Exchange の ProxyLogon と中国支援の APT:Building Automation System を攻撃

China-Backed APT Pwns Building-Automation Systems with ProxyLogon

2022/06/29 DarkReading — これまで未知とされてきた中国語圏の高度持続的脅威 (APT) アクターが、Microsoft Exchange の脆弱性 ProxyLogon を悪用してマルウェア ShadowPad を展開している。その最終目標は、ビルオートメーション・システム (BAS:Building Automation System) を乗っ取り、ネットワークに深く侵入することだと、研究者たちは述べている。

Kaspersky ICS CERT の研究者たちによると、この攻撃は、アフガニスタン/パキスタンの産業制御システム (ICS)/通信会社および、マレーシアの物流/輸送の組織に影響を与えたという。この攻撃が明るみに出たのは 2021年10月だが、マルウェアの出現は同年3月までさかのぼる。

月曜日のレポートで Kaspersky は、「この脅威アクターによる再攻撃の可能性は高く、さまざまな国で新たな犠牲者が出るだろう」と述べている。

Kaspersky は、この一連の攻撃において、攻撃者がイニシャル・アクセス・ポイントとして BAS エンジニアリング・コンピュータを危険にさらすという、ユニークな戦術/技術/手順 (TTP:Tactics Techniques Procedures) セットを観測している。このようなプラットフォーム向けの、概念実証マルウェアが利用可能であるにもかかわらず、ユニークな動きを見せる APT グループは異例だと、研究者たちは指摘している。

Kaspersky ICS CERT のセキュリティ専門家である Kirill Kruglov は、「高度な脅威アクターたちが、BAS をターゲットにするのは稀である。しかし、これらのシステムは、機密情報の貴重な情報源となる可能性がある。また、攻撃者に対して、他のインフラ領域への安全なバックドアを提供する可能性がある」と述べている。

また、この攻撃は建物の物理的な完全性を脅かすと、研究者たちは警告している。BAS は、電気/照明/空調/火災報知器/監視カメラなどの機能を統合し、単一の管理コンソールで管理できるようにしたインフラである。

Kaspersky の警告においては、「BAS が侵害されると、情報セキュリティに関連するプロセスを含む、BAS 内の全てのプロセスが危険にさらされる」と述べられている。

この稀な攻撃の実例としては、2021年12月の、ある BAS インシデントの件が挙げられる。照明スイッチ/動作検知器/シャッター・コントローラーなどの、数百台の BAS 機器と突然連絡が取れなくなり、システム独自のデジタル・セキュリティ・キーでロックされた後に、攻撃者に乗っ取られた。したがって、ビルの照明を点灯させるために、中央のブレーカーを手動で切り替える必要が生じたという。

ProxyLogon によるステルス感染により登場したマルウェア ShadowPad

この領域を狙うサイバー攻撃者の大半は、MS Exchange のリモート・コード実行の脆弱性 ProxyLogon (CVE-2021-26855) を悪用していると、Kaspersky は付け加えている。この ProxyLogon の脆弱性を利用すると、攻撃者は Exchange サーバーとして認証され、Web シェルの展開と、ターゲットサーバーのリモート制御が可能になる。

Microsoft が Hafnium と呼ぶ中国の国家支援グループにより、この ProxyLogon はゼロデイバグとして悪用された後に、2021年3月に公開された。すぐに目まぐるしい数の脅威グループが ProxyLogon を悪用し、さまざまな攻撃を仕掛けてきた。

Kaspersky はレポートで、「2019年以降に増加してきた中国の脅威グループたちは、さまざまな業界に対する攻撃により、世界中に影響力を広めている」と指摘している。Kaspersky の研究者は、「BAS の攻撃では、正規のソフトウェアを装った ShadowPad バックドアが、攻撃されたコンピュータにダウンロードされていた」と述べている。

このマルウェアは、もともと Microsoft の mscoree.dll を装っているが、それは、.NET Framework で機能する managed code アプリケーションの実行にとって不可欠なものである。そのため、このマルウェアは、正規の AppLaunch.exe アプリケーションにより起動され、Windows タスク・スケジューラにおいてタスクを作成することで実行される。

2021年秋に攻撃者たちは、OLE-COM オブジェクトを閲覧するための、正規のソフトウェア OleView に DLL ハイジャックを仕掛けるように変化した。この新しい手法でも、Windows タスク・スケジューラが使用されている。いずれの場合も、このような正規のネイティブ・ソフトウェアを使用するため、この活動によりシステム侵入のフラグが立つことは稀である。

最初の感染を成功させた攻撃者は、最初は手動で、続いて自動でコマンドを送信し、追加のツールを展開していく。研究者によると、これらのツールには、以下のものが含まれているとのことだ。

  • The CobaltStrike framework (for lateral movement)
  • Mimikatz (for stealing credentials)
  • The well-known PlugX RAT
  • BAT files (for stealing credentials)
  • Web shells (for remote access to the Web server)
  • The Nextnet utility (for scanning network hosts)

Kaspersky は、「発見された痕跡は、攻撃された各組織の少なくとも1つのアカウントから、ドメイン認証の資格情報が盗まれたことを示唆している。これらの認証情報は、ネットワーク上で攻撃範囲を広げるために使用されていたが、攻撃者の最終的な目標は不明だ。しかし、おそらくデータ・ハーベスティングであったと推測する」と述べている。

BAS/重要インフラを狙う APT 攻撃を防ぐには

Kaspersky は、「この攻撃は極めて急速に展開するため、早期発見と攻撃の緩和により、被害を最小限に抑えることが重要だ」とし、BAS を含む産業インフラを保護するために、以下のベスト・プラクティスを推奨している。

  • 企業ネットワークの一部である OS/アプリケーションを定期的に更新する。BAS などの OT (Operational Technology) ネットワーク機器に対してセキュリティ修正プログラムやパッチが提供されたら、直ちに適用する。
  • OT システムのセキュリティ監査を定期的に実施し、想定される脆弱性を特定/排除する。
  • OT ネットワーク・トラフィックの監視/分析/検知ソリューションを使用する。それにより、OT システム/主要な企業資産を脅かす可能性のある攻撃から、より効果的に保護できるようになる。
  • IT セキュリティ・チーム/OT エンジニアに専用の OT セキュリティ・トレーニングを行う。
  • ICS 担当のセキュリティ・チームに、最新の脅威情報を提供する。
  • OT のエンドポイント/ネットワークに、階層的なセキュリティ・ソリューションを適用する。

文中では、「攻撃者の最終的な目標は不明だが、データ・ハーベスティングであったと推測される」と説明されています。侵入経路として Exchange の ProxyLogon (CVE-2021-26855) を悪用し、その後は BAS に潜伏して、さまざまな機密情報を窃取するというシナリオなのでしょう。BAS などを含む OT の領域は、一般的な IT 領域と比べて、脅威に対する検知能力が劣ると言われています。そのため、格好の潜伏先となるのでしょう。よろしければ、カテゴリ ICS を、ご利用ください。

%d bloggers like this: