、教育と政府機関が僅差でこれに続きます。電気通信は前四半期に最も標的にされた業種のひとつであり、同じ傾向が続いています。
脅威
CTIR が対応した脅威の大部分を占めていたのは、今四半期もランサムウェアでした。今四半期に対応が完了したインシデントでは、同じランサムウェアが別のインシデントでも使用された例は 1 件もありませんでした。圧倒的に多く使用されるランサムウェアが存在しないという意味で、攻撃者の「民主化」の傾向が昨年から見られるようになっていましたが、この動きがさらに進んでいるようです。今四半期は、Cerber(別名 CerberImposter)、Entropy、Cuba などのランサムウェアファミリが新たに登場しました。また、Hive や Conti などの有名なランサムウェアファミリも確認されています。
CTIR は、ランサムウェアを使う攻撃者が、身代金を支払わせるための別の手段として、二重脅迫型の攻撃に使える機密データを盗み出しているのも確認しています。この動きは、2019 年の冬から続いています。たとえば地方政府機関が被害を受けた Entropy ランサムウェアのインシデントでは、ファイル転送とデータ漏洩に使用されることの多い mega[.]nz というユーティリティに関連するトラフィックとアクティビティを検出しました。このユーティリティが「C:\Users\admin\AppData\Local\MEGAsync\MEGAsync.exe」で実行されたことを確認したのは今回が初めてです。
ランサムウェアに次いで、今四半期は、世界中の組織で一般的に使用されている Apache ログユーティリティである Log4j のエクスプロイトが特によく確認されました。2021 年 12 月に Log4j のセキュリティ上の欠陥が最初に公開されて以来、Log4j の脆弱性(CVE-2021-44228、CVE-2021-45046、および関連する脆弱性)がエクスプロイトされ続けています。2022 年 1 月には、脆弱な VMware Horizon サーバーで Log4j をエクスプロイトしようとする動きが増え始めたのを確認しました。
ある教育機関が被害を受けたインシデントでは、PowerShell スクリプトが実行された証拠を見つけました。「ws_TomcatService.exe」というプロセスを強制終了する行がスクリプトに含まれていたのですが、これは、よく確認される Log4j 関連の悪意のあるアクティビティの主要な親プロセスです。時期や、VMware Horizon サーバーがパッチ未適用の脆弱な状態にあったことを考え合わせると、不正アクセスの根本原因は Log4j のエクスプロイトだった可能性が高いと考えられます。このときの攻撃者はほかにも、暗号通貨マイナーをインストールし、「Bloodhound」で偵察を行いました。これは、Active Directory(AD)内の関係を列挙するために使用されるアプリケーションです。またローカル「DomainAdmin」アカウントを少なくとも 1 つ作成し、リモート デスクトップ プロトコル(RDP)を活用してラテラルムーブメントを狙いました。
Advanced Persistent Threat(APT)
前述したように、過去の数四半期と比べ、APT グループの活動への対応業務が今までになく増加しました。イラン政府の支援を受ける MuddyWater、中国を拠点とする Mustang Panda による PlugX RAT の展開、中国政府の支援を受けているとされる Deep Panda による Log4j のエクスプロイトなど、APT グループの活動への対応です。
たとえばある医療機関は Deep Panda に関係のある脅威アクティビティの被害を受けました。Log4j をエクスプロイトしてカスタムのバックドアを仕掛けるというものです。CTIR はまず、攻撃者のサーバーから 3 つの追加ファイル(「1.bat」、「syn.exe」、「1.dll」)をダウンロードする PowerShell コマンドを発見しました。このサーバーは、他のセキュリティ企業によって Deep Panda に関連付けられていたものです。PowerShell スクリプトは「1.bat」を実行し、続いて「syn.exe」を実行した後、3 つのファイルすべてをディスクから削除します。「syn.exe」ファイルは、自動実行されるよう設定されたサービスを作成し、「svchost.exe」を介して起動します。「1.dll」ファイルには、Themida が同梱されています。これは、マルウェアリバーシングに使用される可能性のある監視プログラムを検出するために使用されます。
