SolarWinds 攻撃と新たなマルウェア:長期間の潜伏を可能にする手法とは?

New Malware Used by SolarWinds Attackers Went Undetected for Years

2022/02/02 TheHackerNews — SolarWinds サプライチェーン侵害の背後にいる脅威アクターは、この攻撃に新しいツールやテクニックを投入し、2019年からマルウェアを強化し続けることで、とらえどころのない性質を持つキャンペーンに成長し、何年もアクセスを維持する敵対者の能力を示してきた。

Nobelium ハッキング・グループの斬新な戦術を解説する、サイバー・セキュリティ企業である CrowdStrike によると、攻撃の規模が拡大する以前から、2つの洗練されたマルウェア・ファミリーが被害者のシステムに潜入していたという。それらは、GoldMax の Linux 版と、TrailBlazer という新たなインプラントである。

Nobelium とは、2020年12月に発生した SolarWinds への侵入に対して Microsoft が付けた名称だが、サイバー・セキュリティ・コミュニティでは、UNC2452 (FireEye)/SolarStorm (Unit 42)/StellarParticle (Crowdstrike)/Dark Halo (Volexity)/Iron Ritual (Secureworks) などの名称でも追跡されている。

この悪意のアクティビティは、ロシアの国家支援組織である APT29 (別名:The Dukes/Cozy Bear) によるものとされている。APT29 は、2008年から活動していることが確認されている、ロシアの対外情報機関に関連するサイバースパイ活動のことである。

2021年3月に Microsoft と FireEye により発見された GoldMax (別名:SUNSHUTTLE) は、Golang ベースのマルウェアであり、Command and Contorl のバックドアとして機能し、リモートサーバーとの安全な接続を確立し、侵害したマシン上で任意のコマンドを実行する。

2021年9月に Kaspersky は、CIS (Center for Internet Security) 加盟国の複数の政府組織に対して 2020年12月〜2021年1月に展開された、 Tomiris と呼ばれる GoldMax バックドアの第2亜種の詳細を明らかにした。

この最新のバージョンは、2019年半ばに被害者の環境にインストールされたが、同じ機能を持つ第2段階のマルウェアを Linux に実装したものであり、これまでに確認されたWindowsプラットフォーム用サンプルよりも先行した機能を持っている。

また、同じ時期に配信された TrailBlazer は、攻撃者にサイバー・スパイへの道を提供するモジュール式のバックドアだが、正規の Google Notifications HTTP リクエストに偽装した、Command and Control トラフィックは GoldMax と共通している。

一連の攻撃を容易にするために、脅威アクターが使用する特殊なチャネルには、以下のものがある。

  • 横方向の動きを不明瞭にするためのクレデンシャル・ホッピング。
  • Office 365 のサービス・プリンシパル/アプリ・ハイジャック、成りすましなど。
  • 多要素認証を回避するためのブラウザ・クッキーの窃盗。

    さらに、このオペレーターは、数ヶ月間隔で複数のドメインから認証情報を窃盗しており、そのたびに異なる手法を用いていた。そのうちの1つは、すでに侵害したホストからインメモリーで Mimikatz パスワード・スティーラーを使用し、長時間のアクセスを確保するというものだった。

    研究者たちは、「StellarParticle のキャンペーンは、Cozy Bear と呼ばれるグループに関連しており、Windows や Linux などのオペレーティング・システムや、Microsoft Azure/Office 365/Active Directory などに関する知識が豊富であり、数ヶ月に渡って、場合によっては数年に渡って、検知を回避する忍耐力とスティルス技術を持っていることを示している」と述べている。

ロシアの国家支援組織である APT29 (別名:The Dukes/Cozy Bear) の傘下に Nobelium がいて、UNC2452/SolarStorm/StellarParticle/Dark Halo/Iron Ritual などの名前で追跡されているとのことです。そして、GoldMax の Linux 版と、TrailBlazer というインプラントを運用しているそうです。GoldMax に関しては、2021年9月の「Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた」に登場していることが分かりました。ただし、TrailBlazer は、今日の記事で初登場のようです。

%d bloggers like this: