監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている?

UNC2465 cybercrime group launched a supply chain attack on CCTV vendor

2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織 である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。

この犯人は、そのベンダーの Web サイトに侵入し、同社が顧客に提供しているセキュリティ・フィードを制御するための、Windows アプリケーション (Dahua SmartPSS Windows のカスタム・バージョン)に悪意のコードを埋め込んだ。Mandiant は、「ここで詳述されている侵入は、2021年5月18日に始まりまったが、パブリックに報告された Darkside プログラム全体の停止(Mandiant Advantage background)の数日後のことだった。ランサムウェアは観測されなかったが、Darkside 侵入を行ったアフィリエイト・グループは、複数のランサムウェア・アフィリエイト・プログラムを使用している可能性があり、それらを自由に切り替えることができると思われる。

2021年5月または、それ以前の時点で、CCTV セキュリティ・カメラ・プロバイダーの Web サイトにおける、2つのソフトウェア・インストール・パッケージが、UNC2465 によりトロイの木馬化された可能性が高い」という分析結果を紹介している。この Web サイトは 5月18日に初めて侵入され、ハッカーは 6月初旬まで組織内に留まり、サプライ・チェーン攻撃を行ったことを、Mandiant の研究者が発見している。

この記事によると、SMOKEDHAM というバックドア活動が、少なくとも 2019年4月から始まっていると推測され、Darkside RaaS 組織とされる UNC2465 グループの活動と、FireEye により関連付けられたとのことです。具体的な攻撃方法は、バックドアが展開されると、UNC2465 がインタラクティブに NGROKトンネルを確立し、24時間以内に横方向の移動を実行します。5日後に、UNC2465 のハッカーたちが戻ってきて、キーロガー や Cobalt Strike BEACON などのツールを追加して、LSASS のメモリをダンプして認証情報を収集するとのことです。

専門家たちが注目するのは、今回のサプライチェーン攻撃では、UNC2465 が最終的なペイロードとしてランサムウェア Darkside を配信しなかったところにありますが、このサイバー犯罪グループが新たな RaaS 活動に移行する可能性も否定できません。専門家が推奨するのは、内部ネットワークをスキャンして SmartPSS アプリを探し出し、SMOKEDHAM バックドアに関連する脆弱化の度合いを確認することです。

%d bloggers like this: