更新履歴
| 日付 | 更新内容 |
| 2022 年 8 月 10 日 | Active Directory に関連したアクティビティについての詳しい説明を追加 |
| 2022 年 8 月 10 日 | 「シスコの対応と推奨事項」セクション(Duo 関連)を更新 |
概要
- 侵害を受けた可能性があることをシスコが認識したのは 2022 年 5 月 24 日です。以来、Cisco Security Incident Response(CSIRT)と Cisco Talos とで修復に取り組んでいます。
- 調査を進める中で、あるシスコ従業員のログイン情報が侵害されていたことが判明しました。侵害を受ける前に、この従業員の個人 Google アカウントを攻撃者が管理できる状態になっていたのですが、その個人アカウントではブラウザに保存されているログイン情報が同期される設定になっていました。
- 攻撃者は、この従業員に多要素認証(MFA)プッシュ通知を配信し、信頼できるさまざまな組織を装って一連の高度な音声フィッシング攻撃を仕掛け、通知を受け入れるように仕向けました。MFA プッシュ通知が受け入れられたことで、最終的に攻撃者は標的のユーザーのコンテキストで VPN にアクセスできるようになりました。
- 現在、CSIRT と Talos が対応にあたっていますが、製品開発やコード署名などに関連する重要な内部システムに攻撃者がアクセスしたことを示す証拠は確認されていません。
- 最初のアクセスを取得した後、アクセスを維持し、フォレンジック アーティファクトを最小限に抑え、環境内のシステムへのアクセスレベルを高めるために、攻撃者はさまざまなアクティビティを実行していました。
- この攻撃者は、環境から無事排除されました。攻撃後の数週間にわたり、粘り強くアクセスの回復を繰り返し試みていましたが、失敗に終わっています。
- 今回の攻撃は、UNC2447(サイバー犯罪グループ)、Lapsus$(攻撃者グループ)、Yanluowang(ランサムウェアを展開)とのつながりがある初期アクセスブローカー(IAB)としてすでに特定されている攻撃者によって実行されたと Talos では考えています(信頼性は中~高程度)。
- 詳細については、シスコの対応に関するこちらのページ
を参照してください。
初期感染経路
シスコ従業員の個人 Google アカウントの侵害に成功したことで、攻撃者は Cisco VPN への最初のアクセスが可能になりました。侵害を受けた従業員は、Google Chrome によるパスワード同期を有効にし、ブラウザにシスコのログイン情報を保存していました。こうすると、ログイン情報を Google アカウントに同期できるようになります。従業員のログイン情報を取得した後、攻撃者は、「ビッシング」とも呼ばれる音声フィッシングや多要素認証(MFA)疲労攻撃など、さまざまな手法を駆使して多要素認証の回避を目論みました。多要素認証疲労とは、攻撃対象のモバイルデバイスに大量のプッシュ通知を送信する手法です。ユーザーが誤って通知を受け入れるか、単に繰り返し送られてくるプッシュ通知を止めようとして受け入れるまで通知を送り続けます。ビッシングは、一般化が進むソーシャルエンジニアリングの手法であり、従業員を騙して電話で機密情報を漏洩させようとするものです。今回の場合、数日間にわたって何度も電話がかかってきたと従業員は報告しています。電話の相手は、同従業員が信頼するサポート組織の人間を装っていました。話していた英語には、外国風のさまざまなアクセントや訛りがありました。
最初のアクセスを取得した攻撃者は、新しいデバイス一式を多要素認証に登録して Cisco VPN への認証に成功しました。その後、攻撃者は権限を管理者に昇格させ、複数のシステムにログインできるようにしました。ここで Cisco Security Incident Response Team(CSIRT)が通知を受け、インシデント対応を開始しました。問題の攻撃者は、リモートアクセスツール(LogMeIn、TeamViewer など)や攻撃的なセキュリティツール(Cobalt Strike、PowerSploit、Mimikatz、Impacket など)といったさまざまなツールをドロップしていました。また、独自のバックドアアカウントと永続化メカニズムも追加していました。
侵害後の戦術、手法、手順(TTP)
環境への最初のアクセスに成功した後、アクセスを維持し、フォレンジック アーティファクトを最小限に抑え、環境内のシステムへのアクセスレベルを高めるために、攻撃者はさまざまなアクティビティを実行していました。
システムに侵入すると、一般的な組み込みの Windows ユーティリティを使用して環境の列挙を開始しました。これにより、システムのユーザーおよびグループのメンバーシップ構成、ホスト名、それらが動作していたユーザーアカウントのコンテキストを識別しました。攻撃者が発行するコマンドにはタイプミスが定期的に見られました。つまり、環境内で手動操作を行っていたということになります。
VPN へのアクセスを確立した後は、侵害したユーザーアカウントを使用して多数のシステムにログオンしています。その後、環境内にさらなる侵入を図りました。Citrix 環境に移動して一連の Citrix サーバーを侵害し、最終的にはドメインコントローラへの特権アクセスを取得しています。
ドメインコントローラへのアクセス権を取得した後は、次の構文に一致する「ntdsutil.exe」を使用し、NTDS をダンプしようとしました。
powershell ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\users\public' q q
次に、SMB(TCP/445)経由でダンプした NTDS を、ドメインコントローラから自分たちが管理している VPN システムへと流出させています。
ログイン情報データベースへのアクセスを取得した後は、マシンのアカウントを利用して特権認証や環境全体へのラテラルムーブメントを行っていました。
過去の同様の攻撃でも確認されていることですが、Windows の組み込みコマンドである「net.exe」を使用して、システム上に「z」という管理ユーザーを作成しています。その後、このアカウントをローカルの管理者グループに追加しました。また、既存のローカルユーザーアカウントのパスワードを以下に示している値に変更した例も確認しています。特に注目すべき点として、ロシアによるウクライナ侵攻の前に行った過去のインシデント対応業務で、「z」アカウントが作成されていたことを Talos は確認しています。
C:\Windows\system32\net user z Lh199211* /add
C:\Windows\system32\net localgroup administrators z /add
その後、「z」アカウントを使用して AdFind や secretsdump など追加のユーティリティを実行し、ディレクトリサービス環境を列挙してさらにログイン情報を取得しようとしていました。侵害した Windows ホスト上の SAM データベースを含むレジストリ情報の抽出も試みています。
reg save hklm\system system
reg save hklm\sam sam
reg save HKLM\security sec
一部のシステムでは、Mimikatz の MiniDump を使用して LSASS をダンプしていました。
tasklist | findstr lsass
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump [LSASS_PID] C:\windows\temp\lsass.dmp full
また、侵害を受けたシステムで実行されたアクティビティの証拠を消すために、作成していたローカル管理者アカウントを削除しています。「wevtutil.exe」ユーティリティの使用も確認されました。システムで生成されたイベントログを識別して消去するために、このユーティリティを使用しています。
wevtutil.exe el
wevtutil.exe cl [LOGNAME]
多くのケースで、作成していたローカル管理者アカウントが削除されていました。
net user z /delete
環境内のシステム間でのファイル移動によく利用されていたのが、Remote Desktop Protocol(RDP)と Citrix です。RDP でシステムにアクセスできるようにするため、ホストベースのファイアウォール構成が変更されていました。
TeamViewer や LogMeIn などの追加のリモートアクセスツールのインストールも行っています。
昇格した特権で環境内のシステムにアクセスできるようにするためによく利用されていたのが、Windows ログオンバイパスの手法です。PSEXESVC.exe を利用し、次のレジストリキー値をリモートで追加していました。
これにより、Windows ログオン画面に表示されるアクセシビリティ機能を利用して SYSTEM レベルのコマンドプロンプトを生成し、システムを完全に制御できるようになります。レジストリキーを追加したものの、それ以上はシステムとのやり取りを行っていないケースが複数確認されています。おそらく、プライマリアクセスの権限が取り消された後に永続化メカニズムとして使用されるものと考えられます。
攻撃全体を通し、環境から情報を流出させようとする試みが確認されました。確認したところ、攻撃中にデータ流出に成功したのは 1 回だけでした。流出したのは、侵害を受けた従業員のアカウントに関連付けられた Box フォルダの内容と、Active Directory の従業員認証データです。この事例で攻撃者が取得した Box のデータは機密情報ではありませんでした。