ある電気通信企業が被害を受けたインシデントを CTIR が調査した際は、確認された侵害の痕跡(IOC)と戦術、手法、手順(TTP)のいくつかは Mustang Panda に関連しているという分析結果になりました(信頼性は中~高程度)。最初の不正アクセスの原因は、マルウェアに感染した USB だったことが判明しています。この USB が企業リソースに接続されると、Mustang Panda がよく使う RAT の PlugX が展開され、侵入先のマシンからログイン情報を盗み出します。USB を約 1 時間企業環境に接続したところ、PlugX に関連するファイルを含む隠しディレクトリが「C:\ProgramData」内に作成されました。この攻撃で使われた PlugX の亜種は、USB を介して独自に拡散できる点で、他の亜種とは一線を画しています。この亜種は、「RECYCLE.BIN」という名前の隠しフォルダを作成し、無害な EXE、ローダー DLL、暗号化された DAT ファイルの 3 つのファイルをコピーします。また、ルートディレクトリ内のすべてのフォルダを隠し、標的を欺くために各フォルダに LNK ファイルを作成します。このケースでは、悪意のある PlugX DLL のサイドロードには、Avast 社が署名した正規の実行ファイルが使用されていました。
初期ベクトル
大半のインシデント対応業務では、ロギングや可視性が不十分なため、初期ベクトルの特定は困難でした。ただ、初期ベクトルを確認できたケースや合理的に想定できたケースでは、Log4j に関する脆弱性を持つ一般向けアプリケーションがエクスプロイトされていた事例が多く、今四半期の特徴となっています。たとえば電気通信会社が被害を受けたインシデントでは、ある IP アドレスへの多数の PowerShell ダウンロードリクエストが大量に確認されました。この IP アドレスは、脆弱な VMware Horizon サーバーに対する Log4j エクスプロイトの試みに関連があるものでした。このアクティビティに続き、VMware Horizon サーバーの CPU 使用率の上昇が検出されたことから、暗号通貨マイナーのクラスタを複数発見することができました。これは、注目を集める脆弱性が公開された場合に暗号通貨マイナーを使う攻撃者が見せる典型的な行動です。
また、ある企業が被害を受けた Cerber ランサムウェアのインシデントにも対応しました。攻撃者は、GitLab の脆弱性(CVE-2021-22204 および CVE-2021-22205)を利用してコードをリモートでアップロードおよび実行し、「git」アカウントでのシステムへの不正アクセスに成功していました。他のセキュリティ企業も同じように、過去にもリモートコード実行の脆弱性が見つかっている Atlassian Confluence サーバーと GitLab サーバーを狙った Cerber ランサムウェアの新しいバージョンについて報告しています。攻撃者は特権昇格とラテラルムーブメントによって不正アクセスの拡大を試み、最終的にランサムウェアを実行しました。
セキュリティの脆弱性
インシデント対応担当者が推奨する一番の対策は、エンドポイントの検出/対応(EDR)ソリューションをはじめとするあらゆる重要なサービスに多要素認証(MFA)を導入することです。MFA は不正アクセスの防止に有効です。CTIR は、MFA が有効になっていれば防げたはずの脅威アクティビティを日常的に目にしています。
ある通信会社が被害を受けた、今四半期から対応を開始したインシデントは、ランサムウェア攻撃実行前の TTP に関連していました。このインシデントでは、同社のヘルプデスク/コールセンターを運営するパートナー企業が不正アクセスを受けました。サードパーティが MFA を有効にせずにその企業の Citrix マシンにアクセスしていたことが不正アクセスの根本原因だったことが判明しています。CTIR では、環境内のすべてのサードパーティが MFA セキュリティポリシーとガイドラインに従うことを推奨しています。
最も多く観察された MITRE ATT&CK 手法
以下は、今四半期のインシデント対応業務で確認された MITRE ATT&CK 手法の一覧です。複数の戦術に分類されるものもありますが、最も関連性の高い戦術に各手法を分類しています。以下の表は、関連する例で使用された手法と、おおよその確認回数をまとめたものです。ただし、すべてを網羅したリストではありません。
MITRE ATT&CK の付録から得られた主な調査結果は以下のとおりです。
- 悪意のあるリンクやドキュメントを使ったフィッシング(成否は、その後のユーザーの行動次第)により最初のアクセスを達成する手法を使ったインシデントが増加しました。前四半期と比較して、ソーシャルエンジニアリングの手法を利用した脅威が増えています。また、正規のファイルやユーティリティに見せかけて、特定のリンクやファイルをユーザーがクリックまたは実行するように仕向ける手法を使った脅威も増加しました。
- Log4j のエクスプロイトへの対応件数を見ると、パッチ未適用の脆弱な一般向けアプリケーションをエクスプロイトする手法が増えていることが分かります。CTIR の調査でも、最新パッチが適用されておらずデータ保護が不適切なためにエクスプロイトが発生していることを確認しています。
- 過去の数四半期と比較して、防御回避と収集の手法が大幅に増加しました。確認された収集手法から、特定の情報が狙われていることは明らかです。攻撃対象を決めるために使用される可能性のある特定のホストに関する詳細の収集、ブラウザのログイン情報にアクセスするためのキーロギング、情報流出の可能性がある特定のファイルの選択などの手法が使用されています。
- 前四半期と同様に今四半期の調査でも、リモートアクセスを容易にする目的では、PsExec や Cobalt Strike などのユーティリティと、TeamViewer や ScreenConnect などさまざまなリモート アクセス ソフトウェアが主に使用されたことが確認されています。
戦術 | 手法 | 例 |
初期アクセス(TA0001) | T1190 外部公開されたアプリケーションへの攻撃 | インターネットに公開されている脆弱なアプリケーションのエクスプロイトに成功 |
偵察(TA0043) | T1592 攻撃対象のホスト情報の収集 | 悪意のあるファイルに、ホストに関する詳細を保存 |
永続化(TA0003) | T1053 スケジュール設定されたタスク/ジョブ | サーバーに侵入した後、スケジュール設定されたタスクを作成 |
実行(TA0002) | T1059.001 コマンドとスクリプトインタープリタ:PowerShell | クライアントの Active Directory 環境に関する情報を取得するために PowerShell コードを実行 |
検出(TA0007) | T1087 アカウントの検出 | ADRecon などのユーティリティを使用して、ユーザーとグループに関する情報を列挙 |
ログイン情報へのアクセス(TA0006) | T1003.001 OS ログイン情報のダンプ:LSASS メモリ | 「lsass.exe」を使用して、メモリからパスワードハッシュを窃取 |
特権昇格(TA0004) | T1574.002 ハイジャック実行フロー:DLL サイドローディング | 悪意のある PowerShell スクリプトを使用して DLL のメモリへのサイドロードを試行 |
ラテラルムーブメント(TA0008) | T1021.001 リモート デスクトップ プロトコル | Windows リモートデスクトップを使用して横展開を試行 |
防御の回避(TA0005) | T1027 難読化されたファイルまたは情報 | base64 でエンコードされた PowerShell スクリプトを使用 |
コマンド & コントロール(TA0011) | T1219 リモート アクセス ソフトウェア | システムに侵入した後、リモートアクセスツールを仕込む |
影響(TA0040) | T1486 データ暗号化による被害 | Conti ランサムウェアを展開し、重要なシステムを暗号化 |
データ漏洩(TA0010) | T1567.002 Web サービスを介したデータ漏洩:クラウドストレージへの情報流出 | ファイル共有サイト mega[.]nz にデータを流出 |
収集(TA0009) | T1114.003 メールの収集:メール転送ルール | 侵害されたアカウントを使用し、新しい受信トレイルールを作成して電子メールをフォルダに格納 |
ソフトウェア/ツール | S0029 PsExec | ラテラルムーブメントに PsExec を使用 |
本稿は 2022 年 04 月 29 日に Talos Group のブログに投稿された「Quarterly Report: Incident Response trends in Q1 2022」の抄訳です。