MITRE への侵害:中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する

MITRE Attributes The Recent Attack To China-Linked UNC5221

2024/05/07 SecurityAffairs — MITRE が共有したのは、先日の攻撃に関連する攻撃者/マルウェア/タイムラインなどの、ハッキングの詳細情報である。2024年4月に MITRE は、同社の研究/試作ネットワークの1つに、セキュリティ侵害があったことを公表した。同組織のセキュリティ・チームは直ちに調査を開始し、脅威行アクターをログアウトさせ、サードパーティのフォレンジック・インシデント対応チームと社内の専門家を協力させ、独自の分析を実施した。


MITRE Corporation によると、2024年1月に国家に支援される APT に侵入されたが、そこで悪用されたのは、Ivanti Connect Secure のゼロデイ脆弱性 CVE-2023-46805/CVE-2024-21887 の連鎖だったという。

具体的に言うと、MITRE の研究およびプロトタイピングに使用されている、Networked Experimentation, Research, and Virtualization Environment (NERVE) を探索する脅威アクターが確認されたという。同組織は、直ちに NERVE をオフラインにするなどの緩和措置を開始した。そして、現時点においても、関係する情報の範囲を特定するための調査を継続中であるという。

同組織は、当局と影響を受ける関係者に通知し、共同作業のための運用代替手段の回復に努めている。

MITRE は、業界のベストプラクティスに真摯に従い、ベンダーの勧告を実施し、政府のガイダンスに沿って、Ivanti システムを強化/更新/強化していた。しかし、VMware インフラへの横方向への動きを見落としていたという。なお、同組織のコアとなる、企業ネットワークやパートナーのシステムは、このインシデントの影響を受けなかった。

MITRE の研究者たちは、今回のセキュリティ侵害で観察された侵害の指標は、Mandiant が中国に関連する APT グループとして特定している、UNC5221 の指標と重複していると報告している。

国家に支援されたハッカーたちは、12月31日に NERVE へのイニシャル・アクセスを獲得し、その後に ROOTROT Web シェルを展開した。つまり、インターネットに面した Ivanti アプライアンスに、ROOTROT Web シェルを展開したことになる。

2024年1月4日に脅威アクターたちは、NERVE 環境への偵察を実施した。彼らは、侵害した Ivanti アプライアンスを介して vCenter にアクセスし、複数の ESXi ホストと通信した。続いて攻撃者は、窃取した認証情報を用いて、RDP 経由で複数のアカウントにログインし、ユーザーのブックマークやファイル共有にアクセスすることで、ネットワークを探索した。

その後に、この APT は VM を操作して、インフラ全体を侵害した。

MITRE は、「敵対者は VM を操作し、インフラの制御を確立した。続いて敵対者は、NERVE 内部の IP アドレスから認証された、管理者認証情報を侵害して悪用することで、NERVE 内部での横方向への移動を試行した。彼らは、SSH を有効化と、自分自身の VM の破壊だけではなく、”/ui/list/export” への POST によるファイルのダウンロードを試みた。それは、自分たちの存在を隠蔽し、ネットワーク内での持続性を維持する巧妙な戦術を示唆している」と述べている。

2034年1月7日に敵対者は VM にアクセスし、BRICKSTORM バックドアや BEEFLUSHとして追跡される Webシェルなどの悪意のペイロードを展開し、永続的なアクセスと任意のコマンド実行を可能にした。

この APT は、侵害したシステムの制御を維持するために、SSH 操作とスクリプトの実行に依存していた。MITRE の分析は、この攻撃者がデフォルトの VMware アカウントを悪用してドライブをリストアップし、新しい VM を生成していたというものだ。なお、BRICKSTORM バックドアは、ローカルの永続性設定を持つディレクトリで発見され、指定された C2 ドメインと通信していた。その一方で BEEFLUSH Web シェルは、内部 IP アドレスとやりとりし、vCenter サーバの “/tmp” ディレクトリから悪意のスクリプトやコマンドを実行していた。

その後の数日間において、この脅威アクターは、WIREFIRE (別名 GIFTEDVISITOR) Web シェルや、データ流出用の BUSHWALK Web シェルなどの追加ペイロードを、標的インフラ上に展開していった。

MITRE が、このセキュリティ侵害を発見したのは 2024年4月のことである。それ以前の2月中旬〜3月中旬の間に、この脅威アクターは NERVE 環境での持続性を維持し、横方向への移動を試みた。ただし、この APT は、他のリソースの侵害には失敗したと、 MITRE は指摘している。

MITRE は、「他のリソースへの移行の試みは失敗したが、攻撃者は vCenter 内の他の仮想環境へのアクセスを続けた。彼らは、MITRE の企業ドメイン・コントローラーの1つに対して ping コマンドを発行し、MITRE システムへの横方向の移動を試みたが、失敗した」と締め括っている。MITRE による、今回のペイロード/マルウェアの分析と、侵害の痕跡などに関する情報のアップデートは、ここで完了している。

この MITRE に対する侵害については、2024/04/19 の「MITRE が公表した 2024年1月の侵害:Ivanti のゼロデイを悪用する APT に侵入されていた」が第一報となります。その時点では、脅威アクターの特定にまでは至っていませんでしたが、Mandiant が UNC5221 という名前で追跡している、中国由来の APT だという疑いが強まっているようです。よろしければ、MITRE で検索も、ご利用ください。