攻撃者が環境から排除された後、アクセスを再確立しようとする試みが数週間にわたって継続的に行われたことが確認されています。パスワードの強制リセット時に同じようなパスワードを使い回すユーザーが狙われるケースがほとんどでした。主に標的となったのは、以前のパスワードを 1 文字だけ変更したと思われるユーザーです。そうした従業員のログイン情報を利用して認証を行い、Cisco VPN へのアクセスを回復しようとしていました。攻撃者は当初、Tor のようなトラフィック匿名化サービスを利用していましたが、たいして成果があがらなかったため、攻撃の初期段階で侵害したアカウントを使用して、住宅用 IP スペースから新しい VPN セッションの確立を狙う形に切り替えました。また、攻撃への対応中に組織を参照する追加ドメインがいくつか登録されたことを確認したため、悪用される前に対策を講じました。
環境から排除された後も、攻撃者は組織の幹部メンバーとの電子メール通信を確立しようと繰り返し試みていましたが、具体的な脅迫や恐喝は行っていません。ある電子メールには、前述した Box の流出データのディレクトリ一覧を示すスクリーンショットが含まれていました。以下のスクリーンショットは、受信した電子メールの一例です。攻撃者は、電子メールを送信する前に、ディレクトリ一覧のスクリーンショットを編集していました。
バックドアの分析
攻撃者がシステムにドロップした一連のペイロードについて、Talos は引き続き分析を行っています。最初のペイロードは単純なバックドアで、コマンドアンドコントロール(C2)サーバーからコマンドを受け取り、Windows コマンドプロセッサを介してエンドシステムで実行します。コマンドは JSON BLOB で送信されており、バックドアとしては標準的なものです。システムからバックドアを完全に削除する「DELETE_SELF」コマンドが用意されていました。それよりも興味深いコマンドが「WIPE」です。最後に実行されたコマンドをメモリから削除するようにバックドアに指示するもので、影響を受けたホストのフォレンジック分析にマイナスの影響を与えるためのものと考えられます。
コマンドは、次の構造を使用して C2 サーバーに HTTP GET リクエストを行って取得します。
/bot/cmd.php?botid=%.8x
また、次の構造の HTTP GET リクエストを介して C2 サーバーとの通信も行います。
/bot/gate.php?botid=%.8x
感染したシステムから最初のリクエストを受けると、C2 サーバーは SHA256 ハッシュで応答します。10 秒ごとに追加のリクエストが送信されることを確認しました。
前述の HTTP リクエストは、次のユーザーエージェント文字列を使用して送信されます。
また、マルウェアの現在の作業ディレクトリに「bdata.ini」というファイルを作成します。このファイルには、感染したシステムに存在するボリュームシリアル番号から派生した値が含まれています。このバックドアが実行された事例では、次のディレクトリの場所でマルウェアが実行されていました。
攻撃者は、操作しているシステムのパブリック ユーザー プロファイルの下のディレクトリの場所に、ツールを頻繁にステージングしていました。
バックドアに関連する C2 インフラストラクチャの分析結果から、この C2 サーバーは今回の攻撃のために特別にセットアップされたと Talos では判断しています。
攻撃のアトリビューション
今回の攻撃は、UNC2447 および Lapsus$ とのつながりがある初期アクセスブローカー(IAB)としてすでに特定されている攻撃者によって実行されたと Talos では考えています(信頼性は中~高程度)。これは、取得されたアーティファクト、特定された戦術、手法、手順(TTP)、使用されたインフラストラクチャ、攻撃で使用されたバックドアの徹底的な分析に基づいた判断です。IAB は通常、企業ネットワーク環境への特権アクセスを取得し、それを他の攻撃者に販売して収益化しようとします。購入した攻撃者は、アクセスをさまざまな目的で利用できます。また今回の攻撃者と Yanluowang ランサムウェアグループがつながっていることを示す活動も以前確認されています。侵害した組織から盗んだデータを投稿するための Yanluowang データリークサイトの使用などです。
UNC2447 は、ロシアに関係のある金銭目的の攻撃者です。過去に「二重恐喝」の手法を使ったランサムウェア攻撃を実行していました。データを漏洩させた後にランサムウェアを展開し、被害者に身代金の支払いを強要するのが二重恐喝の手口です。過去の報告によると、UNC2447 は、FIVEHANDS、HELLOKITTY など、さまざまなランサムウェアを展開していたことが確認されています。
UNC2447 のほか、調査中に確認されたいくつかの TTP は Lapsus$ のものと一致します。Lapsus$ は、耳目を集めた企業への不正アクセス数件に関与していると報告されている攻撃者グループです。今年初め、Lapsus$ のメンバー数人が逮捕されたことが報道されていました。Lapsus$ は、企業環境を侵害して機密情報を盗み出そうとしていました。
今回の攻撃ではランサムウェアの展開は確認されませんでした。ただし、使用されていた TTP は「ランサムウェア展開前のアクティビティ」(被害者の環境でランサムウェアが展開されるまでの間に一般的に確認されるアクティビティ)と一致しています。確認された TTP の多くは、過去のランサムウェア攻撃中に CTIR が確認したアクティビティと一致します。過去の活動に関連するサーバー側インフラストラクチャの再利用も Talos の分析で示唆されています。当時も、攻撃対象者の環境でのランサムウェアの展開は確認されませんでした。
シスコの対応と推奨事項
シスコは、このインシデントを把握した直後に全社でパスワードリセットを実施しました。CTIR は、2021 年以降数多くの調査で同様の TTP を確認しています。これらのお客様対応から得られた調査結果とその後のセキュリティ保護の実績は、攻撃者の手を遅らせ封じ込めるのに役立ちました。以下の 2 つの ClamAV シグネチャを作成しています。
- Exploit.Kolobko-9950675-0
- Backdoor.Kolobko-9950676-0
攻撃者は、攻撃対象を侵害するにあたり、通常ソーシャルエンジニアリングの手法を使用します。そうした攻撃が頻繁に発生しているにもかかわらず、組織はこうした脅威の軽減という課題を抱え続けています。攻撃を阻止する上で最も重要なのがユーザー教育です。サポート担当者から従業員に連絡する場合の正規の方法をしっかりと周知し、機密情報を取得しようとする不正な試みを従業員が見分けられるようにしておくことなどが挙げられます。
今回の攻撃者は、初期アクセスを取得するためにさまざまな手口を駆使するという高い能力を示しました。このことを踏まえると、ユーザー教育も MFA バイパスの手法に対抗するための重要な要素となります。自分の電話で悪意のあるプッシュ通知を受け取った場合に何をどうすべきかを従業員に教えておくことは、MFA の実装と同様に重要なことです。また、そうしたインシデントが発生した場合に、技術的な問題なのか悪意のあるものなのかを判断するために誰に問い合わせればいいのかを従業員に伝えておくことも欠かせません。
Duo については、デバイスのステータスをより厳密に制御し、管理されていないデバイスや不明なデバイスからの登録とアクセスを制限またはブロックすることが有効です。強力なデバイス検証が実装されます。さらに、リスク検出を活用すればイベント(ありえない場所から使用されている真新しいデバイスや、総当たり攻撃によるログイン試行のような攻撃パターン)を強調表示できます。これは、不正アクセスの検出に役立ちます。
リモートエンドポイントからの VPN 接続を許可する前には、セキュリティ管理の基本が徹底されるようポスチャチェックを設定しておきましょう。そうすることで、接続デバイスが環境に存在するセキュリティ要件に一致していることを確認できます。事前に承認されていない不正なデバイスが企業ネットワーク環境に接続するのを防ぐこともできます。
ネットワーク セグメンテーションは、組織が採用すべきもう 1 つの重要なセキュリティ管理です。これにより、価値の高い資産の保護を強化できます。また、攻撃者が環境への初期アクセスを取得できるような状況において、検出や対応をさらに効果的に実施できるようになります。
一元化されたログ収集機能は、攻撃者が積極的な手段を講じてシステムからログを削除していた場合に生じる可視性の欠如を最小限に抑えるのに役立ちます。エンドポイントで生成されたログデータを一元的に収集して分析すれば、異常な動作や明らかに悪意のある動作がないかどうかを確認できます。これにより、攻撃が進行中であることを示す兆候を早期に把握できます。
バックアップ インフラストラクチャを攻撃対象とし、攻撃を受けた組織の回復能力をさらに削ごうとするケースが多数確認されています。バックアップをオフラインで保持するよう徹底して定期的にテストすることで、リスクが軽減され、攻撃を受けた後も効率的に回復できます。
エンドポイントでのコマンドライン実行の監査も有効です。環境内のシステムで実行されているアクションの可視性が高まり、組み込みの Windows ユーティリティの疑わしい実行を検出できます。これは、侵入段階で、攻撃者が環境に元々存在する無害なアプリケーションやユーティリティを使って列挙、特権昇格、ラテラルムーブメントなどを実行している場合によく確認されます。
MITRE ATT&CK マッピング
ここまで取り上げてきた今回の攻撃で観察されたすべての TTP を、以下に発生した攻撃のフェーズごとに列挙します。
初期のアクセス
実行
ATT&CK 手法:システムサービス:サービス実行(T1569.002)
永続化
ATT&CK 手法:アカウントの作成:ローカルアカウント(T1136.001)
ATT&CK 手法:アカウント操作:デバイス登録(T1098.005)
特権昇格
