2020年12月以降、ALTDOSというランサムウェアグループがバングラデシュ、シンガポール、タイの企業をターゲットにしてハッキングして恐喝していることがわかりました。
同グループの標的には、OrangeTee、3BB、Audio House、Vhive、CGSECなどの企業が含まれています。
2020年12月に初めて発見されたこのグループは、バングラデシュ、シンガポール、タイの企業への侵入に関連しています。
DataBreaches.netが行った一連の政府のサイバーセキュリティに関する警告と報告によると、ALTDOSの手口は統一されていないようです。
過去の事例では、ランサムウェアを使って被害者のデータを暗号化するケースもあれば、機密情報を盗むだけのケースもあります。
また、被害者に身代金の支払いを要求するケースもあれば、被害者のデータをネット上でオークションにかけたり、無料で公開したりするケースもありました。
また、身代金の額も、時には数百万ドルの支払いを被害者から要求していたロシア語圏のランサムウェア・ギャングと比較すると少額になっています。
こうした身代金の少なさが、より多くの被害者の支払いを可能にしているようだ。ALTDOSはDataBreaches.netに対し、被害者の約70%が身代金要求を支払い、ハッキングの内容が公表されることはないと語っている。
ALTDOSは新たな被害者を出し続けており、シンガポール政府は、ALTDOSの最も一般的な手口を詳細に説明した勧告を発表しました。
この共同勧告は、シンガポール・サイバーセキュリティ庁(CSA)、個人情報保護委員会(PDPC)、シンガポール警察(SPF)が共同で作成したものです。本勧告では、被害者のネットワークを危険にさらすためにALTDOSが採用した観察された戦術、技術、手順(TTPs)を強調し、組織が脅威を軽減するために推奨されるいくつかの対策を提示しています。
この報告書によると、ALTDOSの侵入は一般に公開されているWebサービスの脆弱性を突いて行われ、最も一般的なターゲットはApache Webサーバーとのことです。
最初に足場を確保した後、バックドアを導入して永続性を確保し、さらに侵入テストフレームワーク「Cobalt Strike」を導入して他のシステムへのアクセスを拡大していきます。
Step1:Webサーバへの侵入
ALTDOSは、Apache Webサーバーの脆弱なインスタンスを悪用し、脆弱なターゲットに対してSQLインジェクションを用いて初期アクセスを得ることが確認されています。
脆弱なターゲットに対してSQLインジェクションを用いて初期アクセスを行うことが確認されており、インシデント・レスポンダーはWeb Application Firewallが提供するログを監視する以外にも、ホストのプロセスのログを調査して、親プロセスと子プロセスの間に異常がないかどうかを確認することを推奨します。
監視すべき親プロセスには、次のようなWebサーバに属するものがあり、httpd.exeやphp-cgi.exeなどのWebサーバに属するプロセスとなっています。
疑わしい子プロセスには、コマンドやスクリプトのインタープリタとして使用可能なpowershell.exe、cmd.exe、wscript.exeなど、コマンドやスクリプトのインタープリタとして使用できるものが含まれます。
httpd.exeがcmd.exeを起動し、任意のコードを実行します。
Step2:Cobalt Strike Beacons
ALTDOSは、オープンソースのYARAルールを使って簡単に識別できるデフォルトのCobalt Strike Beaconsを主に使用していることが確認されています。YARAルールについては添付のリンクをご覧ください。
- https://github.com/Neo23x0/signature-base/blob/master/yara/apt_cobaltstrike.yar
- https://github.com/Neo23x0/signature-base/blob/master
また、ALTDOSはデフォルトのCobalt Strike TLS/SSL証明書を使用していることが確認されています。疑わしい送信先IP/ドメインを調査するインシデント・レスポンダーは、証明書に以下のような疑わしいフィールドがないか確認することを推奨します。
推奨対策
1.定期的なパッチの適用
ALTDOSは、ウェブサーバーの脆弱なインスタンスを悪用して、組織のネットワークに最初にアクセスするのが一般的です。
そのため、組織は定期的にソフトウェア(例:ウェブサーバーアプリケーション、データベースアプリケーションなど)を更新し、既知のセキュリティ脆弱性にパッチを当てることを強く推奨します。
また、ソースコードのレビューは、Webアプリケーションの脆弱性を検出するのに役立ちます。
脆弱性には、OWASP(Open Web Application Security Project)の「トップテン」リストに掲載されているものが含まれます。
2.定期的なログレビュー
ALTDOSは、Webサーバーの脆弱性を発見するために、積極的にスキャンを行うことが確認されています。
そのため、システム管理者は、サーバーのアクセスログなどのログを有効にし、そのログを定期的に確認することで、悪意のある行為(SQLiの試行など)を発見する必要があります。
悪意のある活動が検出された場合は、発信元のIPアドレスをWebアプリケーションファイアウォールなどの技術でフィルタリングする必要があります。
また、影響を受けた組織は、内部の企業ネットワークをスキャンして、悪意のある活動がないかどうかを確認する必要があります。
3. ネットワークの分離・遮断
ウェブサーバを使用している組織は、インターネットに接続されたサービスと、機密データを含むような内部サーバとの間の通信を制限するネットワーク分離またはセグメンテーション技術を導入することも推奨されます。
これにより、脆弱なウェブアプリケーションに最初にアクセスすることに成功した脅威行為者の影響を制限し、データ侵害の可能性を低減することができます。
4.定期的なバックアップの実施
組織は、重要なファイルのコピーを外部およびオフラインのストレージデバイスに作成および保存する定期的なバックアップを実施する必要があります。
これにより、ランサムウェアのインシデントの影響を軽減し、データの損失を最小限に抑えるシステムの復元が可能になります。
バックアップメディアは定期的にテストを行い、データの破損や破壊からビジネスを回復するのに間に合うように、バックアップデータが回復・復元できることを確認する必要があります。
5. ウェブアプリケーションファイアウォールの採用
組織は、悪意のあるネットワークトラフィック(SQLiなど)をフィルタリングするためにWebアプリケーションファイアウォールを採用し、デフォルトの設定に頼らず、設定を適切に変更することでシステム構成(Webサーバやファイアウォールなど)を「強固に」する必要があります。
6. 外部の支援を受ける
組織は、ウェブアプリケーションの侵入テストと脆弱性スキャンを定期的に実施する専門会社を雇い、脅威の担い手がネットワークに最初にアクセスすることを可能にするような脆弱性を特定することもできます。
また、組織は、サイバーセキュリティインシデントが確認された場合のインシデント対応と修復のために、サイバーセキュリティサービスプロバイダに専門的な支援を求めるべきです。
まとめ
ALTDOSは、被害者のデータを流出させた後、ディスクをワイプしてフォレンジックを困難にしていることも確認されています。
侵入が最終段階に達した後、ランサムウェアを導入していない場合は、電子メールを使って被害者に連絡し、身代金の支払いを要求することが多く、被害者が支払いをしない場合は、データがネット上に流出することが多いと言われています。また、大企業の場合には、DDoS攻撃を利用してさらに圧力をかけ、身代金の支払いを促すこともあります。
ALTDOSグループがどのような活動をしているのかはいまだに謎ですが、これまでにネット上に記録された同グループの最大規模の侵入事例には、以下のようなものがあります。
- Country Group Securities (CGSEC) – タイの金融・株式市場企業(2020年12月)。
- Mono Next Public Company Limited – タイのマスメディア企業(2021年1月)。
- Bangladesh Export Import Company Limited (BEXIMCO) – 多国籍コングロマリット(複合企業)(2021年1月)。
- 3BB – タイのインターネットサービスプロバイダー(2021年1月)。
- Vhive – シンガポールの人気小売家具チェーン(2021年3月)。
- Audio House – シンガポールの家電量販店(2021年6月)。
- Unispec Group Singapore – シンガポールに拠点を置く、海洋産業を営む企業(2021年6月)。
- OrangeTee – シンガポールを拠点とする不動産会社(2021年8月)。
Comments