Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた

New Tomiris Backdoor Found Linked to Hackers Behind SolarWinds Cyberattack

2021/09/30 TheHackerNews — サイバーセキュリティ研究者たちが、これまで文書化されていなかったバックドアを公開した。このバックドアは、昨年の SolarWinds サプライチェーン攻撃を仕掛けた Nobelium APT (Advanced Persistent Threat) により設計/開発された可能性が高く、この脅威アクターは保有するハッキング・ツールの数を増やしているようだ。

モスクワに本社を置く Kaspersky は、このマルウェアのコードネームを Tomiris とし、前述のキャンペーンで使用された第2段階のマルウェア、SUNSHUTTLE (別名:GoldMax) との類似性を指摘している。Nobelium は、UNC2452/SolarStorm/StellarParticle/Dark Halo/Iron Ritual などの名称でも知られている。

Kaspersky の研究者たちは、「サプライチェーン攻撃は、すでに多くの APT アクターが活用している攻撃ベクターとして知られているが、この特別なキャンペーンは、攻撃者が非常に慎重であること、また、被害者の知名度の高いことで際立っていた。これまでに集められた証拠によると、Dark Halo は Orion IT のネットワーク内で6ヶ月を費やすことで攻撃を完成させ、ビルド・チェーンの改ざんが悪影響を及ぼさないことを確認していた」と述べている。

2021年3月に SUNSHUTTLE の詳細を発表した Microsoft は、Command and Control バックドアとして機能する Golang ベースのマルウェア種族であり、攻撃者が制御するサーバーと安全な接続を確立し、侵害されたマシン上で任意のコマンドを取得/実行するとともに、システムからサーバーへファイルを流出させると説明している。

今年の2月に採取されたサンプルから、Kaspersky が6月に見つけ出した新しいバックドア Tomiris も Golang で書かれており、DNS ハイジャック攻撃により展開されていた。この攻撃のターゲットは、企業の電子メールサービスのログインページにアクセスするときに、セキュリティ・アップデートを偽装してマルウェアをダウンロードさせるための、そっくりなインターフェースを持つ不正ドメインにリダイレクトされていた。

今回の攻撃は、CIS (Center for Internet Security) 加盟国の政府機関に対して行われたと考えられる。研究者たちは、「バックドアの主な目的は、攻撃を受けたシステムに足場を築き、他の悪意のコンポーネントをダウンロードすることにあった」と述べている。暗号化スキームから同じスペルミスにいたるまで、多くの類似点が発見されたことから、「共通の作者または開発手法を共有している可能性」を示唆している。

脅威アクターたちが使用した異なるツール間で重複が発見されたのは、今回が初めてのことではない。今年の初め、Kaspersky が Sunburst を分析したところ、このマルウェアと、Turla グループによる .NET ベースのバックドア Kazuar の間に、多くの共通機能があることが判明した。興味深いことに、Kazuar に感染しているマシンが、あるネットワークで Tomiris を検出したと Kaspersky は述べており、これらの3つのマルウェア・ファミリーが、互いに関連している可能性があることを強調している。

また、研究者たちは、偽装フラグ攻撃の可能性もあると指摘している。偽装フラグ攻撃とは、既知の脅威アクターが採用した戦術や技術を、別の脅威アクターが意図的に再現し、帰属を誤らせることを目的とした攻撃である。

Nobelium グループが Active Directory Federation Services (AD FS) サーバーに追加のペイロードを送り込み、機密情報を盗み出すために使用した、受動的で高度な標的型インプラント FoggyWeb が、Microsoft により公開された数日後に、今回の発表は行われている。

先日に、「Microsoft 警告:FoggyWeb は AD FS を狙う最強のマルウェアだ!」をポストしましたが、この記事には、Nobelium のツールとして、Sunburst/Sunspot/Raindrop/Teardrop/GoldMax/GoldFinder/Sibot/Flipflop/NativeZone/EnvyScout/BoomBox/VaporRage などが列記されていました。また、Microsoft が5月27日にポストした、「Another Nobelium Cyberattack」には、NativeZone というバックドアのことが記されています。この記事で紹介されている Tomiris と NativeZone の関連性はわかりませんが、Nobelium の活動が継続していることは確かなようです。

%d bloggers like this: