Microsoft Security — クラウド内の帝国を検出

news

Microsoft は、最も高度な攻撃者と進化する攻撃手法を一貫して追跡しています。これらの調査結果を使用して製品とプラットフォームを強化し、セキュリティ コミュニティと共有して、あらゆる場所の防御者が地球をより適切に保護できるようにします。

最近、Microsoft Threat Intelligence Center (MSTIC) は、私たちが GADOLINIUM と呼ぶ攻撃者による攻撃手法の進化を観測しました。この攻撃者は、クラウド サービスとオープン ソース ツールを使用して、マルウェア ペイロードの武器化を強化し、コマンド アンド コントロールをサーバーに至るまで取得しようとします。検出を難読化します。これらの攻撃は、悪意のある添付ファイルを含むスピア フィッシング メールを介して配信され、Microsoft Defender (以前の Microsoft Threat Protection (MTP)) によって検出およびブロックされ、Azure Sentinel を使用して検出することができました。

これらの攻撃が検出されると、Microsoft は、攻撃者が Microsoft のクラウド インフラストラクチャを使用して攻撃を実行するのを防ぐための積極的な措置を講じ、悪意のあるコマンド & コントロール インフラストラクチャの一部であると判断された 18 の Azure Active Directory アプリケーションを停止しました。この措置により、お客様側で追加の作業を行うことなく、お客様を透過的に保護することができました。

GADOLINIUM は国家レベルの活動グループであり、10 年近くにわたり、海事および健康産業に世界的に焦点を当てて目標を達成してきました。ほとんどの脅威グループと同様に、GADOLINIUM は、新しい悪用方法を作成するために使用または変更できる新しい技術を探しているセキュリティ担当者のツールと技術を追跡します。

MSTIC は最近、これらのセクター以外のターゲットが新たに拡大され、アジア太平洋地域や、高等教育機関や地方政府組織の他のターゲットが含まれていることを確認しました。 GADOLINIUM が進化するにつれて、MSTIC はその活動を監視し続け、製品セキュリティ チームと協力して、これらの攻撃に対する顧客保護を実装してきました。

歴史的に、GADOLINIUM は、アナリストが特定して防御できるようにカスタム作成されたマルウェア ファミリを使用していました。これに対応して、GADOLINIUM は昨年、ツールチェーンの一部を変更し、オープンソースのツールキットを使用してアクティビティを難読化し、アナリストが追跡するのをより困難にし始めました。クラウド サービスは頻繁に無料試用版または 1 回限りの支払い (PayGo) アカウント サービスを提供するため、悪意のある攻撃者はこれらの正当なビジネス サービスを利用する方法を見つけました。無料または PayGo アカウントを作成することで、クラウドベースのテクノロジーを使用して悪意のあるインフラストラクチャを作成できます。このインフラストラクチャは、検出される前にすばやく削除したり、わずかな費用で放棄したりできます。

次の GADOLINIUM 技術プロファイルは、この特定の攻撃者の活動の標的となる可能性のあるセキュリティ担当者に、これらの攻撃からの保護を強化するのに役立つ洞察と情報を提供するように設計されています。

2016: クラウドでの実験

GADOLINIUM は、クラウド サービスを使用して攻撃を配信し、運用速度と規模の両方を向上させることを何年にもわたって実験してきました。図 1 の画像は、2016 年に確立された GADOLINIUM 制御の Microsoft TechNet プロファイルからのものです。この TechNet プロファイルの連絡先ウィジェットの初期の使用には、マルウェアが読み取るためのエンコードされたコマンドを含む非常に小さなテキスト リンクの埋め込みが含まれていました。

2016 年に確立された GADOLINIUM 制御の Microsoft TechNet プロファイルの画像。

図 1: GADOLINIUM が制御する、マルウェア リンクが埋め込まれた TechNet プロファイル。

2018: クラウドでの攻撃の開発

2018 年に GADOLINIUM はクラウド サービスの使用に戻りましたが、今回は GitHub を使用してコマンドをホストすることを選択しました。図 2 の画像は、GADOLINIUM が制御するフォークされたリポジトリでの GitHub コミット履歴を示しています。このリポジトリで、攻撃者はマークダウン テキストを更新して、被害者のコンピューターに新しいコマンドを発行しました。 MSTIC は GitHub の同僚と協力して、攻撃者のアカウントを削除し、GitHub プラットフォームでの GADOLINIUM の運用を妨害しました。

GADOLINIUM が管理する GitHub リポジトリのイメージ。

図 2: GADOLINIUM によって制御される GitHub リポジトリ。

2019-2020: オープンソースを使って人目につかないようにする

ガドリニウムの進化する技術
2019 年と 2020 年の最新の 2 つの攻撃チェーンは、同様の戦術と手法を使用して GADOLINIUM から配信されました。以下は、これらの攻撃手法がどのように進化したかをまとめたものであり、その後、セキュリティ担当者が脅威をよりよく理解するために使用できる各ステップの詳細な分析と、攻撃に対抗するために実装する防御策を示しています。

これらの攻撃手法がどのように進化してきたかについての概要ビュー。

兵器化
昨年、Microsoft は、GADOLINIUM がオープン ソース キットに基づくツールチェーン技術の一部を移行したことを確認しました。この動きはガドリニウムだけではありません。 MSTIC は、近年、いくつかの国家活動グループがオープン ソース ツールに移行する傾向が鈍化していることに気付きました。 MSTIC は、この動きが発見と帰属をより困難にする試みであると評価しています。オープンソース タイプのキットを使用することのもう 1 つの利点は、開発と新機能の作成が行われ、他の誰かが無料で作成できることです。ただし、オープン ソース ツールを使用することが、難読化やノイズへの混入に対する特効薬であるとは限りません。

配信と搾取 (2019)
2019 年には、悪意のある Access データベース ファイルをターゲットに配信する GADOLINIUM を発見しました。最初の悪意のあるファイルは、Access 2013 データベース (.accde 形式) でした。これにより、Excel スプレッドシートとmm.accdb.coreという名前のファイルとともに開かれた偽の Word ドキュメントが投下され、その後実行されました。ファイルmm.accdb.coreは、.NET DLL ペイロードをロードし、構成情報を設定して、ペイロードを実行するCactusTorch VBA モジュールに基づく VBA ドロッパーです。 Defender for Office 365 は、メール内の悪意のある Microsoft Access データベースの添付ファイルを検出してブロックします。編集された構成の例を以下に示します。

VBA 設定構成を示し、ペイロードの「実行」関数を呼び出すイメージ。

図 3: VBA 設定構成とペイロードの「実行」関数の呼び出し

指揮統制 (2019)
被害者のマシンにアクセスできるようになると、ペイロードは Outlook タスクへの添付ファイルをコマンド アンド コントロール (C2) のメカニズムとして使用します。 login.microsoftonline.com で GADOLINIUM 制御の OAuth アクセス トークンを使用し、それを使用して Outlook Task API を呼び出してタスクをチェックします。攻撃者は、実行するコマンドまたは .NET ペイロードを送信する手段として、Outlook タスクへの添付ファイルを使用します。被害者側で、マルウェアはこれらのコマンドの実行からの出力を Outlook タスクへの追加の添付ファイルとして追加します。

興味深いことに、このマルウェアには、私たちが確認した攻撃では使用されていないように見える方法でコンパイルされたコードが含まれていました。上記の Outlook タスク API メソッドに加えて、余分なコードには、Outlook 連絡先 API (連絡先の取得と追加) または OneDrive API (ディレクトリの一覧表示、ファイルの取得と追加) のいずれかを介して Office365 を C2 として使用する 2 つの方法が含まれています。 .

目標に対する行動 (2019)
GADOLINIUM は、いくつかの異なるペイロードを使用して、ファイル コマンド (読み取り/書き込み/リストなど) を実行して C2 を有効にしたり、SMB コマンド (アップロード/ダウンロード/削除など) を実行したりして潜在的に流出させたりする一連の PowerShell スクリプトを含む、悪用または侵入の目的を達成しました。データ。

GADOLINIUM が使用するツールの 1 つである LazyCat には、被害者のネットワーク全体でラテラル ムーブメントを可能にする権限エスカレーションと資格情報のダンプ機能が含まれています。 Microsoft Defender for Endpoint は、使用されている特権エスカレーション手法を検出します。

検出された特権昇格の試行に関する Microsoft Defender ATP アラートのイメージ。

LazyCat は、 MiniDumpWriteDump Windows API 呼び出しを使用して資格情報のダンプを実行します。これは、Microsoft Defender for Endpoint によっても検出されます。

検出された資格情報のダンピング アクティビティの Microsoft Defender ATP アラートのイメージ。

配信 (2020)
2020 年 4 月中旬、GADOLINIUM アクターが、悪意のある添付ファイルを含むスピア フィッシング メールを送信していることが検出されました。これらの添付ファイルのファイル名は、COVID-19 パンデミックに対する標的の関心に訴えるように命名されました。 PowerPoint ファイル ( 20200423-sitrep-92-covid-19.ppt) を実行すると、ファイルdoc1.dotmがドロップされます。同様に、2019 年の例と同様に、Microsoft Defender for Office は、これらの悪意のある PowerPoint および Word 添付ファイルを含む電子メールを検出してブロックします。

指揮統制 (2020)
悪意のある doc1.dotm には、連続して実行される 2 つのペイロードが含まれていました。

  • 最初のペイロードは、このブログで説明されているように、2 番目のステージで必要なタイプ チェックDisableActivitySurrogateSelectorTypeCheckをオフにします。
  • 2 番目のペイロードは、埋め込まれた .Net バイナリをロードし、.png ファイルをダウンロード、復号化、および実行します。

.png は実際には PowerShell であり、Microsoft Graph API を使用して偽の png ファイルをhttps://graph.microsoft.com/v1.0/drive/root:/onlinework/contact/$($ID)_1.pngにダウンロードおよびアップロードします。 :/contentここで、$ID はマルウェアの ID です。 GADOLINIUM PowerShell は、オープンソースの PowershellEmpireツールキットの修正版です。

目標に対する行動 (2020)
GADOLINIUM PowerShell Empire ツールキットを使用すると、攻撃者は Microsoft Graph API 呼び出しを介して被害者のコンピューターに追加のモジュールをシームレスにロードできます。攻撃者の Microsoft OneDrive アカウントを使用してコマンドを実行し、攻撃者と被害者のシステム間で結果を取得するコマンド アンド コントロール モジュールを提供します。この PowerShell Empire モジュールの使用は、従来の SOC 監視では識別が特に困難です。攻撃者は、Azure Active Directory アプリケーションを使用して、被害者のエンドポイントに、攻撃者自身の Microsoft OneDrive ストレージにデータを盗み出すために必要なアクセス許可を設定します。エンドポイントまたはネットワーク監視の観点から、アクティビティは最初、信頼できるクラウド サービス API を使用する信頼できるアプリケーションに関連しているように見えます。このシナリオでは、OAuth アクセス許可の同意プロンプトは発生しません。このブログ投稿の後半で、Microsoft が、攻撃者がこれらの方法でクラウド インフラストラクチャを使用することを事前に防止する方法について、追加情報を提供します。

コマンド アンド コントロール – サーバーの侵害
GADOLINIUM キャンペーンでは、多くの場合、コマンド アンド コントロールやトラフィックのリダイレクトのために、正当な Web サイトに Web シェルをインストールする必要があります。 Microsoft Defender for Endpoint は、プロセスの作成やファイルの変更などの Web サーバーのテレメトリを分析することにより、Web シェルを検出します。 Microsoft は今年初めに、複数のグループによる Web シェルの使用と、そのような活動を検出する方法についてブログを書きました。

疑わしい Web シェル攻撃の Microsoft Defender ATP アラート

 

疑わしい Web シェル攻撃の Microsoft Defender ATP アラート。

図 6: 疑わしい Web シェル攻撃の Microsoft Defender for Endpoint アラート。

Microsoft Defender for Endpoint からの Web シェル アラートは、Azure Sentinel で調べて、攻撃に関する重要な洞察を提供できる追加情報で強化することができます。 MSTIC の Azure Sentinel チームは最近、 W3CIISLog からのイベントを分析することで、このような洞察を導き出す方法を概説したブログを公開しました。

顧客を守るための Microsoft のプロアクティブな手順
上記のように Microsoft Defender for Endpoint や Microsoft Defender for Office などの Microsoft のセキュリティ製品およびサービスを通じて攻撃の個々のコンポーネントの多くを検出することに加えて、攻撃者がクラウド インフラストラクチャを使用して攻撃を実行するのを防ぐための予防措置も講じています。 .クラウド プロバイダーとして、Microsoft はこの攻撃者の手法を阻止できる独自の立場にあります。 PowerShell Empire シナリオは、この良い例です。 2020 年 4 月、Microsoft Identity Security チームは、GADOLINIUM の PowerShell Empire インフラストラクチャの一部であると判断した 18 の Azure Active Directory アプリケーションを停止しました (アプリケーション ID は、以下の IOC セクションに記載されています)。これらのアプリケーションを一時停止すると、すべての顧客が透過的に保護されるため、このような措置は顧客にとって特に有益です。

安全で信頼できるアプリ エコシステムを促進するための Microsoft の広範な取り組みの一環として、マイクロソフトは既知および新規の悪意のあるアプリケーションの検出技術を研究および開発しています。悪意のある動作を示すアプリケーションは迅速に停止され、お客様が確実に保護されます。

ガドリニウムは、その目的を追求するために戦術を進化させることは間違いありません。これらの脅威は Microsoft のお客様を標的にしているため、引き続き検出を構築し、それらを防御するための保護を実装します。 GADOLINIUM で独自のハンティングを拡大しようとしているセキュリティ担当者のために、彼らの活動に関連する以下の侵害の痕跡 (IOC) を共有しています。

関連するガドリニウム指標のリスト

悪意のあるドキュメントの添付ファイルからのハッシュ

faebff04d7ca9cca92975e06c4a0e9ce1455860147d8432ff9fc24622b7cf675
f61212ab1362dffd3fa6258116973fb924068217317d2bc562481b037c806a0a

俳優が所有するメールアドレス

Chris.sukkar@hotmail.com
PhillipAdams third@hotmail.com
sdfwfde234sdws@outlook.com
jenny1235667@outlook.com
fghfert32423dsa@outlook.com
sroggeveen@outlook.com
RobertFetter.fdmed@hotmail.com
Heather.mayx@outlook.com

悪意のあるアプリに関連付けられた Azure Active Directory アプリ ID

ae213805-a6a2-476c-9c82-c37dfc0b6a6c
afd7a273-982b-4873-984a-063d0d3ca23d
58e2e113-b4c9-4f1a-927a-ae29e2e1cdeb
8ba5106c-692d-4a86-ad3f-fc76f01b890d
be561020-ba37-47b2-99ab-29dd1a4312c4
574b7f3b-36da-41ee-86b9-c076f999b1de
941ec5a5-d5bf-419e-aa93-c5afd0b01eff
d9404c7d-796d-4500-877e-d1b49f02c9df
67e2bb25-1f61-47b6-9ae3-c6104e587882
9085bb9e-9b56-4b84-b21e-bd5d5c7b0de0
289d71ad-54ee-44a4-8d9a-9294f19b0069
a5ea2576-4191-4e9a-bfed-760fff616fbf
802172dc-8014-42a9-b765-133c07039f9f
fb33785b-f3f7-4b2b-b5c1-f688d3de1bde
c196c17d-1e3c-4049-a989-c62f7afaf7f3
79128217-d61e-41f9-a165-e06e1d672069
f4a41d96-2045-4d75-a0ec-9970b0150b52
88d43534-4128-4969-b5c4-ceefd9b31d02

Microsoft セキュリティ ソリューションの詳細については、当社のWeb サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参考: https ://www.microsoft.com/en-us/security/blog/2020/09/24/gadolinium-detecting-empires-cloud/

Comments

タイトルとURLをコピーしました