ロシアの入れ子人形の組み立て: UNC2452 が APT29 にマージされる

APT29 Victimology news

Mandiant は、 2020 年 12 月に SolarWinds の侵害を追跡するために使用されたグループ名である UNC2452 として追跡された活動が APT29 に起因するものであることを評価するのに十分な証拠を収集しました。

この結論は、SolarWinds のサプライ チェーンの侵害は、ロシアの対外情報局 (SVR) が後援していると評価されているロシアを拠点とするスパイ グループである APT29 によって行われたという米国政府の以前の声明と一致しています。当社の評価は、Mandiant が収集した直接のデータに基づいており、UNC2452 と APT29 に関する当社の詳細な知識の広範な比較とレビューの結果です。

UNC2452が APT29 に統合されたことで、APT29 に関する私たちの知識が大幅に拡大し、高度なレベルの運用セキュリティ (OPSEC) を使用してインテリジェンス収集を行う、進化し、規律があり、高度なスキルを持つ脅威アクターが明らかになりました。このブログ投稿は、情報を共有し、APT29 の開発に関連する認識を提供するための私たちの取り組みに基づいています。

進化するトレードクラフト

APT29 は非常に洗練されたグループであり、活動をより難読化し、検出を回避するためにデジタル フットプリントを制限するために、運用および行動の戦術、技術、および手順 (TTP) を進化および改良し続けています。この合併により、APT29 の運用プロファイルが拡大し、グループのリソースが豊富な性質、運用の寿命、ターゲットに対する時間、OPSEC、適応性、およびステルスが強調されます。このグループは、TTP を着実に進めており、新しい技術の出現に合わせて新しい対策を採用しています。

  • 高い操作テンポとスケール。 Mandiant は少なくとも 2014 年からAPT29の活動を追跡しており、2020 年の SolarWinds の侵害に続いて重大な公開が行われたにもかかわらず、同グループは 2020 年から 2021 年にかけて、異なるタイム ゾーンで複数の大規模な侵害を高い運用テンポで同時に実行し続けてきました。 2021 年と 2022 年には、 APT29がヨーロッパ、北米、アジアの外交機関を標的に大規模なフィッシング キャンプを実施することを確認しました。この活動の規模と範囲は、グループに十分なリソースがあることを示唆しています。
  • 広い運用範囲。 APT29 は、西欧およびヨーロッパの政府と、教育、電気通信、政府に隣接する組織、医学研究機関、およびテクノロジー企業や IT およびビジネス サービス プロバイダーなどのサードパーティ アクセスを提供する組織など、さまざまな追加の業界を標的にしています。
  • 被害者学とデータ盗難。 APT29 は、電子メールのメールボックスへのアクセスを積極的に取得して維持することに一貫して重点を置いてきました。最近では、クラウドベースのリソースとソース コード リポジトリも標的にして、ロシアの戦略的利益に関連するデータを探し、運用計画を実行し、下流の顧客への入り口としてサード パーティへのアクセスを使用しました。
APT29 Victimology
図 1: APT29 の被害者

Mandiant は、APT29 がすでに高度な技術を進化させ、さまざまな被害者の環境や新たなテクノロジーに次のように適応していることを観察しました。

  • さまざまな侵入ベクトル. 2020 年以降、APT29 は顧客とサード パーティ間の信頼関係を悪用し、サプライ チェーンを悪用しようとする傾向が強まっています。 Mandiant は、APT29 がさまざまな運用手法を利用して、資格情報の盗難、Web サーバーの侵害、パスワード スプレー、スピア フィッシングなどの被害者への初期アクセスを取得していることを確認しました。特に、2021 年から現在まで、Mandiant は、APT29 がスピア フィッシング キャンペーンを介して Cobalt Strike BEACON を展開するために TTP をわずかに変更しているのを観察しました。これは、一般に公開されているマルウェアが利用可能になり、成功したためと考えられます。また、ツールが広く使用されているため、アトリビューションの取り組みが複雑になっている可能性があります。
APT29 が使用する最初の感染ベクター
図 2: APT29 が使用する最初の感染ベクター
  • OPSECの強化。 APT29 は、広範な運用規律で知られており、すべての運用で強力な OPSEC 態勢を維持し続けています。 APT29 は、二次的なバックドア、ラテラル ムーブメントの試み、およびデータ盗難を保護するために、高いレベルの OPSEC を示しています。たとえば、APT29 は、最初のキャンペーン中にSUNBURST バックドアを正規の SolarWinds コード内に隠すためにかなりの時間を費やしました。さらに、Mandiantは以前、このグループが環境内の複数のアカウントを侵害しようとする試みを特定していましたが、各アカウントの使用を機能ごとに分け、1 つを偵察用に、もう 1 つを横方向の移動に使用していました。これにより、侵害された 1 つのアカウントのアクティビティを検出することで、侵入の全範囲が明らかになる可能性が低くなります。

    2018 年以来、 APT29は、正規のサービスと侵害されたインフラストラクチャを使用して、コマンド アンド コントロール (C2) インフラストラクチャの運用セキュリティを一貫して強化してきました。 .さらに、APT29 は、セキュリティ オペレーション、インシデント対応、修復作業、およびネットワーク検出メカニズムを明確に理解していることを示し続けています。表 1 は、グループが実施した追加の OPSEC 対策の例を示しています。

表 1: APT29 ネットワークベースおよびホストベースの OPSEC 対策の例

ネットワークベースの OPSEC

ホストベースの OPSEC

C2 考慮事項

  • C2 に正規のサービスを使用
  • 調整されたC2コールアウト間隔

ブレンドイン

  • ホスト名を被害者の環境の命名規則に一致させました
  • ネイティブの Microsoft ツールを活用

この投稿で詳しく説明されているインフラストラクチャ OPSEC

  • 居住者の IP アドレス範囲を使用して被害者の環境に対して認証することにより、被害者の組織の近くにローカライズされた「ラスト マイル」インフラストラクチャ
  • 被害者のインフラストラクチャと同じ地域にある Azure インフラストラクチャの位置情報
  • 被害者の環境にアクセスするために、TOR、VPS、および VPN を組み合わせて使用
  • モバイル デバイス経由でトラフィックをプロキシする IP アドレス プロキシ プロバイダーを使用して、トラフィックが国内の ISP およびデバイスから発信されたかのように見せかけました。

独立したインフラストラクチャ

  • SUNBURST コールバック インフラストラクチャを他の後続のマルウェア ファミリから分離して、アクセスを維持し、後続のアクティビティが検出された場合にこのツールセットを保護します。
  • 被害者ごとに一意の C2 サーバーを確立し、個々のホストに対して使い捨ての C2 サーバーを確立することにより、C2 の再利用を制限

正当に見える

  • 正規の Microsoft DLL を変更して、悪意のあるペイロードの DLL サイド ローディングを有効にしました。
  • 悪意のあるスケジュールされたタスク、プロセス、およびショートカット ファイルを正規のタスク、バイナリ、およびドキュメントとして偽装
  • 正当なバイナリを同名の悪意のあるファイルに置き換え、悪意のあるバイナリの実行が完了した後に元のファイルを再インストールした
  • 盗み出されたデータのサイズを最小限に抑え、暗号化された接続を使用してデータを盗み出した

セキュリティ コントロールの無効化

  • ウイルス対策およびシステム ロギング機能を検出して無効にし、場合によっては、悪意のあるアクティビティの完了時にこれらの機能を再度有効にしました
  • Microsoft リモート デスクトップ経由でアクセスした被害者のマシンで、SysInternals Sysmon および Splunk フォワーダーを無効化

トラックをカバーする

  • Windows イベント ログをクリアした
  • 偵察を実行するための永続性を確立し、別のシステムに横移動する前にそれを削除し、永続性が削除されたことを確認しました
  • ホスト上でのインタラクティブな操作に続く Microsoft の安全な削除ツール (SDELETE) の広範な使用

修復のモニタリング

  • IT 担当者のメールボックスにアクセスして、修復作業を監視し、必要に応じて TTP を調整しました

さまざまな TTP の使用

  • スピア フィッシング キャンペーンに TTP とマルウェアのわずかなバリエーションを採用
  • 洗練。 APT29 は、運用中に迅速に適応することが実証されています。このグループは、革新的で斬新な技術を使用して、被害者の環境での検出と強力な認証要件を回避します。最近の運用では、ネイティブの M365 機能の基本的な理解により、大量のマルウェアを使用することなく、オンプレミスとクラウドのリソース間を簡単に移動できました。これらの措置は、高レベルの OPSEC、グループの運用の長期性、および目標達成までの時間と相まって、十分なリソースと高度に洗練された攻撃者を示していると考えています。
    • オンプレミスからクラウドへ。 APT29 は Microsoft のツールとクラウド環境に関する高度な知識を持っているため、特定の脆弱性を使用したり、カスタム マルウェアを展開したりすることなく、強力な認証要件にもかかわらず、製品の機能を悪用してアクセスを達成し、維持することができます。これにより、オンプレミス ネットワークからクラウド リソースに簡単にピボットして、ターゲットや機密データへの永続的なアクセスを作成できます。 Mandiant は APT29 の標的を観測し、ガイダンスに詳述されている7 つの主要な手法の組み合わせを使用して、2018 年から M365 環境に横方向に移動します。
    • 多要素認証 (MFA) のバイパス: 2018 年から 2020 年にかけて、APT29 はさまざまな方法を使用して、ラテラル ムーブメントの被害者環境での強力な認証要件を満たしました。これらには、MFA 用のデバイスの登録または従来の認証によるバイパス、サービス プリンシパルとアプリの登録への資格情報の追加、MFA 要件をバイパスしてアラームを発生させずに正常にログインするための事前計算された Cookie の利用が含まれます。このグループはまた、正当な資格情報を悪用して、ユーザーが認証を受け入れるまで、エンド ユーザーの正当なデバイスに繰り返される MFA プッシュ通知を悪用しました。また、このグループは、ゴールデン チケットを使用してオンプレミス システムから機密データにアクセスすることから、クラウド ホスト リソースを使用する被害者環境用のゴールデン SAML (セキュリティ アサーション マークアップ言語) へと進化していることも確認しました。どちらの手法でも、攻撃者は認証要件を回避し、ユーザー アカウントのドメイン全体のパスワードをリセットした後でも、任意の権限で任意のユーザーとして被害者の環境にアクセスできます。
    • 軽いマルウェア フットプリントの維持: APT29 は、2018 年以降、カスタマイズされたツールのツールキットを使用することから、比較的軽いマルウェア フットプリントを維持するように移行しました。これにより、ウイルス対策エンジンによる検出機会が少なくなり、帰属の取り組みが複雑になります。このグループは、Microsoft のネイティブ機能を悪用して被害者の環境へのアクセスを維持し、盗んだ資格情報を好んで使用しているようです。場合によっては、グループが足場を固めた後、カスタム ツールの展開から BEACON の展開に移行することを観察しました。これは、成功、可用性、変更の可能性、および BEACON によって提供される属性の複雑さが原因である可能性があります。 2018 年から 2021 年にかけて、APT29 はカスタム ツールの使用を、観察されたすべての侵害の半分弱に制限しました。カスタム ツールを備えたその期間中の侵害のために、APT29 は、SUNBURST、BEACON ドロッパー RAINDROP および TEARDROP、MAMADOGS と呼ばれる資格情報盗難ツール、および CRIMSONBOX などのカスタム マルウェア ファミリを使用しました。 ADFS 構成からトークン署名証明書を抽出し、グループが SAML トークンを偽造するのを支援する .NET ツール。
    • スピードと敏捷性 APT29 は、ツールと TTP を迅速に調整して被害者の環境に適応し、修復作業を通じてアクセスを維持できます。複数のケースで、APT29 は、フィッシング ペイロードの最初の実行から 12 時間以内にドメイン管理者権限を取得することができました。 2020 年、SolarWinds サプライ チェーンの侵害が公開されてから約 5 日後、APT29 は、内部の情報セキュリティ チームから IT 管理者に電子メールを送信して、その画像を要求した後、永続的な BEACON バックドアを新しいサブネット内の追加システムに移動しました。 SolarWinds システム。これは、グループが組織の電子メールを監視し、その後、アクセスを維持するための対策を講じたことを示唆しています。
    • データに従ってください。 2018 年以来、Mandiant は、APT29 がオンプレミスやクラウド環境にある重要なデータへのアクセスを失わないように、被害者の環境にアクセスするための戦術を調整していることを観察しました。 Mandiant は、グループがさまざまな方法を使用して、さまざまな被害環境から電子メールを収集していることを観察しました。これらには、オンプレミス システムのローカル OST および PST ファイルを収集する公開ツールの使用、サービス プリンシパルの悪用への切り替え、被害者のメールボックスおよびメールボックス フォルダーへのアクセス許可の追加、クラウド環境でのアプリケーション偽装の使用が含まれます。

展望と影響

Mandiant は 2014 年に APT29 の追跡を開始して以来、重要な技術的トレード クラフトと OPSEC を進化させ続けてきました。 TTP の一貫した着実な進歩は、TTP の規律ある性質と、ステルスな操作と持続性への取り組みを物語っています。 UNC2452 を APT29 に統合したことで、APT29 の活動が長年にわたってどのように進化してきたかについての理解が深まりました。これには、このグループが技術的スキルをさらに磨いて、セキュリティ制御をバイパスし、新しいテクノロジーに合わせて TTP を拡張し、被害者の環境に溶け込み、全体の検出を妨害した方法が含まれます。その操作のすべての側面。 Mandiant は、APT29 がその高度なスキルセットと、新しい TTP とツールを創造的に採用してターゲットへの永続的なアクセスを取得する能力に基づいて、その運用および行動 TTP を進化させ続けることをほぼ確信しています。

APT29 を防御するための修正および強化戦略に関するホワイト ペーパーを参照してください。 さらに詳しい情報については、ウェビナーをご覧ください

マージの結果として追加された MITRE ATT&CK テクニック

資源開発

  • T1583.003: 仮想専用サーバー

初期アクセス

  • T1195.002: ソフトウェア サプライ チェーンの侵害
  • T1199: 信頼関係

実行

  • T1059.007: JavaScript

持続性

  • T1098: アカウント操作
  • T1098.001: 追加のクラウド認証情報
  • T1547.009: ショートカットの変更
  • T1574.008: 検索順ハイジャックによるパス傍受

権限昇格

  • T1055.002: ポータブル実行可能インジェクション
  • T1134.001: トークンのなりすまし/盗難
  • T1484.002: ドメイン信頼の変更
  • T1547.009: ショートカットの変更
  • T1574.008: 検索順ハイジャックによるパス傍受

防御回避

  • T1027.003: ステガノグラフィー
  • T1027.005: ツールからのインジケーターの削除
  • T1036.005: 正当な名前または場所と一致する
  • T1055.002: ポータブル実行可能インジェクション
  • T1070: ホストでのインジケータの削除
  • T1070.001: Windows イベント ログをクリアする
  • T1070.006: タイムスタンプ
  • T1134.001: トークンのなりすまし/盗難
  • T1218.005: ムシュタ
  • T1218.011:Rundll32
  • T1480: 実行ガードレール
  • T1497.003: 時間ベースの回避
  • T1550.001: アプリケーション アクセス トークン
  • T1562.001: ツールの無効化または変更
  • T1574.008: 検索順ハイジャックによるパス傍受

資格情報へのアクセス

  • T1003.003: NTDS
  • T1003.006: DCSync
  • T1003.008: /etc/passwd および /etc/shadow
  • T1110.003: パスワード スプレー
  • T1111: 二要素認証傍受
  • T1552.001: ファイル内の資格情報
  • T1552.004: 秘密鍵
  • T1552.006: グループ ポリシーの基本設定
  • T1555.005: パスワード マネージャー
  • T1558: Kerberos チケットを盗むか偽造する
  • T1558.003: ケルベロスト
  • T1606.001: Web Cookie
  • T1606.002: SAML トークン

発見

  • T1016.001: インターネット接続の検出
  • T1046: ネットワーク サービスのスキャン
  • T1497.003: 時間ベースの回避
  • T1526: クラウド サービスの検出

横移動

  • T1550.001: アプリケーション アクセス トークン

コレクション

  • T1005: ローカル システムからのデータ
  • T1039: ネットワーク共有ドライブからのデータ
  • T1074: ステージングされたデータ
  • T1114.002: リモート電子メール コレクション
  • T1213.002: シェアポイント
  • T1213.003: コード リポジトリ
  • T1560.001: ユーティリティによるアーカイブ

コマンドと制御

  • T1071: アプリケーション層プロトコル
  • T1071.004: DNS
  • T1090.003: マルチホップ プロキシ
  • T1568.002: ドメイン生成アルゴリズム
  • T1571: 非標準ポート
  • T1573.001: 対称暗号

流出

  • T1030: データ転送サイズの制限
  • T1567: Web サービスを介した流出
  • T1567.001: コード リポジトリへの流出

参照: https://www.mandiant.com/resources/blog/unc2452-merged-into-apt29

Comments

タイトルとURLをコピーしました