CISA warns of stealthy malware found on hacked Pulse Secure devices
2021/07/21 BleepingComputer — 今日のことだが、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、感染した Pulse Secure デバイスで見つかった十数個のマルウェア・サンプルを公表したが、それらはアンチ・ウイルス製品では、ほとんど検出されないものだと警告している。遅くとも 2020年6月以降には、米国の政府機関および、重要インフラ事業体、各種の民間組織の Pulse Secure デバイスが、脅威アクターによる攻撃の対象となっている。
脅威アクターたちは、複数の脆弱性 (CVE-2019-11510 / CVE-2020-8260 / CVE-2020-8243 / CVE-2021-2289) を悪用して初期侵入を行い、バックドア・アクセスのための Web Shell を配置していく。CISA は、感染した Pulse Secure デバイスで発見された 13個のマルウェア (一部は複数のファイルで構成される) の解析レポートを公開した。このレポートを参照して、侵害の兆候を確認するとともに、脅威アクターたちの TTP (Tactics / Techniques / Procedures) について学習することを、管理者たちには強く推奨すると述べている。
CISA が分析したファイルは全て、侵害された Pulse Connect Secure デバイスで発見されたもので、その中には Pulse Secure の正規スクリプトを修正したものもあった。ほとんどの場合、悪意のファイルは、持続性 (APT) やリモート・アクセスを実現するための、リモート・コマンドを起動/実行する Web Shell だったが、中にはユーティリティも存在していた。CISA は、マルウェア・サンプルの1つについて、DSUpgrade.pm という名の Pulse Secure Perl モジュールの修正版だとしている。それは、システムアップ・グレード手順のコア・ファイルであり、攻撃者がリモート・コマンドを抽出/実行するための Web Shell (ATRIUM) 内を修正したものだと指摘している。CISA が発見した、攻撃者により改変された、正規の Pulse Secure ファイル・リストには、以下のものも含まれる。
・licenseserverproto.cgi (STEADYPULSE)
・tnchcupdate.cgi
・healthcheck.cgi.cgi
・compcheckjs.cgi
・DSUpgrade.pm.current
・DSUpgrade.pm.rollback
・clear_log.sh (THINBLOOD LogWiper Utility Variant)
・compcheckjava.cgi (hardpulse)
・meeting_testjs.cgi (SLIGHTPULSE)
サイバー・セキュリティ企業である Mandiant の調査によると、今年の初めのインシデントにおいて、上記のファイルのいくつかは悪意の目的で改変されている。また、4月の報告書には、中国の脅威アクターと疑われる人物が、最初のエントリーに CVE-2021-22893 を悪用したと記されている。Mandiant のレポートによると、攻撃者は正当なファイルを Web Shell である STEADYPULSE / HARDPULSE / SLIGHTPULSE に変換し、また、THINBLOODLogWiper ユーティリティのバリアントに変換した。
別のケースでは、脅威アクターは Pulse Secure のシステム・ファイルを改変し、ログインに成功したユーザーのクレデンシャル・データを盗み出した。そして、収集した情報は、デバイス上の一時ディレクトリのファイルに保存された。また、CISA の分析によると、Unix Unmount アプリケーションの改変版もあり、侵害された Unix デバイスの Unmount 機能をフックすることで、攻撃者に持続性とリモート・アクセスを与えていた。これらの攻撃で見つかった Linux ツールとして、dsclslog という名前で偽装されたTHINBLOOD Log Wiper もある。
その名前が示すように、このユーティリティの目的は、アクセスログとイベントログのファイルを削除することである。CISA が、ハッキングされた Pulse Secure デバイス上で発見したファイルの大半は、分析の時点ではアンチ・ウイルスでは検出できなかった。また、VirusTotal のファイル・スキャンプラット・フォームには1つだけが存在していたが、あるアンチ・ウイルスにより2ヶ月前に発見された ATRIUM Web Shell の亜種である。
何度目かのスティルス・マルウェアの話です。以前に、「Microsoft Build Engine を悪用する Filelessly なマルウェア拡散の手法とは?」という記事をポストしましたが、これも、その一種でしょう。また、「2021年 Q1 に検出されたマルウェアの 74% は従来からの防御をすり抜ける」という記事は、アンチ・ウィルスでは検出できないマルウェアが増えているという話です。隠れ方がうまくなり、ほんとうに困ったものですが、「SolarWinds ゼロデイの悪用により米防衛機関が標的に」には、Microsoft 365 Defender が異常な悪意のプロセス起動を検知したと書かれています。探し方もうまくならないと、付いていけない状況のようです。
IoT OT Security News 