- サイバー脅威の状況が進化していく中で、Cisco Talos は複数の攻撃者が異なる段階(例:初期侵害とその後のエクスプロイト)を実行する、分業化された攻撃キルチェーンへの大きな変化を目の当たりにしています。前回のブログで説明したとおり、この傾向により、従来の脅威モデリングと攻撃者のプロファイリングが複雑になっています。というのも、さまざまなグループ間の複雑な関係や連携について理解する必要があるからです。
- 侵入分析に用いられる従来のダイヤモンドモデルでは、分析時の視点の切り替えに対して、攻撃者、能力、インフラ、被害者という 4 つの特徴に基づいた中心的アプローチを採用しています。しかし、複数の異なる攻撃者が関与する「分業化された」攻撃キルチェーンを分析する際には、このアプローチでは誤った結論に至るおそれがあります。モデルに関係性の文脈が取り込まれていないため、攻撃者の正確なプロファイリングや包括的な脅威モデルの構築が困難となっているのです。
- Talos は、分業化された攻撃の分析手法をいくつか特定し、4 つの特徴間の関係性に文脈を加える「関係レイヤ」を導入した拡張ダイヤモンドモデルを提案しています。
- Cisco Talos と The Vertex Project
の協力により、Synapse モデルのアップデートが公開されました。この方法論におけるモデリングをサポートする entity:relationship が導入されています。 - 本稿では、ToyMaker によるマルウェア攻撃を題材に、Talos の調査手法と、拡張ダイヤモンドモデルを応用した効果的な視点の切り替え方法について解説します。この攻撃では、ToyMaker が金銭目的型初期アクセス(FIA)グループとして機能し、Cactus ランサムウェアグループにアクセスを譲渡しました。
防御側が受ける影響
同一の侵入攻撃に複数の攻撃者が関与することで、攻撃者の特定がさらに難しくなり、どの攻撃者の活動なのかを見分けたり、最初の攻撃者から次の攻撃者にアクセスが譲渡されたタイミングを特定したりすることが困難になります。ツールの開発やマルウェアの配布などが外部委託されたり、アクセスが譲渡されたりするたびに、攻撃者のダイヤモンドモデルは変化します。同様に、キルチェーン分析の結果を活用した分析視点の切り替え、クラスタ分類、帰属分析(アトリビューション)もかなり難しくなります。これまでは、攻撃は単一の攻撃者によるものという前提でしたが、そうだと証明できない限り、アナリストは複数の攻撃者が関与しているという前提のもとで分析を行わなければならないからです。
さらに、侵入の初期段階で確認された戦術、手法、手順(TTP)に基づいて、誤った攻撃の帰属分析をしてしまうことで、侵害後のインシデント対応や調査活動の方法にも影響を及ぼす可能性があります。また、攻撃の動機やその組織が狙われた理由について、不確実性が生じる場合もあります。
攻撃者の侵入方法における新たな変化が反映されるよう、分析プロセスと分析モデルを更新する必要があります。既存の手法では、明確化どころか、混乱を招く可能性が高いからです。
脅威モデリングの概要
NIST SP 800-53(改訂第 5 版)では、脅威モデリングを「データ、アプリケーション、ホスト、システム、環境などの論理構成体について、攻撃側および防御側の側面をモデル化するリスク評価の一形態」と定義しています。
多くの組織では、この一環として自組織の予防的、検知的、是正的なセキュリティ対策を敵対的な観点から評価することにより、特定の戦術、手法、手順(TTP)に基づく脅威の予防、検出、対応能力の不備を特定します。たとえば攻撃エミュレーションでは、攻撃シナリオをシミュレーションすることで、特定の脅威に直面した場合に、既存のセキュリティプログラムが対応できると合理的に予測できるかどうかを実証します。
侵入分析は、コンピュータへの侵入活動を分析するプロセスです。侵入分析では、侵入攻撃のタイムラインの再構築、フォレンジック アーティファクトの分析、活動の範囲と影響の特定を行います。通常は、侵入分析によって攻撃や攻撃者に対する理解が深まり、脅威に関する既知の情報を反映したモデルが開発される場合もあります。このモデルはその後、より効果的な検出コンテンツの開発や脅威モデリングの活動をサポートするために使われます。この侵入分析と脅威モデリングとの共生関係によって、組織は脅威と攻撃者に関する新たな知識と情報を効果的にセキュリティプログラムに組み込み、継続的に有効性を確保できます。
ここ数年間で、侵入分析と脅威モデリングをサポートするさまざまな分析モデルが開発されてきました。分析モデルは、脅威や攻撃者に関する文脈情報をより効果的に伝達し、取り込めるよう、論理的に整理するものです。よく知られているモデルとして、ダイヤモンドモデルとキルチェーンモデルの 2 つがあります。
上記に示すキルチェーンモデルは通常、攻撃を再構築して分析できるよう、侵入を明確な段階やフェーズに分けるために使用されます。これによりアナリストは、侵入時に確認した TTP や他の特徴を反映した現実的なモデルを構築できます。その後この情報を共有することで、既存のセキュリティ対策が同一または類似の侵入を防御するうえで有効かどうか、あるいは過去に同じ脅威に遭遇したことがあるかどうかを他の組織が判断できます。
上記に示すダイヤモンドモデルは、特定の脅威または攻撃者のプロファイルを作成するために、業界で広く使用されています。このモデルは、攻撃者の特徴、能力、インフラの傾向、典型的な標的(被害者)に関する情報を基に 4 項目をすべて入力して作成されます。情報をすべて入力したダイヤモンドモデルは、特定の脅威または攻撃者の包括的なプロファイルとなります。
分析には、両方のモデル(またはその他のモデル)を組み合わせることができ、モデルは相互排他的ではないことに注意してください。MITRE ATT&CK や D3FEND フレームワークなど、同じような目的でよく併用されるモデルフレームワークは他にもいくつかあります。たとえば、ダイヤモンドモデルに入力された情報が、長期間にわたる複数の侵入に対するキルチェーン分析の結果であり、それらが最終的に同一の攻撃者に帰属すると判断される場合もあります。複数のキルチェーン分析の結果を活用することで、長期にわたって追跡している攻撃者の特徴や TTP の変化を反映した、より包括的なモデルを構築できるとともに、特定の脅威の性質に対する全体的な理解も深まります。
分業化された脅威に既存モデルを適用する際の課題
ダイヤモンドモデルの主な強みの 1 つは、分析において視点を変えるための「中心的アプローチ」の概念です。これは、被害者中心、能力中心、インフラ中心、攻撃者中心に視点を切り替えて調査を行う手法です。これらの手法により、アナリストは新たな悪意のある活動を発見し、ダイヤモンドモデルの 4 つの側面にまたがる侵入の各要素が、他の要素とどのように交差しているかを明らかにできます。たとえば、こちらの論文のインフラ中心の例にあるように、侵入時に確認された 1 つの IP アドレスから分析を始め、その解決先のドメイン名に視点を移し、WHOIS 登録情報を精査することで、同じ組織によって登録された他のドメインや IP が見つかるかもしれません。さらに調査を進めれば、それらのドメインに関連するマルウェアや、ドメインから配布されたマルウェアが見つかる可能性もあります。このようなシナリオでは、1 つの要素から別の要素へと移るダイヤモンドモデルの体系的な手法によって、攻撃者、能力、被害者という相互に関連するつながりが迅速に明らかになります。
ただし従来の中心的アプローチでは、複数の異なる攻撃者が関与する「分業化された」攻撃キルチェーンを分析する際に、誤った結論に至るおそれがあります。多くの事例において、攻撃者は現在、長期的なミッションの目標に取り組みながら、さまざまな関係性を同時に利用しています。具体的には、ツール開発を外部委託したり、配布やコマンドアンドコントロール(C2)に使用するインフラサービスをレンタルしたり、侵害後のアクセス共有の取り決め(初期アクセス(IA)、永続化または特権昇格を達成した後にアクセスの譲渡を容易にするためのもの)を結んだりしています。こうした分業化は、帰属分析、脅威モデリング、侵入分析など、多くの分析作業を複雑にしています。同様に、過去の侵入作戦を防ぐために開発された初期のモデリング手法では、現在の脅威の状況を正確に反映できなくなっています。
分業化の複雑さを説明するため、現実に起きている事を忠実に再現した仮定のシナリオを考えてみましょう。このシナリオでは、次の 4 つの異なる攻撃者グループが関与しています。
- 攻撃者 A:情報窃取マルウェアでログを収集し、利益を得ようとする金銭目的の攻撃者
- 攻撃者 B:情報窃取マルウェアを作成して販売するマルウェア開発者
- 攻撃者 C:トラフィック配信サービス(TDS)プロバイダー
- 攻撃者 D:ランサムウェアグループ
このシナリオでは、被害者を情報窃取マルウェアに感染させ、被害者の機密情報を盗もうとしている金銭目的の攻撃者(攻撃者 A)がマルウェアの開発を攻撃者 B に外注する可能性があります。攻撃者 A は開発者と直接取引する場合もあれば、販売サイトからマルウェアを購入する場合もあります。同様に、マルウェアの配布自体は攻撃者 C に外部委託します。攻撃者 C は使用量に応じてレンタルで提供するスパムボットネットやトラフィック配信サービス(TDS)を運営しています。攻撃者 C がシステム上でコード実行に成功すると、攻撃者 C は攻撃者 A から最初に受け取ったマルウェアをシステムに感染させます。攻撃者 A は「インストール 1 件ごと」に攻撃者 C に料金を支払います。
さらに、攻撃者 A は環境の列挙に成功すると、価値の高い標的へのアクセスに成功したことを確認します。攻撃者 A は、単に情報窃取マルウェアのログを収益化することに注力するのではなく、漏洩したデータへのアクセスを攻撃者 D に販売して収益化します。その後、攻撃者 D はそのアクセスを利用してランサムウェアを展開し、被害者を脅迫します。
この仮定シナリオでは、攻撃者 C は金銭目的型初期アクセス(FIA)ブローカーとして分類されます。攻撃者 C は常に複数のマルウェアファミリを配布し、トラフィックフィルタリングを利用して最終的なペイロードの配信を管理している可能性もあります。さらに、そうしたペイロードが同じインフラでホストされていることもあります。このシナリオで説明される取引関係の性質は以下のとおりです。
このシナリオは単一の攻撃を想定したものですが、従来の分析モデルを適用することで課題がいくつか生じる状況が浮き彫りになっています。たとえば TDS プロバイダーである攻撃者 C が使用するインフラについて考えてみましょう。マルウェアの配布に使用されるインフラは、攻撃者 A の作戦専用ではありません。つまり、配信インフラの分析によって発見された他のマルウェアは、攻撃者 A の能力とみなすべきではないということです。さらに、このマルウェアの標的は攻撃者 C が標的とするネットワークとの関連性が高く、攻撃者 A が狙っている標的(被害者)として強く考慮すべきではありません。このように分業化されたシナリオでは、ダイヤモンドモデルを用いた分析によって明らかになる攻撃者、能力、被害者の相互関係はそれぞれ異なる攻撃者に由来するため、相互に関連付けるべきではありません。また、それらを単一の攻撃者プロファイルの一部としてモデル化すべきでもありません。
さらに複雑な事例では、攻撃者がリアルタイムの価格やサービスの可用性に応じて、複数のプロバイダーと同時に契約したり、週ごとに異なるプロバイダーと取引したりする場合があります。ランサムウェア作戦を行う攻撃者が、それぞれ独自の特徴、能力、動機を持つ複数の初期アクセスブローカー(IAB)からアクセスを取得することを選ぶ場合もあります。同様に、キルチェーンを通じて本来は無関係の複数の攻撃者が異なる立場で活動すると、分析結果を取得して既存の属性データに組み込もうとする場合や、他の悪意のある活動群との共通点を特定しようとする場合に、複雑さが生じます。IAB 自体のモデル化も複雑です。というのは、侵入の全フェーズの一部にしか IAB が関与していない攻撃においても、IAB の特徴や TTP が確認されることが多いからです。
国家が支援する、あるいは国家と連携している攻撃者によるマルウェア攻撃では、匿名化ネットワークや住宅用プロキシを使用して活動を隠蔽していることが報告されています。これにより、TDS の使用で説明したのと同じような活動の共通点が見られることになります。
関係レイヤの追加によるダイヤモンドモデルの拡張
分業化された攻撃がもたらす複雑さを取り込むために、Talos は「関係レイヤ」を統合することで、従来のダイヤモンドモデルを拡張することを提案しています。この追加のレイヤは、異なる攻撃者を示す個々のダイヤモンドの 4 つの特徴(攻撃者、インフラ、能力、被害者)間の相互関係を文脈的に理解できるように設計されています。このレイヤを組み込むことで、脅威アナリストは分業化された攻撃をより深い文脈で理解できるようになります。
この関係レイヤでは、「購入元」(取引関係)、「譲渡元」(作戦管理やリソースの移管)、「流出元」(流出ツールの使用)といった、典型的な関係性を明確に表現できます。また、「取引関係」「パートナー契約」「委託契約」「共有された作戦目標」など、攻撃グループ間のさまざまな相互関係も表せます。
