UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す

UNC3524 APT uses IP cameras to deploy backdoors and target Exchange

2022/05/03 SecurityAffairs — Mandiant の研究者たちが、新しい APT グループを発見し、UNC3524 として追跡している。このグループは、企業における事業計画/M&A/大規模商取引などに焦点を当て、それらの企業に所属する従業員の電子メールを標的にしている。この UNC3524 は、ターゲット・システムへのイニシャル・アクセスを獲得すると、Mandiant が QUIETEXIT と名付けた、これまでに検知されたことのないバックドアを展開する。

QUIETEXIT バックドアは、オープンソースの Dropbear SSH クライアント・サーバ・ソフトウェアのコードを借用するものだ。脅威アクターは、ロードバランサーや無線アクセスポイント・コントローラなどの、ネットワーク・アプライアンスに QUIETEXIT を展開している。

これらのデバイスでは、古いバージョンの BSD や CentOS が使用されるケースが多く、これらのデバイス向けに機能的なマルウェアをコンパイルするには、かなりの計画性が必要となる。専門家たちが指摘するのは、これらのシステムがセキュリティ・ソリューションで保護されていないため、少なくとも 18カ月間にわたり、被害者の環境内で攻撃者が発見されなかったという点である。

Mandiant が発表した分析結果には、「UNC3524 は、持続性についても高度な機能を持っている。UNC3524 は、被害者の環境からアクセスを排除されるたびに、時間をかけずに各種の方法で環境を再強化し、データ盗難キャンペーンを直ちに再開している。私たちは、UNC3524 が使用したツール/戦術/手順を共有することで、彼らの活動を監視し、組織の保護を支援したい」と記されている。

QUIETEXIT は永続化メカニズムをサポートしてはいない。UNC3524 の攻撃者は、システム起動時にバックドアを実行するために、正規のアプリケーション固有のスタートアップスクリプトをハイジャックするだけでなく、実行コマンド (rc) をインストールする。

unc3524 IP cameras

また、UNC3524 においては、DMZ の Web サーバー上に reGeorg Web シェルを展開し、SOCKS プロキシを作成するケースも確認されている。専門家たちは、Mandiant が観測した UNC3524 の TTP が、APT28/APT29 などのロシアに関連する APT グループと重複すると指摘している。

Mandiant が観測したのは、APT29 が SPN クレデンシャル付加を行うだけのものだが、この手法は 2019年初頭から公に報告されている。以前に NSA は、APT28 に関連するものとして、Kubernetes/Exchange Exploitation/REGEORG を使用した、自動パスワード・スプレーを報告している。NSA が報告した活動では、TOR や商用 VPN が使用されていたが、UNC3524 は侵害済のインターネット向けデバイスを使用している。同社は、Indicators Of Compromise (IoCs) と Yara ルールも含む、分析結果を用いて結論付けている。

Mandiant は、「UNC3524 が REGEORG を使用している点だが、APT28 が使用していると NSA が公表したバージョンと同一である。ただし UNC3524 を、現時点で追跡されている、既存のグループと完全に関連付けることはできない」と述べている。

この記事の冒頭に、「企業における事業計画/M&A/大規模商取引などに焦点を当て、それらの企業に所属する従業員の電子メールを標的にしている」という一文がありますが、4月21日の「VMware のレポート Modern Bank Heists:金融機関への破壊的な攻撃が増加」にも、似たようなことが書いてありました。最近の金融系への攻撃では、後のインサイダー取引を成功させるための情報を盗み出し、痕跡を消した退散するというケースが増えているようです。なお、この Mandiant のレポート「UNC3524: Eye Spy on Your Email」は、HTML 形式なので簡単にアクセスできます。

%d bloggers like this: