世界中の政府および企業を標的とするロシアの活動の疑い

更新 (2022 年 5 月): UNC2452 を APT29 に統合しました。この投稿で説明されている UNC2452 アクティビティは、現在 APT29 に起因しています。

SolarWinds サプライ チェーンの侵害が発見されてから 1 周年が過ぎても、Mandiant は、これまで遭遇した中で最も手ごわい攻撃者の 1 人を追跡することに引き続き取り組んでいます。これらの疑わしいロシアの攻撃者は、一流の運用セキュリティと高度な貿易技術を実践しています。しかし、彼らは過ちを犯す可能性があり、私たちは彼らの活動を明らかにし、彼らの過ちから学び続けています.最終的に、それらは適応可能で進化する脅威のままであり、一歩先を行こうとする防御側は綿密に調査する必要があります。

概要

Mandiant は、世界中の企業や政府機関を標的としたロシアの侵入活動と疑われる複数のクラスターを追跡し続けています。これらのアクティビティの評価に基づいて、UNC3004 と UNC2652 という 2 つの異なるアクティビティ クラスターを特定しました。両方のグループを、Microsoft によって Nobelium とも呼ばれる UNC2452 に関連付けます。

Mandiant が最近観察した戦術には、次のようなものがあります。

• 2020 年以降の複数のテクノロジー ソリューション、サービス、および再販業者の侵害。
• 組織への初期アクセスを取得するために、サードパーティの攻撃者が情報を盗むマルウェア キャンペーンから取得したと思われる資格情報を使用します。
• 2021 年第 1 四半期以降、アプリケーションの偽装権限を持つアカウントを使用して、機密メール データを収集しています。
• 住宅用 IP プロキシ サービスと、新しくプロビジョニングされた地理的に配置されたインフラストラクチャの両方を使用して、侵害された被害者と通信します。
• 新しい TTP を使用して、環境内のセキュリティ制限をバイパスします。これには、内部ルーティング構成を決定するための仮想マシンの抽出が含まれますが、これに限定されません。
• CEELOADER と呼ばれる新しいオーダーメイドのダウンローダーの使用。
• スマートフォンの「プッシュ」通知を利用した多要素認証の悪用

ほとんどの場合、侵害後の活動には、ロシアの利益に関連するデータの盗難が含まれていました。場合によっては、データの盗難は、主に他の被害者の環境にアクセスするための新しいルートを作成するために取得されたように見えます。脅威アクターは、被害者の環境への永続的なアクセスを維持し、検出を妨げ、アトリビューションの取り組みを混乱させるために、新しい技術とトレードクラフトを革新および特定し続けています。

次のセクションでは、複数の未分類クラスターとして現在追跡されている複数のインシデント対応活動からの侵入活動を取り上げます。 Mandiant は、複数のクラスターがロシアの共通の脅威に起因すると考えています。この情報は、脅威アクターが最初の侵害、足場の確立、データ収集、横方向の移動のために使用する戦術、技術、および手順 (TTP) の一部をカバーしています。攻撃者がインフラストラクチャをプロビジョニングする方法。侵害の兆候。この情報は、意識を高め、組織がより適切に防御できるようにするために共有されています。

最初の妥協

クラウド サービス プロバイダーの侵害

Mandiant は、脅威アクターがサービス プロバイダーを侵害し、これらのプロバイダーに属する特権アクセスと資格情報を使用してダウンストリームの顧客を侵害した複数のインスタンスを特定しました。

少なくとも 1 つのインスタンスで、攻撃者はローカル VPN アカウントを特定して侵害し、この VPN アカウントを利用して偵察を行い、被害者の CSP の環境内の内部リソースへのさらなるアクセスを取得しました。これにより、最終的に内部ドメイン アカウントが侵害されました。

Info-stealer マルウェア キャンペーンから取得されたアクセス

Mandiant は、攻撃者が盗んだセッション トークンを使用して標的組織の Microsoft 365 環境にアクセスするキャンペーンを特定しました。 Mandiant がエンド ユーザーのワークステーションを分析したところ、盗まれたセッション トークンが生成される直前に、一部のシステムが CRYPTBOT (情報を盗むマルウェア) に感染していたことが判明しました。 Mandiant は、一部のケースでは、ユーザーが無料または「クラックされた」ソフトウェアを提供する評判の低い Web サイトを閲覧した後にマルウェアをダウンロードしたことを観察しました。

Mandiant は、攻撃者が情報窃取型マルウェアのオペレーターからセッション トークンを取得したことをある程度の確信を持って評価しています。これらのトークンは、ターゲットの Microsoft 365 環境に対して認証するために、パブリック VPN プロバイダーを介して攻撃者によって使用されました。

繰り返される MFA プッシュ通知の悪用

Mandiant はまた、攻撃者が多要素認証 (MFA) で保護されたアカウントに対して複数の認証試行を短時間連続して実行することも確認しています。これらのケースでは、攻撃者は有効なユーザー名とパスワードの組み合わせを持っていました。多くの MFA プロバイダーでは、ユーザーが電話アプリのプッシュ通知を受け入れるか、電話を受けてキーを押すことを 2 番目の要素として許可しています。脅威アクターはこれを利用して、ユーザーが認証を受け入れるまでエンド ユーザーの正当なデバイスに複数の MFA 要求を発行し、攻撃者が最終的にアカウントへのアクセスを取得できるようにしました。

クラウド ソリューション プロバイダー侵害による侵害投稿活動

足場を固める

少なくとも 1 つのケースで、攻撃者はクラウド サービス プロバイダー (CSP) のテナント内の Microsoft Azure AD アカウントを侵害しました。このアカウントは、管理者代理 (AOBO) 機能を使用できる特定の Azure AD ロールを保持していました。 AOBO を使用すると、CSP テナントで特定のロールを持つユーザーは、リセラー関係を通じて作成された顧客のテナント内の Azure サブスクリプションへの Azure ロール ベース アクセス制御 (RBAC) 所有者アクセス権を持ちます。 RBAC 所有者アクセスにより、ロール所有者は Azure サブスクリプション内のすべてのリソースを完全に制御できます。脅威アクターは、侵害された csp の資格情報と AOBO 機能を利用して、ダウンストリームの顧客システムをホストおよび管理するために使用される Azure サブスクリプションへの特権アクセスを取得しました。攻撃者は、Azure Run Command 機能を使用して、Azure VM 内でNT AUTHORITYSYSTEM権限でコマンドを実行しました。 Azure Run Command 機能を使用すると、ユーザーは、VM 自体で有効な Windows 資格情報を知らなくても、Azure Portal、REST API、または PowerShell を使用して、Azure VM 内で PowerShell スクリプトを実行できます。

権限昇格

Mandiant は、攻撃者が RDP を使用して、インターネット アクセスが制限されたシステム間を行き来していたという証拠を発見しました。攻撃者は、RDP を使用して多数のデバイスにアクセスし、いくつかのネイティブ Windows コマンドを実行しました。 1 つのデバイスで、攻撃者は Windows タスク マネージャーを利用して、LSASS に属するプロセス メモリをダンプしました。攻撃者は、Azure AD Connect の構成、関連する AD サービス アカウント、およびサービス アカウント資格情報の暗号化に使用されるキー マテリアルも取得しました。 Azure AD Connect アカウントは、Active Directory のオンプレミス インスタンスを Azure AD にレプリケートするために使用されます。これに加えて、攻撃者は Active Directory フェデレーション サービス (ADFS) 署名証明書とキー マテリアルを取得しました。これにより、脅威アクターは、Microsoft 365 にアクセスするために 2FA および条件付きアクセス ポリシーをバイパスするために使用できる SAML トークンを偽造することができました。攻撃者は、これらのデバイスでの Sysmon および Splunk のログ記録を停止し、Windows イベント ログをクリアしました。

脅威アクターは、侵害された特権アカウントを利用し、SMB、リモート WMI、リモートでスケジュールされたタスクの登録、および PowerShell を使用して、被害者の環境内でコマンドを実行しました。攻撃者は主にプロトコルを使用して偵察を行い (特にネイティブ コマンドtasklist.exeを使用してリモート システムを検査)、ネットワーク上に BEACON を配布し、資格情報を収集するためにネイティブ Windows コマンドを実行しました。場合によっては、攻撃者は、WMIC の実行中に/authority:Kerberosフラグを使用して特定の Kerberos チケットを渡し、コンピューター アカウントとして認証されました。コンピューター アカウントには、名前が付けられたコンピューターに対するローカル管理者権限が設計上あります。

CSP とダウンストリーム クライアント間の横方向の移動

CSP は、追加のセキュリティ レイヤーとして、オンプレミス環境とダウンストリームの顧客環境の間にネットワーク フィルタリング レイヤーを配置しています。 Mandiant は、攻撃者が vSphere PowerCLI と、vCenter Web エンドポイントを標的とするように構成されたカスタム PowerShell スクリプトを使用して、特定のネットワーク デバイスの仮想ディスク イメージをエクスポートし、それをサービス プロバイダーのインフラストラクチャからコピーしたことを特定しました。 vCenter への認証に、攻撃者は盗んだセッション Cookie を使用して Privileged Access Management (PAM) アカウントを取得しました。 Mandiant は、攻撃者がこの仮想マシンを分析し、CSP のネットワーク内で標的となるダウンストリームの顧客との通信を特に許可されたデバイスを特定できたと考えています。

攻撃者はこの知識を利用して、許可されたソース ジャンプ ホストを侵害し、サービス プロバイダーとダウンストリームの被害者ネットワークのネットワーク セキュリティ制限を回避しました。攻撃者は、CSP の環境内で顧客管理に使用される管理ジャンプ ホストの 1 つから顧客管理アカウントを侵害しました。 CSP は、専用の顧客管理者アカウントを使用してこれらのジャンプ ホスト経由で接続し、下流の顧客のインフラストラクチャと対話します。次に攻撃者は、RDP と盗んだ標的の資格情報を介して被害者の顧客ネットワークに向けて横方向の移動を実行しました。

別のケースでは、攻撃者は Azure に組み込まれている Run Command 機能を使用して、多数のダウンストリーム デバイスでコマンドを実行しました。脅威アクターは、Windows のネイティブ ツールを使用して、最初の偵察、資格情報の盗難を実行し、PowerShell を介して Cobalt Strike BEACON をデバイスに展開しました。

その後、攻撃者はこの BEACON インプラントを使用して、CEELOADER を、特定のシステムで SYSTEM としてログインしたときに実行されるスケジュールされたタスクとして永続的にインストールしました。 CEELOADER は、シェルコード ペイロードを復号化して被害者のデバイスのメモリ内で実行するダウンローダーです。

データ収集

Mandiant は、攻撃者が組み込みのntdsutil.exeコマンドを使用して Active Directory データベース ( ntds.dit ) をダンプしようとする試みを複数回確認しました。また、攻撃者が Sysinternals ProcDump を使用して LSASS プロセスのプロセス メモリをダンプしたという証拠もありました。これに加えて、Mandiant は、攻撃者が AD FS トークン署名証明書と DKM キー マテリアルを盗んだことを発見しました。これにより、攻撃者はゴールデン SAML 攻撃を実行し、Microsoft 365 などの認証に AD FS を使用するフェデレーション環境で任意のユーザーとして認証できるようになります。

攻撃者は、いくつかの PowerShell コマンドを使用してデータの盗難を実行し、 .7z拡張子で終わる複数の連続したアーカイブ ファイルをアップロードしました。脅威アクターは、これらのファイルを、おそらく制御していると思われる Web サーバーにアップロードしました。

Mandiant は、Mega クラウド ストレージ プロバイダーにデータをアップロードするように構成されたバイナリを特定しました。攻撃者は、このツールをmt.exeおよびmtt.exeとして%TEMP%dフォルダーに展開しました。 Mandiant は、攻撃者が犯したいくつかのミスにより、名前が変更されたツールの実行が失敗したことを特定できました。調査の結果、攻撃者が使用する Megatools バイナリは、名前を変更すると実行に失敗するようです。このため、攻撃者がこの方法を使用して Mega にデータを盗み出すことに成功したかどうかは不明です。

Mandiant はまた、攻撃者が被害者のオンプレミスの SharePoint サーバーにアクセスして、機密性の高い技術文書と資格情報を探していることも確認しました。その後、攻撃者は収集した資格情報を使用して、ネットワーク内を横方向に移動しました。

アプリケーションのなりすまし

Microsoft Exchange および Exchange Online は、別のアカウントのメールボックスにアクセスし、そのメールボックスの所有者として “行動する” 権限をアカウントに付与する偽装の役割 ( ApplicationImpersonationというタイトル) を提供します。 Mandiant は、攻撃者が以前に ApplicationImpersonation ロールを付与された既存のアカウントを認証できたことを特定しました。攻撃者がこの最初のアクセスをどのように取得したかは不明です。

このアカウントを通じて、Mandiant は、攻撃者がなりすましを使用して、被害組織内のユーザーに属する複数のメールボックスにアクセスするのを目撃しました。攻撃者はまた、Microsoft 365 環境内に新しいアカウントを作成しました。これは、検知された場合のバックアップ アクセス用であると Mandiant は考えています。

攻撃者のインフラストラクチャ

住宅用インターネット アクセス

一部のキャンペーンで、Mandiant は、攻撃者が個人の IP アドレス範囲を使用して被害者の環境を認証していることを特定しました。 Mandiant は、このアクセスが住宅用およびモバイル IP アドレスのプロキシ プロバイダーを通じて取得されたと考えています。プロバイダーは、無料のアプリケーションやサービスと引き換えにプロキシ アプリケーションを合法的にバンドルすることで、電話やタブレットなどの実際のモバイル デバイスを介してトラフィックをプロキシします。

攻撃者はこれらのサービスを使用して、被害者の Microsoft 365 テナントのメールボックスにアクセスしました。これにより、ソース ログオン IP アドレスは、被害者の環境と同じ国の顧客にサービスを提供する主要なインターネット サービス プロバイダーに属します。これらの戦術は、攻撃者の操作の複雑さを示しており、他の攻撃者によって実行されることはめったにありません。これを達成すると、調査担当者が通常のユーザー アクティビティと攻撃者のアクティビティを区別することが非常に困難になる可能性があります。

地理的に配置された Azure インフラストラクチャ

別のキャンペーンでは、脅威アクターは、顧客の環境へのアクセスに使用した CSP に属する正規の Azure ホスト システムのすぐ近くにある Microsoft Azure 内のシステムをプロビジョニングしました。これにより、アクターは被害者との地理的近接性を確立することができ、その結果、正当な Azure IP 範囲内から発信されたアクティビティの送信元 IP アドレスが記録されました。住宅用 IP アドレスを使用する手法と同様に、被害者のネットワークに近接した場所で Azure インフラストラクチャを使用すると、調査担当者が通常のユーザー アクティビティと攻撃者のアクティビティを区別することが困難になります。

第 2 段階のペイロードをホストする侵害された WordPress サイト

攻撃者によるいくつかのキャンペーンで、Mandiant とパートナーは、攻撃者が WordPress を実行している正規の Web サイトで第 2 段階のペイロードを暗号化された BLOB としてホストしていることを特定しました。 Mandiant は、侵害された WordPress サイトでホストされている脅威アクターに起因する、少なくとも 2 つの別個のマルウェア ファミリを観察しました。

TOR、VPS、および VPN プロバイダー

Mandiant は、脅威アクターによる複数のキャンペーンで、攻撃者が TOR、仮想プライベート サーバー (VPS)、パブリック仮想プライベート ネットワーク (VPN) を組み合わせて使用して被害者の環境にアクセスすることを目撃しました。特定のキャンペーンで、Mandiant は、攻撃者が被害者と同じ地域にある VPS プロバイダーを介して最初の偵察を行ったことを特定しました。 Mandiant は、攻撃者による設定ミスにより、VPS で実行されている VPN サービスが 8 時間後に機能を停止したと考えています。その後、Mandiant は、新しい認証イベントに基づいて、攻撃者が使用した多数の TOR 出口ノードを特定することができました。

運用上のセキュリティと計画

Mandiant は、環境内の複数のアカウントを侵害する試みを特定し、各アカウントを機能別に使用し続けました。これにより、1 つのアクティビティを検出することで侵入の全範囲が明らかになる可能性が低くなりました。 Mandiant は、攻撃者が複数のアカウントに侵入し、そのうちの 1 つを偵察目的のみに使用し、その他のアカウントは組織内での水平移動のために確保されていたという証拠を発見しました。 Mandiant は以前、この攻撃者が厳格な運用セキュリティを使用して、被害者の環境で特定のアカウントとシステムを使用して、データの盗難や大規模な偵察などのリスクの高い活動を行っていることを確認していました。

環境内に入ると、攻撃者はすぐにオンプレミス サーバーにピボットし、これらのサーバーをクロールして技術文書と資格情報を取得することができました。この文書から、攻撃者は最終的な標的のネットワークにアクセスするためのルートを特定できました。この偵察は、攻撃者が明確な最終目標を念頭に置いており、目標を推進するために必要な情報を取得する機会を特定して悪用できたことを示しています。

Mandiant はまた、被害者の環境内のシステム ログを回避または削除することで、検出を回避しようとする試みを観察しました。つまり、Mandiant は、Microsoft リモート デスクトップ経由でアクセスした犠牲マシンの SysInternals Sysmon と Splunk フォワーダーを無効にする攻撃者を特定し、Windows イベント ログをクリアしました。

マルウェアの説明

Cobalt Strike BEACON : Cobalt Strike フレームワークの一部である C/C++ で書かれたバックドア。サポートされているバックドア コマンドには、シェル コマンドの実行、ファイル転送、ファイルの実行、およびファイル管理が含まれます。 BEACON は、キーストロークやスクリーンショットをキャプチャしたり、プロキシ サーバーとして機能したりすることもできます。 BEACON は、システム クレデンシャルの収集、ポート スキャン、およびネットワーク上のシステムの列挙を行うこともできます。 BEACON は、HTTP(S) または DNS を介してコマンド アンド コントロール (C2) サーバーと通信します。

CEELOADER: C言語で書かれたダウンローダー。メモリ内で実行されるシェルコード ペイロードをサポートします。難読化ツールを使用して、CEELOADER 内のコードを、Windows API への意味のない呼び出しを含むジャンク コードの大きなブロックの間に隠しています。 Windows API への意味のある呼び出しは、API の名前を解読し、呼び出す前に動的に解決する難読化されたラッパー関数内に隠されています。 CEELOADER は HTTP 経由で通信し、C2 応答は CBC モードで AES-256 を使用して復号化されます。さらに、HTTP 要求には、サンプルごとに異なる可能性のある静的に定義された ID が含まれています。 CEELOADER には永続化メカニズムが含まれていません。

帰属

Mandiant は、この活動の一部が UNC2652 であると評価しています。これは、悪意のある JavaScript を含む HTML 添付ファイルを含むフィッシング メールで外交機関を標的にし、最終的に BEACON ランチャーをドロップする活動のクラスターです。

Mandiant はまた、この活動の一部が UNC3004 であると評価しています。これは、クラウド ソリューション プロバイダー/マネージド サービス プロバイダーへのアクセスを取得して下流の顧客へのアクセスを取得することにより、政府と企業の両方を標的とする一連の活動が観察されたものです。

マイクロソフトは以前、 UNC2652とUNC3004の両方の活動について報告しており、「Nobelium」という名前で、SolarWinds の侵害の背後にあるグループである UNC2452 にリンクしています。彼らが同じグループである可能性はありますが、現在、Mandiant はこの決定を高い信頼性で行うための十分な証拠を持っていません.

展望と影響

この侵入活動は、運用上のセキュリティに高いレベルの懸念を持って活動している、豊富なリソースを備えた脅威アクター セットを反映しています。サード パーティ (この場合は CSP) の悪用は、1 回の侵害で広範囲の潜在的な被害者へのアクセスを容易にする可能性があります。 Mandiant は現在、この活動をより確信を持って特定することはできませんが、このサード パーティの侵入と悪用に関連する運用上のセキュリティは、SolarWinds の侵害の背後にいる攻撃者が採用した戦術と一致しており、サード パーティと信頼できるベンダーとの関係を活用することの有効性を強調しています。悪質な操作を実行します。

謝辞

過去 1 年間、何百人ものコンサルタント、アナリスト、リバース エンジニアが協力して、これらのセキュリティ インシデントを理解し、追跡してきました。この大規模なグループは、この攻撃者を追跡し続けることを可能にする知識のベースラインを構築しました。 Mandiant Consulting の Luis Rocha、Marius Fodoreanu、Mitchell Clarke、Manfred Erjak、Josh Madeley、Ashraf Abdalhalim、Juraj Sucik、および Mandiant Intelligence の Wojciech Ledzion、Gabriella Roncone、Jonathan Leathery、Ben Read の文書作成および支援に特に感謝します。このブログ投稿をレビューしています。

また、Microsoft DART および MSTIC チームの継続的なコラボレーションに感謝します。

修復

Mandiant は、組織が次のMandiant ホワイト ペーパーで提案されている変更を確認して実装することをお勧めします。このホワイト ペーパーは最近更新され、アプリケーションの偽装の役割と、クラウド サービス プロバイダーおよびその顧客との信頼関係に関するアドバイスが含まれています。

調査またはハンティングを支援する技術的ハイライト

最近のステージング ディレクトリ:

• %PROGRAMFILES%Microsoft SQL Serverms
• %WINDIR%Temp
• %WINDIR%Tempd

最近のステージ名:

• d.7z
• vcredist.ps1
• fc.r
• アウト
• d.ps1
• dz
• メガツール.exe
• mt.exe
• mtt.exe
• ntds.dit
• handle64.exe
• movefile.exe
• diagview.dll
• diag.ps1
• diag.bat