関係レイヤを統合することで、アナリストはダイヤモンドモデルの 4 つの特徴間における相互関係を文脈的に理解できるようになり、論理的な分析視点の切り替えや、より正確な帰属分析を行う能力が高まります。この改良により、現代の分業化されたサイバー脅威を分析するためのより洗練されたフレームワークが提供され、こうした攻撃を特徴づける複雑な関係性を明確に表現できるようになります。
攻撃者 A から D までが関与するシナリオをもう一度見てみましょう。図 4 は、侵入活動に関与する攻撃者間の関係を説明するために、拡張ダイヤモンドモデルをどのように使用できるかを示しています。
A から D までの各攻撃者はそれぞれ独自のダイヤモンドモデルを持ち、固有の能力、被害者、インフラを有する攻撃者としての異なる役割が反映されています。Talos の手法では、追加の関係レイヤを統合することで、それぞれのダイヤモンドモデルを拡張し、こうした特徴間の文脈的な関係を説明しています。たとえば攻撃者 A がトラフィック配信サービス(TDS)に使用しているインフラは、攻撃者 C のインフラと「購入元(purchased from)」という関係でつながっています。そのため、アナリストが分析時に視点を切り替える際はこの関係を考慮する必要があり、TDS インフラを使って配布されたすべての情報窃取マルウェアを攻撃者 A の能力のみに帰属させるべきではありません。同様に、これらの情報窃取マルウェアの被害者を攻撃者 A の被害者として自動的に分類するべきでもありません。
もう 1 つの例としては、攻撃者 A と攻撃者 D の被害者の関係が挙げられます。攻撃者 D は、攻撃者 A との取引を通じて初期アクセスを取得しており、この関係は関係レイヤにおいて「購入元(purchased from)」として示されます。この関係性はアナリストに非常に重要な文脈を提供し、初期アクセスフェーズで使用されたツールを誤って攻撃者 D の能力に帰属させてしまうのを避けられます。
関係レイヤによって、攻撃者同士のつながりも明らかになります。上記の図では、攻撃者間の関係を「取引関係(commercial relationship)」として示し、攻撃者のプロファイルに役立つ追加の文脈を提供しています。このように理解を広げることで、アナリストは攻撃者同士の関係の性質を理解し、より正確で洞察に満ちたプロファイリングを行えるようになります。
関係レイヤとサイバーキルチェーンの統合
サイバーキルチェーン フレームワークは、サイバー攻撃を分析するための体系的なアプローチとして機能します。これによりセキュリティの専門家は、最初の偵察から目標達成に向けた行動まで、侵入を個々の連続した段階に分けることができます。アナリストは、この方法で攻撃を整理することで、攻撃者の振る舞いを正確に特定し、敵対的な行動を予測しながら的を絞った緩和戦略を策定できるため、全体的な脅威インテリジェンスを大幅に強化できます。
拡張ダイヤモンドモデルをサイバーキルチェーン フレームワークに統合することで、攻撃のさまざまな段階でどの攻撃者がどう関与しているのかが示され、分業化された攻撃の全体像が見えてきます。2 つの視点を組み合わせることで、複数の攻撃者同士の複雑につながった関係が可視化されて理解が深まり、攻撃のライフサイクルにおいてリソース、能力、インフラをどのように共有し、譲渡しているのかがより明確になります。図 5 は、攻撃者 A ~ D の例を使って、拡張ダイヤモンドモデルとサイバーキルチェーンを統合した例を示しています。
上記の例は、架空の攻撃において、キルチェーンのさまざまな段階で各攻撃者が担っている役割を示しています。このシナリオでは、被害者は攻撃者 A が攻撃者 B から入手した情報窃取マルウェアによって最初に侵害され、その後、攻撃者 D が企てたランサムウェア攻撃を受けます。さらに分析を深めるために、攻撃者 C と攻撃者 A との間にある「譲渡」関係に注目します。この関係は、両者の活動が標的環境内で確認されているという点で、極めて重要です。この手法によって、攻撃の流れをより包括的に把握でき、攻撃全体における攻撃者同士の連携や事の推移をさらに深く理解できるようになります。
この拡張された視点により、攻撃者の手口が明確になるだけでなく、攻撃者のプロファイリングと帰属分析も強化されます。特定の手口とリソースを、それを展開している脅威グループと照合することで、アナリストは攻撃をその出所までより正確に追跡できます。この手法によって攻撃者の動機に関するインサイトも提供され、防御側は対応戦略を効果的に調整できます。たとえば IAB が金銭的な動機を持っていると分かれば、特定の標的に対する脅威の緊急性は低くなったと判断できるかも知れません。一方で、国家が支援する攻撃者にアクセスが販売されていると分かれば、脅威対応の優先度が引き上げられることになります。
