Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う

Russian hacking group uses new stealthy Ceeloader malware

2021/12/06 BleepingComputer— Nobelium ハッキング・グループは、CSP (Cloud Service Provider) や MSP (Managed Service Provider) を標的する、新しいカスタム・マルウェア Ceeloader を用いて、世界中の政府機関や企業のネットワークへの侵入を続けている。Nobelium は、米国の複数の連邦政府機関からのの情報漏洩につながった、昨年の SolarWinds サプライチェーン攻撃の背後にいる脅威アクターであり、その名前は Microsoft がつけたものだ。

このグループは、ロシア対外情報庁 (SVR) のハッキング部門だと考えられており、APT29/The Dukes/Cozy Bear などとも呼ばれている。Nobelium は、カスタムメイドのマルウェアやツールを使用する、高度なハッキング・グループとされているが、研究者が攻撃を分析するための痕跡を残している。

Mandiant は新しいレポートで、この活動を追跡した結果として、ハッキング・グループが使用している TTP (Tactics/Techniques/Procedures) や、Ceeloader と呼ばれる新しいカスタム・ダウンローダを明記している。さらに、研究者たちは、Nobelium を UNC3004/UNC2652 に起因する、2つの異なる活動グループに分類している。それにより、Nobelium は2つの協力的なハッキン・ググループの共同体であると考えられている。

サプライチェーン攻撃

Mandiant が確認した活動によると、Nobelium のアクターは、下流の顧客のネットワーク環境に最初にアクセスする方法として、クラウド・プロバイダーや MSP への侵入を続けている。Mandiant は、「少なくとも1つの事例では、脅威アクターはローカル VPN アカウントを特定して侵害し、この VPN アカウントを利用して偵察を行い、被害者である CSP 環境内の内部リソースにさらにアクセスし、最終的には内部ドメイン・アカウントの侵害に至った」と説明している。

他にも、CRYPTBOT というパスワード詐取用のマルウェアを用いて、被害者のMicrosoft 365 認証に使用される、有効なセッション・トークンを盗み出すハッキング・グループもいた。Nobelium は、1つの環境内で複数のアカウントを侵害し、それぞれを別の機能に使用することで、漏洩時に業務全体を危険にさらすことがない点で注目される。

Mandiant は、「脅威アクターは、侵害された特権アカウントを活用し、SMB/リモート WMI/リモート・スケジュール・タスク登録/PowerShell を使用して、被害者の環境内でコマンドを実行した。また、脅威アクターは、主に偵察を行うために、ネットワーク上に Cobalt Strike Beacon を配布し、クレデンシャル窃取のためにネイティブ Windows コマンドを実行する」と述べている

新しいカスタム・メイドの Ceeloader マルウェア

Nobelium は、ネットワークへのバックドア・アクセス/別のマルウェアのダウンロード/ネットワークトレース/NTLM クレデンシャルの盗用などの悪意の行為を可能にする、カスタム・マルウェアを開発/使用すると認識されている。

Mandiant は、C言語で書かれた Ceeloader とというカスタム・ダウンローダーを発見したが、それはメモリ内で、ダイレクトにシェルコード・ペイロードの実行をサポートするものだ。このマルウェアは高度に難読化されており、Windows API への呼び出しと大量のジャンクコードを混ぜ合わせることで、セキュリティ・ソフトウェアによる検出を回避している。

Ceeloader は HTTP で通信し、C2 レスポンスは CBC モードの AES-256 で復号される。カスタム Ceeloader ダウンローダーは、必要に応じて Cobalt Strike Beacon によりインストール/実行され、Window の起動時に自動的に実行されるような持続性は含まれていない。Nobelium は、過去にも数多くのカスタム・マルウェアを開発し、Solarwinds 攻撃の際や、米国国際開発庁 (USAID) に対するフィッシング攻撃で使用してきた。

複数の隠蔽手段

Nobelium は、攻撃追跡の試みを妨害するために、レジデンシャル IP アドレス (プロキシ)/TOR/VPS (Virtual Private Services)/VPN (Virtual Private Network) を使用して被害者の環境にアクセスする。いくつかのケースにおいて Mandiant は、Ceeloader によりメモリ内でフェッチ/起動される、第2段階のペイロードをホストするために使用される、危険な WordPress サイトを確認している。

最後に、被害者のネットワークに近接した IP アドレスを持つ、正規の Microsoft Azure ホスト・システムを使用していた。この方法では、外部の活動と内部のトラフィックを融合できるため、悪意の活動の検出は難しく、分析も困難になる。

Nobelium の活動は依然として活発

Mandiant は、Nobelium の活動について、情報収集に大きくフォーカスしていると警告する。研究者たちは、ハッカーがロシアの政治的関心事である、文書を流出させた証拠を確認している。以前に Microsoft は、UNC2652/UNC3004 を、SolarWinds サプライチェーン攻撃を行ったグループである UNC2452 と関連づけており、これらが Nobelium 傘下にあるという説は説得力を持つ。しかし、Mandiant は、確信を持って断定するには証拠が不十分であると強調している。

防御側にとって重要なことは、ハッカーが依然としてサード・パーティや CSP のような信頼できるベンダーを活用して、貴重なターゲットのネットワークに侵入していることの把握だと述べている。したがって、組織は警戒を怠らず、常に新しい IOC を検討し、システムを最新の状態に保つ必要がある。Mandiant は、2021年のキャンペーンで観測された、すべての新しい TTP を付け加えて、UNC2452 ホワイトペーパーを更新している。

Nobelium に関する最近の記事としては、10月25日の「Microsoft 警告: Nobelium による新たなサプライチェーン攻撃が発見された」や、11月25日の「ロシアの国家支援型ハッカー Nobelium:米国サプライチェーンへの侵入を継続」などがあります。また、9月17日の「可視化の重要性:インフラ・セキュリティにおいて最初に必要なものとは?」にも、Nobelium は登場してきます。なんというか、ロシア系のボスキャラといった感じですね。よろしければ、Nobelium で検索してみてください。いろいろと出てきます。

%d bloggers like this: