Cisco Talos は、外部スレッドを乗っ取る手法を使用した攻撃が行われていることを確認しました。過去、さまざまな組織から収集した電子メールを利用した攻撃です。スレッドを乗っ取る手法にはもっと一般的なものがありますが、今回はそれとは違います。一般的なのは、被害組織の Exchange Server を侵害して電子メールスレッドを取得し、攻撃に利用するという手法です。Talos が今回の手法を確認したのは 2022 年 6 月のことです。Qakbot というバンキング型トロイの木馬を配布するより広範な攻撃の一環としてこの手法が使用されていました。今回の攻撃活動で利用されたのは、2021 年の ProxyLogon 攻撃で収集された古い電子メールで、数か月前から数年前のものです。ProxyLogon は CVE-2021-26855 で追跡されている脆弱性です。この脆弱性を持つ Exchange Server が 2021 年の攻撃で標的になりました。
外部スレッドを乗っ取る手法では、被害者の環境への初期アクセスを攻撃者が確立する必要はありません。これはデジタルフォレンジックおよびインシデント対応(DFIR)の観点から注目に値します。なぜなら、フィッシングメールが送られてくる前に標的組織は攻撃者から何の侵害も受けていないからです。このフィッシングメールはその組織の本物の電子メールに対する返信となっており、電子メールスレッドにはいくつかの外部組織が連なっています。ProxyLogon の侵害で取得された電子メールが攻撃に利用されたと CTIR では考えていますが、これは電子メールのタイミングや、ProxyLogon の侵害と一般に認められている事例に対する調査など、数多くの観察に基づいています。攻撃者は、それらの電子メールの中から標的組織が送信元または宛先になっているものを選んで使用しています。
CTIR が確認した外部スレッドを乗っ取る攻撃は、次の手順で行われた可能性があります。
この手順を視覚的に表したものを下の図に示します。この図では、分かりやすくするために 1 つのサードパーティ組織のみを示していますが、Cisco Talos が確認した攻撃では、複数の外部組織から収集された電子メールが利用されていたことをお断りしておきます。
外部スレッドを乗っ取る手法が特殊であることを示すために、被害者のスレッドを乗っ取るもっと一般的な手法について簡単に説明します。2021 年から 2022 年初頭にかけて見られたのは、主に被害者の Exchange Server または個々の電子メールアカウントへのアクセスを確立することでスレッドを乗っ取るという手法でした。最近では、2022 年初頭の IcedID 攻撃
過去に行われた IcedID を配布する標準的なスパム攻撃では、標的組織の Exchange Server を攻撃者が乗っ取り、内部ユーザーや外部パートナーとの間のスレッドを乗っ取っていました。重要な点は、被害者の Exchange Server が、本物の電子メールスレッドを入手する目的と、悪意のある返信を送信する目的の両方に利用されていたことです。攻撃は通常、侵害の直後か、侵害から時間を置かずに行われています。
被害者のスレッドを乗っ取る攻撃の手順は次のとおりです。
この攻撃で配布されるマルウェアについては多数の Snort ルール
外部スレッドを乗っ取る手法と被害者のスレッドを乗っ取る手法の違いを明確に理解したら、次は外部スレッドが乗っ取られたことを検出する方法を理解する必要があります。特に今回の攻撃では、ProxyLogon 攻撃で収集された電子メールが利用されていますが、この攻撃をどうやって検出するかです。これは DFIR の担当者にとって非常に重要なトピックです。この攻撃手法が使用されたことを正確に識別できれば、内部 Exchange Server の詳細なフォレンジック調査を後回しにできる可能性があるからです。
外部スレッドを乗っ取る手法の主な兆候として、次の点を確認します。
下の例は、被害者などの特定を避けるために Cisco Talos で作成したものですが、実際に確認されている外部スレッドの乗っ取りメールとあらゆる点でよく似ています。
HAFNIUM グループなどにエクスプロイトされてきた ProxyLogon の直接的な影響は、2022 年初頭までにほぼ沈静化しました。外部スレッドを乗っ取る手法は、単一の攻撃者に固有のものとは限りませんが、2020 年と 2021 年に発生した、電子メールが大量に流出した広範囲にわたる侵害のさまざまな間接的影響の 1 つと思われます。それらの電子メールは今ではやや古くなっていますが、複数の組織から大量に収集した電子メールを利用した集中的なフィッシング攻撃が今後も展開されていく可能性があります。外部スレッドを乗っ取る手法と被害者のスレッドを乗っ取る手法の違いを正確に認識することで、インシデントを誤って評価したり、行われていない内部侵害の調査に何十時間も無駄に費やしたりするのを避けられる可能性があります。
本稿は 2022 年 07 月 27 日に Talos Group
のブログに投稿された「What Talos Incident Response learned from a recent Qakbot attack hijacking old email threads 」の抄訳です。