TinyTurla の侵害後の活動に関する新たな情報により、キルチェーンの全容が明らかに
Cisco Talos が最近発表したこちらとこちらの 2 本のレポートについて、最新情報をお届けします。ロシアのスパイグループ Turla が現在実行している、TinyTurla-NG(TTNG)インプラントを展開する新たな攻撃に関するものです。同グループが使用するキルチェーン全体に関する新たな情報が得られました。これには、標的から貴重な情報を窃取し、感染した企業を通じてその情報を拡散するために使用される戦術、手法、手順(TTP)も含まれます。
- Talos が CERT.NGO
と連携して行った分析により、ヨーロッパの非政府組織(NGO)のネットワークが侵害され、ネットワーク内の複数のシステムが Turla に感染していたことが明らかになりました。
- 攻撃者は最初のシステムを侵害して永続性を確立し、侵害後の予備的なアクションの一環として、これらのエンドポイントで実行されているウイルス対策製品に除外を追加しました。
- その後 Turla は、データ漏洩と、ネットワーク内でアクセス可能な他のシステムへの侵入を目的として、Chisel を通じて追加の通信チャネルを開きました。
Turla による侵害からデータ漏洩までの過程を追跡
Talos は、この侵入で Turla が実行した侵害後の活動がバックドアの展開だけではないことを発見しました。Turla は TinyTurla-NG を展開する前に、バックドアの検出を回避する目的で、ウイルス対策ソフトウェアに除外を設定しようとします。除外の設定が終わると、TTNG がディスクに書き込まれ、悪意のあるサービスを作成することで永続性が確立されます。
侵害後の予備的活動と TinyTurla-NG の展開
最初のアクセスを獲得すると、Turla はまず、侵害されたシステムで Microsoft Defender などのウイルス対策ソフトウェアに除外を追加し、その場所をインプラントをホストするために使用します。
| アクション | 目的 |
| HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths |
“C:\Windows\System32\” = 0x0 |
[T1562.001] 防御の妨害:ツールの無効化または改変 |
次に、Turla は 1 つ以上のバッチ(BAT)ファイルを使用して、TinyTurla-NG インプラントの永続性を設定します。バッチファイルは、TTNG DLL を永続化するためのサービスをシステム上に作成します。
| アクション | 目的 |
| reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost” /v sysman /t REG_MULTI_SZ /d “sdm” /f
reg add “HKLM\SYSTEM\CurrentControlSet\services\sdm\Parameters” /v ServiceDll /t REG_EXPAND_SZ /d “%systemroot%\system32\dcmd.dll” /f |
[T1543.003] システムプロセスの作成または変更:Windows サービス |
| sc create sdm binPath= “c:\windows\system32\svchost.exe -k sysman” type= share start= auto
sc config sdm DisplayName= “System Device Manager” sc description sdm “Creates and manages system-mode driver processes. This service cannot be stopped.” |
[T1543.003] システムプロセスの作成または変更:Windows サービス |
この手法は、Turla が TinyTurla インプラントの永続性を実現するために 2021 年に使用したものと同じです。ただし、攻撃者が 2 つの異なるバッチファイルを使用する理由はまだ不明です。検出を回避するために不必要に複雑なアプローチをとっているようです。
TTNG の場合、サービスは「System Device Manager」サービスを装った「sdm」という名前で作成されます。
バッチファイルの内容。
悪意のあるサービスの作成と開始により、svchost[.]exe(Windows のサービスコンテナ)を介して TinyTurla-NG インプラントの実行が開始されます。TinyTurla-NG は目的のディレクトリに対して追加の偵察を実行し、感染したシステム上の一時的なステージングディレクトリにファイルをコピーしてから C2 に送信するようになっています。オープンソースの攻撃フレームワークからカスタム構築された Chisel ビーコンを展開するためにも、TinyTurla-NG が使用されています。
カスタム Chisel の使用法
展開時に、Chisel は攻撃者が管理するサーバーへのリバースプロキシトンネルを設定します [T1573.002 – 暗号化チャネル:非対称暗号化]。Talos は、攻撃者が最初に侵害を受けたシステムへの Chisel 接続を利用して、ネットワーク内の他のシステムに侵入したことを確認しました。
標的となったシステム上に Windows Remote Management(WinRM)ベースの接続が存在することから、リモートセッションを確立するために、Chisel がプロキシチェーンや evil-winrm など他のツールと組み合わせて使用された可能性があることがわかります。WinRM は Microsoft による WS-Management プロトコルの実装です。Windows ベースのシステム同士はこのプロトコルを使用して情報を交換することができ、管理者はスクリプトや組み込みユーティリティを使用してこれらのシステムを管理できます。
感染チェーンの全貌を可視化すると以下のようになります。
Turla の戦術、ツール、手順のフロー。
攻撃者は新しいシステムにアクセスできるようになると、Microsoft Defender の除外設定、マルウェアコンポーネントのドロップ、永続性の確立を繰り返します。つまり Turla は、以下のようなサイバーキルチェーンとして表されるハンドブックに従って活動していると考えられます。
サイバーキルチェーン。
Chisel から発信されたトラフィックを分析したところ、1 時間ごとに C2 サーバーにビーコンを送り返していることが判明しました。
感染したシステムは 2023 年 10 月にはすでに侵害されており、Chisel は遅くとも 2023 年 12 月に展開されましたが、Turla の攻撃者は、ずっと後の 2024 年 1 月 12 日に Chisel を使用してデータ漏洩の大部分を実行しました [T1041 – C2 チャネルを介したデータ漏洩]。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
IOC(侵入の痕跡)
ハッシュ
267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40
ad4d196b3d85d982343f32d52bffc6ebfeec7bf30553fa441fd7c3ae495075fc
13c017cb706ef869c061078048e550dba1613c0f2e8f2e409d97a1c0d9949346
b376a3a6bae73840e70b2fa3df99d881def9250b42b6b8b0458d0445ddfbc044
ドメイン
hanagram[.]jpthefinetreats[.]com
caduff-sa[.]chjeepcarlease[.]com
buy-new-car[.]com
carleasingguru[.]com
IP アドレス
91[.]193[.]18[.]120
本稿は 2024 年 03 月 21 日に Talos Group
Tags:
