Hydrochasma という名前の未知の脅威アクターは、COVID-19 ワクチンの開発と治療に関与する船舶および医療研究所を標的にしています。
ハッカーの目的は情報を盗むことであり、その活動は、Broadcom の企業である Symantec の脅威ハンターによって昨年 10 月から追跡されています。
Hydrochasma 攻撃の特徴は、オープンソース ツールと「生活オフ ザ ランド」(LotL) 戦術のみに依存しており、特定につながる可能性のある痕跡を残さないことです。
攻撃の流れ
Hydrochasma 攻撃はフィッシング メールから始まる可能性が高く、これはシマンテックが侵害されたマシンでの悪意のある活動の発信元としてドキュメントを模倣する実行可能ファイルを検出したという事実に基づいています。
偽造文書は、船会社を標的とする場合は「製品仕様情報」をテーマとし、医療研究所を標的とする場合は「求職者の履歴書」をテーマとしています。
マシンを侵害した後、攻撃者はアクセスを使用して Fast Reverse Proxy (FRP) をドロップします。FRP は、NAT (ネットワーク アドレス変換) またはファイアウォールの背後にあるパブリック Web ローカル サーバーに公開される可能性があります。
次に、侵入者は感染したシステムに次のツールをドロップします。
- Meterpreter (Microsoft Edge Updater を装った) リモート アクセスを提供する高度な侵入テスト機能を備えたツール
- Gogo : 自動化されたネットワーク スキャン エンジン
- プロセス ダンプ、ドメイン パスワード (lsass.exe) をダンプします。
- Cobalt Strike ビーコン、コマンドの実行、プロセスの注入、ファイルのアップロード/ダウンロード
- 横方向の移動に使用されるAlliN スキャン ツール
- Fscan : ポートスキャナーを開く
- Dogz : 無料の VPX プロキシ ツール
- SoftEtherVPN : 無料のオープンソース VPN ツール
- Procdump : クラッシュ ダンプの生成、プロセス ダンプ、およびアプリの CPU 使用率の監視を可能にする Microsoft Sysinternals ユーティリティ
- BrowserGhost : ブラウザのパスワード グラバー
- Gost プロキシ: トンネリング ツール
- Ntlmrelay : NTLM リレー攻撃に使用され、有効な認証要求を傍受するために使用されます
- タスク スケジューラ: システム上のタスクを自動化します
- Go-strip : Go バイナリのサイズを縮小します
- HackBrowserData : ブラウザ データを復号化するためのオープンソース ユーティリティ
このように公開されているツールの広範なリストを使用すると、その活動を特定の脅威グループに関連付けることが難しくなり、攻撃者が被害者のネットワークに長期間留まることを目指していることがわかります。
「Hydrochasma によって展開されたツールは、被害者のマシンへの永続的かつステルスなアクセスを実現したいという願望と、特権をエスカレートして被害者のネットワーク全体に横方向に拡散しようとする試みを示しています」とSymantec はコメントしています。
研究者は、Hydrochasma が既知の攻撃者であり、特定のキャンペーンで LotL ツールと戦術を排他的に使用して痕跡を隠す実験を開始した可能性を排除していません。
現時点では、Hydrochasma の攻撃者のタイプを示す唯一の手がかりは被害者によって与えられており、Symantec は被害者がアジアにいると述べています。ただし、この表示だけでは、適切なプロファイルを作成するには不十分です。
Comments