APT28 はホスピタリティ セクターを標的にし、旅行者に脅威をもたらします

Hotel_Reservation_Form.doc (MD5: 9b10685b774a783eabfecdb6119a8aa3) news

FireEye は、ホスピタリティ セクターを標的としたキャンペーンがロシアの攻撃者 APT28によるものであることにある程度の自信を持っています。少なくとも 2017 年 7 月にさかのぼるこの活動は、ヨーロッパと中東のホテルを訪れる旅行者をターゲットにすることを目的としていたと考えられます。攻撃者は、Wi-Fi トラフィックからのパスワードのスニッフィング、NetBIOS ネーム サービスのポイズニング、 EternalBlueエクスプロイトによる横方向の拡散など、これらのインシデントでいくつかの注目すべきテクニックを使用しています。

APT28、悪意のあるドキュメントを使用してホスピタリティ業界を標的に

FireEye は、ホスピタリティ業界の複数の企業にスピア フィッシング メールで送信された悪意のある文書を発見しました。その中には、7 月初旬にヨーロッパの少なくとも 7 か国のホテルと中東の 1 か国のホテルが含まれていました。悪意のあるドキュメント内のマクロの実行に成功すると、APT28 の特徴であるGAMEFISHマルウェアがインストールされます。

悪意のあるドキュメントである Hotel_Reservation_Form.doc (MD5: 9b10685b774a783eabfecdb6119a8aa3) は、図 1 に示すように、APT28 の特徴である GAMEFISH マルウェア (MD5: 1421419d1be31f1f9ea60e8ed87277db) を展開するドロッパーを base64 でデコードするマクロを含んでおり、mvband.net と as mvband.net を使用します。コマンド アンド コントロール (C2) ドメイン。

Hotel_Reservation_Form.doc (MD5: 9b10685b774a783eabfecdb6119a8aa3)
ホテル予約フォーム.doc (MD5: 9b10685b774a783eabfecdb6119a8aa3)

APT28は新しい技術を使用して横方向に移動し、旅行者を標的にする可能性があります

APT28 は、EternalBlue エクスプロイトとオープンソース ツールResponderを含む新しい手法を使用して、ネットワークを介して横方向に拡散し、旅行者を標的にする可能性があります。 APT28 は、ホスピタリティ企業のネットワークに侵入すると、ゲストと内部の Wi-Fi ネットワークの両方を制御するマシンを探しました。侵害されたホテルでゲストの認証情報が盗まれていることは確認されていません。しかし、2016 年秋に発生した別のインシデントでは、APT28 が、ホテルの Wi-Fi ネットワークから盗んだと思われる資格情報を介して、被害者のネットワークへの最初のアクセスを取得しました。

企業およびゲストの Wi-Fi ネットワークに接続されたマシンへのアクセスを取得すると、APT28 は Responder を展開しました。レスポンダは、NetBIOS ネーム サービス (NBT-NS) ポイズニングを促進します。この手法は、ネットワーク リソースに接続しようとしている被害者のコンピュータからの NBT-NS (UDP/137) ブロードキャストをリッスンします。受信すると、Responder は探し求めたリソースになりすまして、被害者のコンピューターにユーザー名とハッシュ化されたパスワードを攻撃者が制御するマシンに送信させます。 APT28 はこの手法を使用して、被害者のネットワークで権限の昇格を可能にするユーザー名とハッシュ化されたパスワードを盗みました。

ホスピタリティ企業のネットワークを介して拡散するために、APT28 は EternalBlue SMB エクスプロイトのバージョンを使用しました。これは、Python スクリプトをコンパイルするために py2exe を多用することと組み合わされました。 APT28 がこのエクスプロイトを侵入に組み込んだのを確認したのはこれが初めてです。

2016 年の事件では、被害者はホテルの Wi-Fi ネットワークに接続した後に侵害されました。被害者が公開されている Wi-Fi ネットワークに最初に接続してから 12 時間後、APT28 は盗んだ資格情報を使用してマシンにログインしました。この 12 時間は、ハッシュ化されたパスワードをオフラインでクラックするために使用された可能性があります。マシンへのアクセスに成功した後、攻撃者はマシンにツールを展開し、被害者のネットワークを通じて横方向に広がり、被害者の OWA アカウントにアクセスしました。ログインは同じサブネット上のコンピュータから開始されました。これは、攻撃者のマシンが物理的に被害者の近くにあり、同じ Wi-Fi ネットワーク上にあったことを示しています。

2016 年のインシデントで最初の資格情報がどのように盗まれたかは確認できません。ただし、侵入の後半で、Responder が展開されました。このツールを使用すると、攻撃者はネットワーク トラフィックからパスワードを盗聴できるため、ホテルの Wi-Fi ネットワークでユーザーの資格情報を取得するために使用される可能性があります。

旅行者に対する長年の脅威

ホスピタリティ業界に対するサイバースパイ活動は、通常、ホテル業界自体ではなく、関心のあるホテルのゲストに関する、またはホテルのゲストからの情報収集に焦点を当てていますが、アクターが業務を促進する手段としてホテルに関する情報を収集することもあります。旅行中、特に外国を旅行しているビジネスおよび政府関係者は、ホーム オフィス以外の業務を遂行するためにシステムに依存することが多く、海外でもたらされる脅威に慣れていない可能性があります。

旅行者を標的にしたグループは APT28 だけではありません。韓国ネクサス フォールアウト チーム (別名ダークホテル) は 、アジアのホテルの感染した Wi-Fi ネットワークで偽装されたソフトウェア アップデートを使用しており、イランの核交渉の参加者が使用するヨーロッパのホテルのネットワークで Duqu 2.0 マルウェアが発見されています。さらに、ロシアと中国では、著名なホテルの宿泊客は、 ホテルの部屋にアクセスし、ラップトップやその他の電子機器にアクセスすることを期待している可能性があると、オープンソースは数年前から報告しています。

展望と影響

これらのインシデントは、APT28 によって使用されている新しい感染ベクトルを示しています。このグループは、安全性の低いホテルの Wi-Fi ネットワークを利用して資格情報を盗み、NetBIOS ネーム サービス ポイズニング ユーティリティを利用して権限を昇格させています。 APT28 のすでに幅広い機能と戦術は、グループが感染ベクトルを拡大するにつれて、成長と改良を続けています。

旅行者は、特に外国への旅行中にもたらされる脅威を認識し、システムとデータを保護するために特別な予防措置を講じる必要があります。パブリックにアクセス可能な Wi-Fi ネットワークは重大な脅威をもたらすため、可能な限り回避する必要があります。

FireEye iSIGHT Intelligenceのお客様は、追加の技術情報と詳細をポータルから入手できます。

参照: https://www.mandiant.com/resources/blog/apt28-targets-hospitality-sector-presents-threat-travelers

Comments

タイトルとURLをコピーしました