ATT&CK 手法:イベントトリガー実行:イメージファイル実行オプションのインジェクション(T1546.012)
防御の回避
ATT&CK 手法:ホスト上の痕跡消去:Windows イベントログの消去(T1070.001)
ATT&CK 手法:偽装:正規の名称や場所に合致(T1036.005)
ATT&CK 手法:防御策の妨害:システムファイアウォールの無効化または変更(T1562.004)
ログイン情報へのアクセス
ATT&CK 手法:OS ログイン情報のダンプ:LSASS メモリ(T1003.001)
ATT&CK 手法:OS ログイン情報のダンプ:セキュリティ アカウント マネージャ(T1003.002)
ATT&CK 手法:OS ログイン情報のダンプ:NTDS(T1003.003)
ATT&CK 手法:多要素認証リクエストの生成(T1621)
ラテラルムーブメント
検出
コマンドアンドコントロール
ATT&CK 手法:アプリケーション層プロトコル:Web プロトコル(T1071.001)
ATT&CK 手法:リモート アクセス ソフトウェア(T1219)
ATT&CK 手法:暗号化チャネル:非対称暗号化(T1573.002)
ATT&CK 手法:プロキシ:マルチホッププロキシ(T1090.003)
データ漏洩
ATT&CK 手法:代替プロトコルを介したデータ漏洩(T1048)
侵入の痕跡
今回の攻撃に関連して、次のような侵入の痕跡が確認されています。
ハッシュ(SHA256)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 アドレス
104.131.30[.]201
108.191.224[.]47
131.150.216[.]118
134.209.88[.]140
138.68.227[.]71
139.177.192[.]145
139.60.160[.]20
139.60.161[.]99
143.198.110[.]248
143.198.131[.]210
159.65.246[.]188
161.35.137[.]163
162.33.177[.]27
162.33.178[.]244
162.33.179[.]17
165.227.219[.]211
165.227.23[.]218
165.232.154[.]73
166.205.190[.]23
167.99.160[.]91
172.56.42[.]39
172.58.220[.]52
172.58.239[.]34
174.205.239[.]164
176.59.109[.]115
178.128.171[.]206
185.220.100[.]244
185.220.101[.]10
185.220.101[.]13
185.220.101[.]15
185.220.101[.]16
185.220.101[.]2
185.220.101[.]20
185.220.101[.]34
185.220.101[.]45
185.220.101[.]6
185.220.101[.]65
185.220.101[.]73
185.220.101[.]79
185.220.102[.]242
185.220.102[.]250
192.241.133[.]130
194.165.16[.]98
195.149.87[.]136
24.6.144[.]43
45.145.67[.]170
45.227.255[.]215
45.32.141[.]138
45.32.228[.]189
45.32.228[.]190
45.55.36[.]143
45.61.136[.]207
45.61.136[.]5
45.61.136[.]83
46.161.27[.]117
5.165.200[.]7
52.154.0[.]241
64.227.0[.]177
64.4.238[.]56
65.188.102[.]43
66.42.97[.]210
67.171.114[.]251
68.183.200[.]63
68.46.232[.]60
73.153.192[.]98
74.119.194[.]203
74.119.194[.]4
76.22.236[.]142
82.116.32[.]77
87.251.67[.]41
94.142.241[.]194
ドメイン
cisco-help[.]cf
cisco-helpdesk[.]cf
ciscovpn1[.]com
ciscovpn2[.]com
ciscovpn3[.]com
devcisco[.]com
devciscoprograms[.]com
helpzonecisco[.]com
kazaboldu[.]net
mycisco[.]cf
mycisco[.]gq
mycisco-helpdesk[.]ml
primecisco[.]com
pwresetcisco[.]com
電子メールアドレス
costacancordia[@]protonmail[.]com
本稿は 2022 年 08 月 10 日に Talos Group
Authors