Windows Kernel の脆弱性 CVE-2024-30088 を悪用:イランの APT OilRig の TTP を解析

CVE-2024-30088 Under Attack: OilRig Targets Windows Kernel Vulnerability

2024/12/24 SecurityOnline — 中東の重要セクターを標的とするサイバー・スパイ活動と高度な技術で知られる、OilRig (別名 APT34/Helix Kitten) が脆弱性 CVE-2024-30088 などを悪用し、緻密な活動を展開し、地政学的な目標を達成している。Picus Labs は最新のレポートで、イランの国家に支援される攻撃者の活動を詳しく調査/報告している。このレポートでは、OilRig について、これまでの活動および用いられる高度な戦術について、その進化の過程を掘り下げている。

2016 年にサイバー脅威の世界に登場した OilRig だが、それ以前の活動を示唆する、いくつかの証拠もある。当初は、サウジアラビアの組織を標的とし、スピアフィッシング・キャンペーンと Helminth バックドアを展開していたが、その直後から、長期的な持続性とステルス性を発揮するようになった。このレポートは、「OilRig は、標的システムへのステルス性の高い持続的なアクセスを可能にする、高度なマルウェア・ツール Helminth バックドアを、戦略的に使用して注目を集めた」と述べている。

長い年月を費やし、中東全域に活動範囲を広げた OilRig は、政府機関/エネルギー部門/テクノロジー・プロバイダーなどを標的にしてきた。彼らのツールは、初期の Helminth マルウェアから、QUADAGENT や ISMAgent などの、より洗練されたペイロードへと進化してきた。これらのバックドアと、Invoke-Obfuscation などのオープンソース難読化ツールを絡めるという、このグループの適応力と専門知識が示唆される。

このレポートが概説するのは、ゼロデイ脆弱性などを、OilRig が武器として取り入れている様子である。それらの脆弱性の悪用には、CVE-2024-30088 も含まれている。この Windows カーネルの脆弱性により、OilRig はシステム・レベルのアクセスを取得し、独自の STEALHOOK バックドアを展開することで、長期にわたる監視とデータ流出を達成してきた。

OilRig は、テクノロジー・プロバイダー内の侵害したアカウントを介して、サプライ チェーンも標的にするという、より広範な攻撃も開始している。 2018 年の QUADAGENT キャンペーンは、この戦略の典型例であり、PowerShell ベースのマルウェアを利用して、政府や企業のネットワークに侵入したが、多くのケースにおいて検出されることはなかった。

OilRig の TTP (tactics, techniques, and procedures) について、Picus Labs は MITRE ATT&CK フレームワークを用いるかたちで、概要を提供している。主なポイントは、以下のとおりである。

  • インシャル・アクセス:OilRig はスピアフィッシング キャンペーンに優​​れており、LinkedIn などのプラットフォームで信頼できる連絡先を装い、認証情報を収集することがよくある。
  • 実行:このグループは、侵害した環境内でステルス・コマンドを実行するために、PowerShell やスクリプトなどのツールに依存している。
  • 持続性:スケジュールされたタスクと難読化されたペイロードにより、部分的な修復作業を行った後でも継続的なアクセスを保証している。
  • 防御回避:base64 エンコードや Invoke-Obfuscation などの、高度な難読化手法により、検出システムを回避していく。
  • 認証情報へのアクセス:Mimikatz や LaZagne などのツールを使用して、パスワード・ストアやメモリ・ダンプから、プレーン・テキストの認証情報を抽出する。
  • 抽出:OilRig は、FTP や DNS トンネリングなどの代替プロトコルを使用して、監視システムを回避しながら、機密データを抽出する。

Picus Labs のレポートは、OilRig の TTP の包括的な概要が提供し、MITRE ATT&CK フレームワークにマッピングしている。この詳細な分析は、OilRig の永続的な脅威から防御しようとする、組織にとって貴重な洞察を提供する。

パレスチナと、イスラエルと、レバノンと、シリアというふうに、中東で軍事力が発動されると、イランの APT の動きも活性化するはずです。そう思って、このところは、この種の脅威アクターに関するトピックも追っています。よろしければ、ヒズボラで検索も、ご利用ください。