分業化された攻撃の特定
通常、侵入の範囲において分業化を特定するには、侵害の前後のいずれかのタイミングで、攻撃者間で主導権が移った箇所を突き止める必要があります。分業化の特定は、攻撃者と、攻撃者が利用できる能力を全体的に把握するうえで大きく影響するため非常に重要です。攻撃者間の連携を示す明確な痕跡は、活動の状況やフェーズによって大きく異なる可能性があり、その活動が行われたのがシステムや環境の侵害前か侵害後かによって分類できます。次のセクションにいくつか例を挙げていますが、分業の仕方は侵入事例ごとに異なり、ここに挙げたものがすべてではないことにご留意ください。同様に、以下に示す要素はアクセスの譲渡が行われた可能性をアナリストが調査するうえで有力な手がかりにはなりますが、それだけで実際に譲渡があったことを示す証拠にはなりません。アナリストはこれらの要素をより多く見つけ、証拠を集めることで、分業が行われているとより強い確信をもって評価できます。
侵害前
侵入の初期段階では、ツールの調達経路や、潜在的な被害者への悪意のあるコンテンツの配信方法、コード実行が達成された際の悪意のあるコンポーネントの初期/早期の実行フローを確認することで、分業化を特定できることが少なくありません。
侵入の初期段階が完全に独立している場合もあります。国家支援グループがスパイ活動を担っている状況では、ランサムウェアグループにアクセスを渡すケースがあり、この場合、国家支援グループは IAG とみなされます。ランサムウェアグループが取引相手である IAG の正体を把握しているとは限りませんが、活動を行うだけで、インシデント分析と帰属分析を困難にするという国家支援グループの目的を果たすことになります。
共通のツール
ツールの使用に関連する痕跡の多くは、侵入の後段階で特定されることが多いのですが、開発と調達活動は、一般的に攻撃開始前に行う必要があるため、侵害前に分業が行われていると考えることができます。攻撃者が第三者からツールを調達したかどうかを見極めることは、多くの場合有益です。特定にあたっては、分析対象となる悪意のあるコンポーネントの主要な特徴を突き止め、ハッキングフォーラムやダークネット マーケットプレイス(DNM)を調査・監視して、侵入に使われたものと同じ機能を宣伝している販売者を特定します。同様に、意図的または偶発的なソースコードの漏洩により、ある攻撃者がこれまで使用していたマルウェアが別の攻撃者の手に渡るケースもあります。いずれの場合もツールの使用に関する文脈情報を分析することで、アナリストはそのツールが攻撃者の既知の TTP と一致しないケースを特定しやすくなります。
配信インフラの共用
メール配信の場合、悪意のあるメールの送信に使用されたインフラや、メッセージの内容、ペイロードのホスティングと配信に使われたインフラを分析すると、配信が一部外部委託されている可能性が示唆されることがあります。同様にマルバタイジング攻撃の場合も、広告の内容や、トラフィックの配信インフラ、アクセス制御手法を分析すると、同じ兆候が見られる場合があります。配信インフラを運用している攻撃者は、常に複数の攻撃者と取引を行う可能性があるため、使用されているインフラで、短期間に本来無関係な複数の異なるマルウェアファミリが配信されていることも少なくありません。侵入前、侵入中、侵入後の、配信インフラに関連する活動を分析すると、分業が行われているかどうかの分析に役立つ可能性があります。
共有のドロッパー/ダウンローダー
侵入の分析では、多くの場合、コード実行が達成されるタイミングが存在します。これは、悪意のあるスクリプトベースのコンポーネントが配信され、被害者によって実行されるタイミングだと考えてかまいません。多くの場合、これらのコンポーネントはダウンローダーとして機能し、攻撃者が環境内で活動範囲を拡大できるようにする後続のペイロードを取得、抽出、実行する役割を単独で担っています。ドロッパーやダウンローダーの仕組みを分析すると、長期間にわたって同じ仕組みが無関係の脅威の配信に利用されているケースが明らかになることがあります。これは、配信が外部委託されている可能性を示しています。この活動は、侵入の後段階(永続化が達成された後など)で発生するアクセスの譲渡と明確に区別するために、「侵害前」として分類しています。
侵害後
ここまで見てきた、侵入の初期段階でよく発生する分業に加えて、攻撃者が侵入に成功した後に行われる、別の形の引き継ぎも存在します。通常は、ある攻撃者から別の攻撃者にアクセス制御を移すために行われ、前回のブログで説明したとおり、その目的はさまざまです。こうした活動は多くの場合、アクセスの譲渡や関与する攻撃者の動機を分析し、IAB が関わっていることを示す典型的な兆候を監視することで特定できます。
アクセスの譲渡
IAB が環境へのアクセスを取得してから、その後の活動が始まるまでの時間に関する情報を収集できる場合があります。たとえば、IAB がアクセスを取得し、永続性を確立したうえで、環境から情報を収集して攻撃者の C2 に流出させるといった初期活動が行われるとします。その後、感染したシステムでは、定期的な C2 ポーリングを除けば、長期間にわたって悪意のある活動はほとんど行われず、ある時点で、新たな C2 接続を確立する悪意のあるコンポーネントが追加で配信され、新しい活動が確認されることがあります。このようなパターンは、アクセスが譲渡された可能性を示しており、さらなる調査が必要になります。同様に、この譲渡前後の攻撃者の行動を分析すると、関与している攻撃者間でまったく異なる TTP が確認される場合があり、評価の確度が高まったり、逆に低下したりすることがあります。
ドメイン管理者アクセスの獲得
アクセスの譲渡が行われたという評価の確度を高めるもう 1 つの要素は、アクセスを取得した後に実行される一連の行動を分析することです。たとえば FIA の場合、ドメイン管理者アクセスをできるだけ早く取得しようとするプロセスが繰り返し確認されることがよくあります。管理者アクセスを獲得することによって、IAG にとってのアクセスの価値が高まり、ランサムウェアなどの追加のマルウェアコンポーネントの展開もよりスムーズになります。FIA グループは、初期アクセスを取得したすぐ後にドメイン管理者アクセスを獲得し、環境内の高価値な標的の特定にはほとんど労力をかけない場合があります。ドメイン管理者アクセスが取得されると侵入活動が停止することがあり、この間、攻撃者はアクセスの収益化を図り、最終的にアクセスを購入する攻撃者への譲渡を進めます。一方で SIA グループは、検出を避けながら被害企業内で偵察と横展開を行うために、より慎重でステルス指向のアプローチを採用する傾向があります。多くの事例で SIA グループは、別の攻撃者にアクセスを譲渡する前に、機密データの最初の持ち出しを行っているとみられます。
ダークウェブの追跡
ハッキングフォーラムやダークネット マーケットプレイスを監視することは、IAB が侵入に関与しているかどうかを特定するうえで非常に有効です。FIA ブローカーはできるだけ早く最大の利益を得ることに重点を置いているため、アクセスを獲得した環境に関する広告を頻繁に出します。これらの広告にはよく、企業規模(従業員数)や、四半期報告書などの一般公開されている情報に基づいた大まかな財務情報、業種など、企業や組織に関する一般的な情報が掲載されています。侵入の被害を受けた組織のプロフィールと一致する広告を見つけることで、IAB が関与しているという評価の確度を高めることができ、さらに、IAB に関する追加情報(通常、どのような相手と取引しているかなど)を収集するための新たなインテリジェンス収集手段にもなります。
C2 分析
侵入攻撃において使用された C2 インフラの分析により、アクセスが譲渡されたことを特定できる場合もあります。前述のとおり、新しいペイロードを配信し、別の攻撃者のインフラと新たな C2 接続を確立することで譲渡が行われることもあります。フレームワークを使用している場合は、サーバーログを分析すると、同じサーバーが複数の被害者の管理に使用されているといった追加情報が得られる可能性があります。マルウェア感染の管理に使用される管理パネルは、関与している攻撃者の性質や、攻撃者が採用しているビジネスモデルの分析に有用な情報を提供することが少なくありません。譲渡を円滑に行う目的で明示的に構築された管理パネルもあり、RaaS や C2aaS プラットフォームはその例です。
ケーススタディ:ToyMaker
脅威ハンティングやインシデント対応を行う中で、Cisco Talos は複数の攻撃者が同一の攻撃キルチェーンに関与する分業化された攻撃シナリオに遭遇することがあります。ToyMaker 攻撃を例に、調査中にさまざまな攻撃者の関与を特定し、拡張ダイヤモンドモデルを利用して、攻撃キルチェーンの異なる段階におけるそれぞれの攻撃者の明確な活動と役割を明らかにした方法を紹介します。
APT か、Cactus か、FIA か?
2023 年、Talos は ToyMaker 攻撃を調査しました。攻撃者は 6 日間連続で攻撃を行い、その間、被害組織のサーバーを侵害してログイン情報を持ち出し、独自の LAGTOY バックドアを展開しました。これを、侵害後の活動の「第 1 波」とします。この攻撃では、一般的な金融犯罪マルウェアは検出されず、攻撃者が独自のツールと C2 インフラを使用していたため、APT グループによる活動の可能性を考えていました。ただし、TTP と侵害の指標(IOC)が過去に確認された攻撃と一致しなかったため、調査の初期段階ではこの攻撃の帰属分析を行いませんでした。
しかし調査の過程で、最初の侵害からほぼ 3 週間後に、被害者のネットワークで Cactus ランサムウェアの活動と一致する TTP とハンズオンキーボード攻撃を確認しました。これを、悪意のある活動の「第 2 波」とします。攻撃者はさまざまなツールを使用してネットワーク内でラテラルムーブメントを行った後、数日のうちにランサムウェア攻撃を実行しました。この時点で、ランサムウェア攻撃と初期アクセスとの関連性や相違点の調査など、より詳細な調査を開始しました。ここで、以下の仮説を立てました。
- 仮説 A:最初の侵害とその後の活動はいずれも Cactus ランサムウェアによるものであり、したがって LAGTOY は Cactus が専用で使用するツールである可能性がある。
- 仮説 B:初期アクセスは別の攻撃グループによるものであり、Cactus の活動とは無関係である。
- 仮説 C:初期アクセスは別の攻撃グループによるものだが、Cactus とも何らかの関連性がある。
仮説 A が、調査開始時点での最も直感的な仮定でした。しかし調査が進むにつれ、次のような調査結果が得られました。
- 初期アクセスで作成したユーザーアカウントを攻撃終了前に削除:攻撃者は初期アクセスに続く攻撃を終える前に、作成したユーザーアカウントを削除しました。
- TTP の違い:2 つの攻撃の追跡中、TTP に違いが見られました。同じような TTP でもアプローチが異なっている場合や、完全に異なる TTP が使われている場合がありました。たとえば初期アクセスを実行した攻撃者は、ログイン情報を持ち出すのに PuTTY を利用していましたが、その後の攻撃では、他のツールとともにセキュアシェル(SSH)が使用されていました。ファイルのパッケージに関しては、第 2 波ではファイルパスを保持するパラメータ(-spf)が利用されました。これは、第 1 波では見られなかった手法です。さらに第 2 波では、主に既成のツールが使用されたのに対し、第 1 波の特徴は、攻撃者独自のカスタムツールが使用されたことでした。
- ツールと IOC(侵害の指標)の重複なし:第 1 波と第 2 波の攻撃に共通するツールや、共用されたインフラは見つかりませんでした。
- LAGTOY の未使用:第 1 波では LAGTOY が展開されましたが、その後の侵入の過程では一度も使用されませんでした。初期侵害直後にカスタムマルウェアを展開しておきながら、なぜその後一度も使わなかったのか、疑問が残ります。LAGTOY は、漏洩したログイン情報を使ったアクセスがブロックされた場合の最終手段として用意されていた可能性があります。あるいは、侵入後に使用することを意図したものではなかったから使用されなかった可能性もあります。つまり、LAGTOY は、Cactus とは別の初期アクセス攻撃者によって展開されていたということです。さらに、Cactus が LAGTOY を開発し、攻撃で使用した証拠は見つかりませんでした。ここで、Talos の評価は仮説 B(初期アクセスは別の攻撃グループによるものであり、Cactus の活動とは無関係である)に傾きました。
- 第 1 波から第 2 波までの時間の空白:第 2 波の攻撃が始まる前に、約 3 週間、攻撃活動が確認できない期間がありました。大物を狙って二重脅迫を行う攻撃者にとっては、スピードが最も重要です。最初の侵害を成功させたら、迅速に偵察してエンドポイントとファイルを列挙し、データを漏洩させ、ランサムウェアを展開することで収益化する必要があります。このような集中攻撃に重点を置く作戦において、数週間の空白期間があるのは異常です。そのため第 1 波と第 2 波はそれぞれ別の攻撃者が実行し、両者の間でアクセスの譲渡があった可能性を考える必要があります。さらに 3 週間の空白期間は、第 1 波を実行した攻撃者がすでに別の攻撃者と連携していた(すぐに連絡できる状態にあった)わけではなく、譲渡先(Cactus)を探す必要があったことを示唆しています。これにより、Talos の評価は仮説 C(初期アクセスは別の攻撃グループによるものだが、Cactus とも何らかの関連性がある)に傾きました。
- 共有されたログイン情報:活動開始から 6 日以内に、ログイン情報の収集と漏洩が確認されました。3 週間後、Cactus によるものとされる第 2 波が発生しました。この第 2 波は、第 1 波で漏洩したログイン情報を使って始まりました。したがって、2 つの攻撃の間には「漏洩したログイン情報が共有された」という明確なつながりがありました。
調査で収集したパターン全体と異常を考慮し、初期アクセスグループが関与しているという仮説へと評価が変わったことで、侵害後に実行された第 1 波に使用された LAGTOY ツールを再分析することになりました。その結果、UNC961 が使用していると Mandiant 社が報告していた HOLERUN というバックドアと同一であることが判明しました。この発見と、過去の公開レポートおよび調査結果を組み合わせることで、2 つの異なる攻撃グループ(ToyMaker(別名 UNC961)と Cactus)が攻撃に関与していたと確認できます。
Mandiant 社の公開レポートによると、多くの場合、UNC961 の侵入活動は、明らかに別の攻撃者による Maze および Egregor ランサムウェアの展開に先行して実行されています。Egregor は Maze の直接的な後継とみなされていますが、Cactus との関係を示す証拠はありません。Talos が調査した攻撃では、Cactus は第 1 波で被害者のマシンから取得された、漏洩したログイン情報を使用していました。これらの調査結果に基づき、ToyMaker が Cactus グループに初期アクセスを提供したと Talos は高い確度で評価しています。ToyMaker の金銭的利益を重視する姿勢と、これまでにランサムウェアグループに初期アクセスを売却してきた事実を考慮して、ToyMaker を FIA グループに分類しています。
さらなる分析と防衛戦略に向けた拡張ダイヤモンドモデルの活用
分析と提供された文脈をもとに、Talos は拡張ダイヤモンドモデルを用いてこの攻撃に関与した攻撃者を効果的に表現し、その協力関係の複雑さを浮き彫りにしました。図 6 では、ToyMaker グループと Cactus ランサムウェアグループをそれぞれ別のダイヤモンドで示しています。ToyMaker の被害者と Cactus の被害者とのつながりや、初期アクセスの提供側と受領側という構図を明らかにするうえで、関係レイヤは重要な役割を果たしています。
こうした関係性は、被害者のマシンで見つかった、いずれかの攻撃者に関連する能力やインフラの痕跡を注意深く確認して調査することの重要性を浮き彫りにしています。たとえば、LAGTOY に感染したホストは将来的にランサムウェア攻撃を受けるリスクがあり、Cactus の被害者マシンで発見されたツールは LAGTOY または他の初期アクセスグループのものである可能性があります。
拡張ダイヤモンドモデルによって提供される関係性の情報を活用して、LAGTOY バックドアに感染したホストを探し、Cactus ランサムウェアの潜在的な被害者をさらに特定することもできます。同様に、ToyMaker に関連する被害者を調査することによって、他のランサムウェア攻撃の被害者が見つかる可能性もあります。防御側にとって、この関係性を示すデータは、検出の取り組みの優先順位付けと、ToyMaker や他の初期アクセスグループの活動を見落とさないようにするうえで不可欠です。そうした活動は、さらなる攻撃の前兆である可能性があるのです。セキュリティチームは、常に警戒しながら初期アクセスの痕跡に焦点を当てることで、本格的なランサムウェアインシデントに拡大する前に脅威をプロアクティブに特定し、緩和できます。
本稿は 2025 年 5 月 13 日にTalos Group
Authors