脅威アクターは、コイン マイナーの技術を利用してレーダーの下に留まります – これらを特定する方法は次のとおりです。

news

暗号通貨の採掘者は通常、洗練された国家アクターの活動ではなく、サイバー犯罪活動に関連しています。これらは最も高度な種類の脅威ではありません。つまり、防御側が緊急に対処する最も重要なセキュリティ問題ではないことも意味します。国家アクターの BISMUTH による最近のキャンペーンは、コイン マイナーが引き起こす優先度の低いアラートを利用して、レーダーの下をくぐり抜け、永続性を確立しようとします。

OceanLotus または APT32 と類似点を共有する BISMUTH は、2012 年には、カスタム ツールとオープンソース ツールの両方を使用して、大規模な多国籍企業、政府、金融サービス、教育機関、人権および公民権団体を標的とする、ますます複雑なサイバースパイ攻撃を実行しています。 .しかし、2020 年 7 月から 8 月にかけてのキャンペーンでは、このグループはフランスとベトナムの民間部門と政府機関の両方を標的とした攻撃に Monero コイン マイナーを配備しました。

BISMUTH の攻撃には、典型的なものからより高度なものまでさまざまな手法が含まれていたため、フィッシングやコイン マイニングなどの一般的な脅威活動を行うデバイスは昇格させ、高度な脅威について検査する必要があります。さらに重要なことは、組織は、攻撃対象領域の削減と、あらゆる種類の攻撃に対するネットワークの強化を優先する必要があるということです。このブログでは、2020 年 7 月と 8 月に発生した BISMUTH 攻撃に関する詳細な技術的詳細と、組織の回復力を構築するための緩和策の推奨事項を提供します。

この攻撃者の運用目標は変わらず、継続的な監視とスパイ活動を確立し、表面化した有用な情報を盗み出しますが、最近のキャンペーンでコイン マイナーを展開したことで、侵害されたネットワークを収益化する別の方法が攻撃者に提供されました。このグループの従来の標的の一部が人権団体や公民権団体であることを考えると、BISMUTH 攻撃は、攻撃者が影響を与えるサービスをほとんど考慮していないことを示しています。

BISMUTH によるコイン マイナーの使用は予想外でしたが、これはグループの長年の侵入方法と一致していました。この侵入パターンは、初期アクセス段階から始まるこれらの最近の攻撃で特に顕著です。標的組織ごとに特定の受信者向けに作成されており、事前の偵察の兆候が見られました。場合によっては、このグループはターゲットに対応し、さらに信憑性を高めて、ターゲットが悪意のある添付ファイルを開いて感染チェーンを開始するよう説得しました。

BISMUTH が周囲に紛れ込んで目立たないようにしようとしたもう 1 つの方法は、DLL サイドローディングの多用でした。これは、正規の DLL を悪意のある DLL に置き換え、関連するアプリケーションの実行時に悪意のある DLL が読み込まれるようにする手法です。 BISMUTH は最近の攻撃で、さまざまな正当なソフトウェアのコピーを利用して、悪意のある DLL ファイルをロードし、これらの正当なアプリケーションのコンテキストでタスクを実行しました。 DLL サイドローディングを実行するために、BISMUTH は、Microsoft Defender ウイルス対策など、さまざまなアプリケーションの古いバージョンを導入しました。また、Sysinternals DebugView ツール、McAfee オンデマンド スキャナー、Microsoft Word 2007 も活用しました。

BISMUTH にとって、組織に溶け込むことは重要でした。このグループは、サーバーなどの価値の高いターゲットにアクセスして横方向に移動できるようになるまで、侵害されたネットワークで発見を実行するのに長い時間を費やしたためです。攻撃のこの時点で、このグループは回避型の PowerShell スクリプトに大きく依存しており、活動をさらに隠蔽していました。

また、コイン マイナーは、BISMUTH がより悪質な活動を脅威の背後に隠すことを可能にしました。これらの活動は、「コモディティ」マルウェアであるため、それほど脅威ではないと認識されている可能性があります。人間が操作するランサムウェアを持ち込む「コモディティ」バンキング型トロイの木馬から何かを学べば、一般的なマルウェア感染がより高度なサイバー攻撃の兆候である可能性があり、緊急に対処し、調査して包括的に解決する必要があることがわかります。

攻撃段階全体での BISMUTH 攻撃者のテクニックを示す図

初期アクセス

BISMUTH は、このキャンペーンのために特別に作成されたと思われる Gmail アカウントから特別に細工された悪意のある電子メールを送信することにより、最初のアクセスを取得しようとしました。このグループは、公開されている情報源を使用して偵察を行い、職務に基づいて個々のターゲットを選択した可能性があります。各電子メールは、対象組織ごとに 1 人の受信者にのみ送信され、次のような、調整された件名とルアー テーマが使用されました。

  • ドラフト契約(ベトナム語から「ドラフト契約」に翻訳)
  • 申請 – 市場調査責任者 (ベトナム語から「申請書 – 市場調査責任者」に翻訳)

注目すべきは、グループがこれらの電子メールの 1 つに複数の返信を送信したことです。これは、悪意のあるドキュメントの添付ファイルを開いてペイロードを誤って起動するよう説得する前に、それらがいくつかのターゲットに対応していたことを示していました。悪意のある.docファイルを開くと、いくつかのファイルが非表示のProgramDataフォルダーに投下されました。正当な Microsoft Defender ウイルス対策の実行可能ファイル。

その後、悪意のあるドキュメントは、 MsMpEng.exeを起動するスケジュールされたタスクを追加しました。 悪意のあるMpSvc.dllをコピーしてサイドロードしました。 Microsoft Defender ウイルス対策の最新バージョンは DLL サイドローディングの影響を受けにくくなったため、BISMUTH は古いコピーを使用して悪意のある DLL を読み込み、侵害されたデバイスへの永続的なコマンド アンド コントロール (C2) チャネルを確立し、その結果としてネットワークを確立しました。

グループは、新たに確立されたチャネルを使用して、攻撃の次の段階に備えて、 .7zアーカイブ、Word 2007 のコピー、別の DLL であるwwlib.dllなどのいくつかのファイルを投下しました。正規の Microsoft Word DLL と同じ名前を使用していましたが、 wwlib.dllは BISMUTH 専用のカスタム マルウェア ファミリである KerrDown のコピーでした。このファイルはその後、ドロップされた Word 2007 のコピーによってサイドロードされました。これは、BISMUTH が広く使用している手法で、 winword.exeなどの正当なプロセスのコンテキストで DLL ファイルから悪意のあるコードをロードします。

BISMUTH は、Word 2007 の別のコピーをProgramDataのサブフォルダーにドロップすることで、別の永続化方法を確立しました。次に、このグループは、60 分ごとに同じ悪意のある方法でそのコピーを起動するスケジュールされたタスクを作成しました。これにより、検出されずに存在を維持する可能性がさらに高まりました。

発見

スケジュールされたタスクとして確立されると、悪用された Word 2007 プロセスは、攻撃者の間で人気のあるスキャン ツールであるNbtScan.exeをドロップしてロードしました。 BISMUTH はすぐにスキャン ツールを使用して、組織内の IP アドレス範囲をスキャンしました。このネットワーク スキャンに続いて、Word 2007 プロセスは、生活圏外のバイナリrundll32.exeを使用して悪意のあるスクリプトを起動し、21、22、389、139、および 21、22、389、139、および1433. .csvファイルにポートが開いている BISMUTH リストのデバイス。

ネットワークのスキャンが進行している間、グループは他の偵察活動を行いました。彼らは、ドメインとローカルの管理者に関する情報を収集し、ユーザーがローカルの管理者権限を持っているかどうかを確認し、デバイス情報を収集しました。さらに、このグループは再びMsMpEng.exeと悪意のあるサイドローディング DLL を使用して、別のデバイスに接続しました。このデバイスは、攻撃中のある時点で BISMUTH によって内部の C2 足場および情報漏えいのステージング デバイスとして指定されたようです。

継続的な横移動、発見、情報収集

侵害されたデバイスを 1 か月にわたって継続的に発見した後、グループはサーバーに横移動し、システム ファイルmpr.dllを装った悪意のある DLL と Sysinternals DebugView ツールのコピーをコピーしました。彼らは、SMB リモート ファイル コピーを使用して、さまざまなデバイスにツールをドロップしました。そのファイル名には、人気のある日本のビデオ ゲームのキャラクターに関連するファイル名と一見ランダムな単語が使用されていました。その後、攻撃者は悪意のあるサービスを複数回登録して起動し、DebugView ツールを起動して複数の Yahoo Web サイトに接続し、インターネット接続を確認した後、C2 インフラストラクチャに接続しました。

この時点で、BISMUTH は PowerShell を使用して攻撃を実行することに切り替え、複数のスクリプト コマンドレットをすばやく起動しました。まず、Empire PowerDump コマンドを使用してセキュリティ アカウント マネージャー (SAM) データベースから資格情報をダンプし、その後すぐに PowerShell イベント ログを削除して、スクリプト ブロック ログによって生成されたレコードを消去しました。その後、ユーザーとグループの情報を収集し、収集したデータを.csvファイルに送信する PowerShell スクリプトを使用して、発見作業を続けました。

スクリプトは、各ユーザーに関する次の情報を収集しました。

説明、識別名、最終ログオン タイムスタンプ、ログオン カウント、メール、名前、プライマリ グループ ID、pwdlastset、samaccountname、ユーザー プリンシパル名、変更時、作成時

また、各ドメイン グループに関する次の情報:

adspath、説明、識別名、groupType、instancetype、mail、member、memberof、name、objectsid、samaccountname、whenchanged、whencreated

次に、グループはディレクトリ フォレストとドメイン組織単位 (OU) 情報をエクスポートしました。その後、WMI を使用して多数のデバイスに接続し始めました。その後、イベント ID 680 でセキュリティ ログをダンプして資格情報を収集し、NTLM フォールバックに関連するログをターゲットにした可能性があります。最後に、グループはシステム ツールNltest.exeを使用してドメインの信頼情報を収集し、偵察中に名前で識別した複数のサーバーに ping を実行しました。これらのサーバーの一部は、BISMUTH が通常追求するスパイ目的のための価値の高い情報が含まれている可能性のあるデータベースおよびファイル サーバーのようです。

その後、BISMUTH は Cobalt Strike ビーコンを設置しました。このグループは.rarファイルを投下し、その内容 (McAfee オンデマンド スキャナーのコピーであるMcOds.exeと悪意のある DLL) をSysWOW64フォルダーに抽出しました。その後、このグループは、SYSTEM 権限で McAfee オンデマンド スキャナーのコピーを起動し、悪意のある DLL をサイドロードするスケジュールされたタスクを作成しました。この永続化メカニズムにより、Cobalt Strike サーバー インフラストラクチャへの接続が確立されました。証拠をクリーンアップするために、彼らはドロップされた McAfee バイナリを削除しました。

このキャンペーンの標的に関しては、マイクロソフトが国有企業 (SOE) としての以前の指定に関連していると評価した、ベトナムにある標的にはいくつかの共通点がありました。ベトナムで観察された BISMUTH の活動は、以前はベトナム政府によって運営されていた旧 SOE、旧 SOE の大部分を買収した組織、およびベトナム政府機関と取引を行う組織を含む組織を標的にしていました。これらの最近の攻撃に対するグループの具体的な目的は、確信を持って定義することはできませんが、BISMUTH の過去の活動には、より広範なスパイ活動の目的を支援する作戦が含まれていました。

コイン マイナーの展開と資格情報の盗難

前述のように、BISMUTH はこれらの攻撃中にコイン マイナーを展開しました。これを行うために、彼らはまず.datファイルをドロップし、 rundll32.exeを使用してファイルをロードしました。これにより、 7za.exeという名前の 7-zip ツールのコピーと ZIP ファイルがダウンロードされました。次に、7-Zip を使用して ZIP ファイルから Monero コイン マイナーを抽出し、一般的な仮想マシン プロセスにちなんで名付けられたサービスとしてマイナーを登録しました。彼らが展開した各コイン マイナーは、攻撃中に合計で 1,000 米ドルを超える独自のウォレット アドレスを持っていました。

BISMUTH は、気を散らす手法としてコイン マイナーを導入した後、資格情報の盗難に多くの努力を集中させました。彼らは、 %comspec% (攻撃者が一般的に使用するcmd.exeへの相対参照) を使用して、名前を変更した DebugView ツールを実行し、悪意のある DLL をロードする複数の悪意のあるサービスを登録しました。このグループは、かなり予想外の方法で DebugView と悪意のある DLL を使用して、base64 でエンコードされた Mimikatz コマンドをいくつかの Windows プロセスのいずれかを使用して起動しました: makecab.exesystray.exew32tm.exebootcfg.exediskperf.exeesentutl.exe 、およびtypeperf.exe

彼らは、SYSTEM または Debug 権限を必要とする次の Mimikatz コマンドを実行しました。

  • sekurlsa::logonpasswords full – すべてのアカウントとユーザー パスワードのハッシュを一覧表示します。通常、最近ログオンしたユーザーのユーザーとコンピューターの資格情報です。
  • lsadump::lsa /inject — LSASS を挿入して資格情報を取得し、LSA サーバーに Security Account Manager (SAM) データベースと Active Directory (AD) から資格情報を取得するように要求します。

これらのコマンドを実行した後、盗まれた資格情報を盗み出す可能性のある、攻撃者が制御する複数のドメインに接続された DebugView ツールが選択されました。

影響を受けた組織がネットワークから BISMUTH を排除しようとしている間、マイクロソフトのセキュリティ研究者は、他のデバイスへの横移動、資格情報のダンピング、および複数の永続化方法の植え付けを含む活動が継続していることを確認しました。これは、本格的な侵入に対応することの複雑さと、攻撃の初期段階にフラグを立てるアラートを解決するために迅速な行動を取ることの重要性を浮き彫りにします。

溶け込む攻撃に対する組織のレジリエンスの構築

BISMUTH 攻撃は、攻撃者が優先度の低い注意を引くと予想する通常のネットワーク アクティビティや一般的な脅威に溶け込むことで、目立たないように隠すことに重点を置いています。ソーシャル エンジニアリングと正当なアプリケーションを使用して悪意のある DLL をサイドローディングすることを組み合わせることで、可能な限り早い段階で脅威を阻止し、攻撃がすり抜けた場合に攻撃の進行を軽減することに重点を置いた複数の保護層が必要になります。組織がエクスポージャーを制限するために実装できる緩和の推奨事項は次のとおりです。

攻撃者が初期アクセスに利用できる攻撃面を制限します。

  • ソーシャル メディアでの個人情報とビジネス情報の保護、一方的な通信のフィルタリング、スピア フィッシング メールのルアーの特定、偵察の試みやその他の疑わしい活動の報告について、エンド ユーザーを教育します。
  • Office 365 の電子メール フィルタリング設定構成して、フィッシングやなりすましの電子メール、スパム、およびマルウェアを含む電子メールを確実にブロックします。 Office 365 を設定して、クリック時にリンクを再チェックし、 送信済みメールを削除して、新たに取得した脅威インテリジェンスを活用します。
  • 高度なマクロ アクティビティ、実行可能コンテンツ、プロセス作成、および Office アプリケーションによって開始されるプロセス インジェクションをブロックできるルールを含む、 attack surface reduction ルールを有効にします。
  • マクロを禁止するか、信頼できる場所からのマクロのみを許可します。 Office および Office 365 の最新のセキュリティ ベースラインを参照してください。
  • 境界ファイアウォールとプロキシをチェックして、サーバーがインターネットに勝手に接続してファイルを参照またはダウンロードするのを制限します。このような制限は、マルウェアのダウンロードとコマンド アンド コントロール アクティビティを阻止するのに役立ちます。

資格情報の衛生状態を構築して、発見段階でのリスクを軽減します。

  • ランダム化された強力なローカル管理者パスワードを適用します。 LAPSなどのツールを使用します。
  • 最小権限の原則を実践し、資格情報の健全性を維持します。ドメイン全体の管理者レベルのサービス アカウントは使用しないでください。
  • Windows Helloによる多要素認証を要求します。

攻撃の拡大を阻止し、攻撃者の動きを封じ込めます:

  • Microsoft Defender ウイルス対策で、 クラウドによる保護と自動サンプル送信を有効にします。これらの機能は、人工知能と機械学習を使用して、新しい未知の脅威を迅速に特定して阻止します。
  • 改ざん防止機能を有効にして、攻撃者がセキュリティ サービスを停止できないようにします。
  • イベント ログのクリアを監視します。これが発生すると、Windows はセキュリティ イベント ID 1102 を生成します。
  • 高度な特権を持つアカウントがログオンして資格情報を公開している場所を特定します。ログオンの種類の属性について、ログオン イベント (イベント ID 4624) を監視および調査します。高度な特権を持つアカウントは、ワークステーションに存在してはなりません。
  • Microsoft Defender ファイアウォール、侵入防止デバイス、およびネットワーク ファイアウォールを利用して、エンドポイント間の RPC および SMB 通信を可能な限り防止します。これにより、横方向の動きやその他の攻撃活動が制限されます。

組織がネットワークにアクセスできるようになると、組織に溶け込むためにあらゆることを行う攻撃から組織をより適切に防御するために、組織は初期アクセス段階で攻撃を防止およびブロックするための防御を構築できます。 Microsoft Defender for Office 365は、資格情報のフィッシング、ビジネス メールの侵害、スピア フィッシング メールから始まるサイバー攻撃などの脅威から組織を保護する防御機能を提供します。 安全な添付ファイル安全なリンクは、デトネーション、自動分析、および機械学習を組み合わせて使用するリアルタイムの保護を提供します。これは、高度にターゲットを絞った、特別に細工された電子メールに特に役立ちます。 キャンペーン ビューには、タイムライン、送信パターン、組織への影響、IP アドレス、送信者、URL などの詳細など、電子メール キャンペーンの全体像が表示されます。

より広範なMicrosoft 365 Defenderは、クロスドメインの脅威インテリジェンスと実用的な情報を統合されたインシデント ビューに表示し、セキュリティ運用チームが攻撃に包括的に対応できるようにします。 BISMUTH キャンペーンのような重大な脅威については、Microsoft の研究者が、技術的な詳細、検出情報、緩和状態を含む脅威分析レポートを公開しています。セキュリティ チームは、高度なハンティングなどの調査ツールを使用して、関連または類似の脅威がないか環境をさらに検査できます。脅威と脆弱性の管理データは、組織がリスクを軽減するために実行できる、関連する攻撃面の削減ルールを有効にするなどの緩和の推奨事項を示しています。

Microsoft 365 Defender のこれらの業界をリードする機能は、脅威の状況を監視し、BISMUTH のような脅威アクターを追跡する Microsoft の研究者とセキュリティ専門家のネットワークによって支えられています。 Microsoft 365 Defender を通じて、組織が組織の回復力を構築するために使用できる保護と豊富な調査ツールに、脅威インテリジェンスを変換します。 Microsoft Defender 365 を使用して、自動化されたクロスドメイン セキュリティと組み込みの AI によって攻撃を阻止する方法について説明します

 

Microsoft 365 Defender 脅威インテリジェンス チーム

Microsoft Threat Intelligence Center (MSTIC) を使用

 

MITRE ATT&CK テクニックの観察

初期アクセス

実行

持続性

権限昇格

防御回避

資格情報へのアクセス

発見

コレクション

データの流出

 

 

私たちに話してください

この話に関する質問、懸念、または洞察はありますか? Microsoft 365 Defender 技術コミュニティでのディスカッションに参加してください。

Microsoft セキュリティ インテリジェンスのブログ投稿をすべてお読みください。

Twitter @MsftSecIntelでフォローしてください。

参考: https ://www.microsoft.com/en-us/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres- それらを見つける方法/

Comments

Copied title and URL