最終更新日時:Fri, 10 May 2024 17:55:27 GMT
Rapid7 は、複数のマネージド・ディテクション&レスポンス(MDR)顧客を標的にした進行中のソーシャル・エンジニアリング・キャンペーンを確認しました。このインシデントでは、攻撃者がユーザーの電子メー��を迷惑メールでいっぱいにした上で、ユーザーに電話をかけ、支援を提案します。そして攻撃者は、リモート接続を確立のために、AnyDeskのようなリモート監視および管理ソフトウェアをダウンロードするか、Microsoftの内蔵クイックアシスト機能を利用するよう、影響を受けたユーザーに促します。リモート接続が確立されると、攻撃者は、影響を受けたユーザーの認証情報を取得し、影響を受けたユーザーの資産へのアクセスの永続性を維持するために、インフラストラクチャからペイロードをダウンロードします。
あるインシデントでは、Rapid7は攻撃者が侵害されたネットワーク内の他の資産にCobalt Strikeビーコンを展開するのを観測しました。Rapid7が対応したケースではランサムウェアの展開は観測されませんでしたが、私たちが観測した侵害のインジケータは、OSINTやRapid7が対応した他のインシデントレスポンス業務に基づいて、Black Bastaランサムウェアのオペレーターと以前に関連していました。
概要
2024年4月下旬以降、Rapid7は斬新なソーシャルエンジニアリングキャンペーンの複数の事例を確認しました。この攻撃は、標的環境のユーザーグループが大量のスパムメールを受信することから始まります。観測されたすべてのケースにおいて、スパムはメール保護ソリューションを圧倒するほど重大であり、ブロックされることなくユーザーの受信トレイに到達してしました。Rapid7は、メール自体の多くは悪意のあるものではなく、世界中の多数の合法的な組織からのニュースレター登録確認メールであると判断しました。
電子メールが送信され、影響を受けたユーザがスパムの量を処理するのに苦労している最中に、攻撃者は電子メールの問題のサポートを提供しますよ、と、組織のITチームのメンバーを装って、影響を受けたユーザに電話をかけ始めました。その際、正規のリモート監視・管理ソリューションを使用することで、ユーザーをソーシャルエンジニアリングし、コンピュータへのリモートアクセスを提供させようとしました。すべてのケースにおいて、Rapid7は、一般的に悪用されているRMMソリューションであるAnyDesk、またはWindows内蔵のリモートサポートユーティリティであるQuick Assistのダウンロードと実行によって、最初のアクセスが促進されたことを確認しました。
ソーシャル・エンジニアリングによってユーザーにリモート・アクセスを提供させることに失敗した場合、Rapid7の観察によると、彼らはすぐに大量のスパムメールのターゲットとなった別のユーザーにターゲットを変更していました。
攻撃者は、ユーザーのコンピュータへのアクセスに成功すると、一連のバッチスクリプトの実行を開始し、アップデートとしてユーザーに表示します。攻撃者によって実行される最初のバッチスクリプトは、通常、コマンド&コントロール(C2)サーバへの接続を確認し、Windows用OpenSSHの正規コピー(最終的に***RuntimeBroker.exe***に改名)を含むZIPアーカイブを、その依存関係、複数のRSA鍵、その他のSecure Shell(SSH)設定ファイルとともにダウンロードします。SSHは、インターネット経由でリモートコンピュータに安全にコマンドを送信するために使用されるプロトコルです。バッチスクリプトの多くには、ハードコードされたC2サーバーがありますが、C2サーバーとリスニングポートをコマンドラインで上書き指定できるように記述されているものもあります。
その後、スクリプトは、Windowsレジストリのランキーエントリを介して永続性を確立します。バッチスクリプトによって作成された実行キーは、実行時に作成される追加のバッチスクリプトを示します。実行キーが指す各バッチスクリプトは、PowerShellを介してSSHを無限ループで実行し、ダウンロードしたRSA秘密鍵を使用して指定されたC2サーバーへのリバースシェル接続の確立を試みます。Rapid7は、攻撃者によって使用されたバッチスクリプトのいくつかの異なるバリエーションを観察しました。そのうちのいくつかは、NetSupportやScreenConnectを含む他のリモート監視および管理ソリューションを使用して、条件付きで永続性を確立しています。
観測されたすべてのケースにおいて、Rapid7は、PowerShellを使用してコマンドラインから被害者の認証情報を採取するバッチスクリプトの使用を確認しています。認証情報は、ユーザーにログインを要求する「更新」という偽のコンテキストの下で収集されます。確認されたバッチ スクリプトのほとんどのバリエーションでは、認証情報は、Secure Copy コマンド(SCP)を介して、攻撃者のサーバーに直ちに流出します。他の少なくとも1つのスクリプトでは、認証情報はアーカイブに保存され、手動で取得する必要があります。
図 5.盗まれたクレデンシャルは通常すぐに流出する。図6.セキュアコピーがないスクリプトの亜種。
あるケースでは、最初の侵害が完了すると、脅威者はImpacketを使用してSMB経由で環境全体に横方向に移動しようとし、最終的にCobalt Strikeの展開を数回試みたものの失敗しました。Rapid7が実施した調査において、データ流出やランサムウェアの展開に成功したケースは確認されていませんが、Rapid7が実施したフォレンジック分析を通じて発見された侵害の指標は、内部およびオープンソースのインテリジェンスに基づくBlack Bastaランサムウェアグループと一致しています。
フォレンジック分析
あるインシデントにおいて、Rapid7は、脅威者がScreenConnectやNetSupportリモートアクセス型トロイの木馬(RAT)を含む追加のリモート監視および管理ツールを展開しようとしていることを確認しました。Rapid7 は、接続用のドメインを含む NetSupport RAT の設定データを保持する Client32.ini ファイルを取得しました。Rapid7は、NetSupport RATが以下のドメインとの通信を試みるのを確認しました:
侵害されたアセットへのアクセスに成功した後、Rapid7は、攻撃者がImpacketツールセットを使用して、7z.DLLという正規のダイナミックリンクライブラリ(DLL)に偽装したCobalt Strikeビーコンを、侵害されたアセットと同じネットワーク内の他のアセットに展開しようとしているのを確認しました。
7z.DLLの分析において、Rapid7は、このDLLが、ハードコードされたキーを使用してCobalt StrikeビーコンをXOR復号化し、ビーコンを実行することを目的とした関数を含むように変更されていることを確認しています。
脅威者は、正規のバイナリ7zG.exeを実行し、コマンドライン引数「b」、すなわち「C:◆UsersPublic7zG.exe b」を渡すことで、Cobalt Strikeビーコンを展開しようとします。そうすることで、正規のバイナリ 7zG.exe は 7z.DLL をサイドロードし、7z.DLL は埋め込まれた Cobalt Strike ビーコンを実行します。この手法はDLLのサイドローディングとして知られており、Rapid7が以前IDAT Loaderに関するブログ記事で取り上げた手法です。
実行に成功すると、Rapid7はビーコンが新しく作成されたプロセス、choice.exeを注入するのを観察しました。
緩和策
Rapid7 は、インストールされているすべてのリモート監視および管理ソリューションの環境をベースライン化し、AppLocker や Microsoft Defender Application Control などのアプリケーション許可リストソリューションを利用して、環境内で実行されるすべての未承認の RMM ソリューションをブロックすることを推奨します。例えば、Quick Assistツールのquickassist.exeは、AppLockerを介して実行をブロックすることができます。 さらなる予防措置として、Rapid7はすべての未承認RMMソリューションに関連するドメインをブロックすることを推奨する。RMMソリューション、そのバイナリ名、関連ドメインのカタログを含む公開GitHubレポはここにあります。
Rapid7は、一般的なソーシャル・エンジニアリング攻撃を特定し防止するために、確立されたITチャネルとコミュニケーション方法をユーザーに認識させることを推奨する。また、ユーザーが社内のITスタッフを装った不審な電話やメールを報告できるようにすることを推奨します。
MITRE ATT&CK テクニック
戦術 |
テクニック |
手続き |
サービス拒否 |
T1498:ネットワークサービス拒否 |
脅威者はスパムで電子メール保護ソリューションを圧倒している。 |
初期アクセス |
T1566.004:フィッシング:スピアフィッシング |
脅威者は、影響を受けるユーザーに電話をかけ、組織のITチームのメンバーになりすましてリモート・アクセスを試みる。 |
実行 |
T1059.003:コマンドとスクリプトのインタープリタ:Windowsコマンドシェル |
脅威者は、ユーザーの資産へのリモートアクセスを確立した後、バッチスクリプトを実行します。 |
実行 |
T1059.001: コマンドとスクリプトのインタープリター:PowerShell |
攻撃者が使用するバッチスクリプトは、PowerShellを介して特定のコマンドを実行します。 |
永続性 |
T1547.001:ブートまたはログオン時の自動起動の実行:レジストリの実行キー/スタートアップフォルダ |
脅威者は、PowerShell経由でバッチスクリプトを実行するための実行キーを作成し、SSH経由でリバーストンネルの確立を試みる。 |
防御回避 |
T1222.001: ファイルとディレクトリのアクセス許可の変更:Windows ファイルとディレクトリのアクセス許可の変更 |
脅威者は、バッチスクリプトを介してcacls.exeを使用し、ファイルパーミッションを変更する。 |
防御回避 |
T1140:ファイルまたは情報の難読化解除/デコード |
脅威者は、パスワード "qaz123 "で複数のzipアーカイブのペイロードを暗号化した。 |
クレデンシャル・アクセス |
T1056.001: 入力キャプチャ:キーロギング |
脅威者は、コマンドライン入力によってユーザーのパスワードを記録するバッチスクリプトを実行する。 |
ディスカバリー |
T1033:システム所有者/ユーザーの発見 |
脅威者はwhoami.exeを使って、影響を受けたユーザーが管理者かどうかを評価する。 |
横の動き |
T1570:ラテラルツールトランスファー |
Impacketは、侵害されたシステム間でペイロードを移動させるために使用された。 |
指揮統制 |
T1572:プロトコル トンネリング |
SSHリバーストンネルは、攻撃者に持続的なリモートアクセスを提供するために使用される。 |
Rapid7のお客様
InsightIDR および Managed Detection and Response をご利用のお客様は、Rapid7 の広範な検出ルールライブラリにより、既存の検出カバレッジを利用できます。Rapid7は、疑わしいプロセスを可視化し、適切な検出範囲を確保するために、該当するすべてのホストにInsight Agentをインストールすることを推奨します。以下は、このマルウェアキャンペーンに関連する動作について警告を発する、導入されている検出の非網羅的なリストです:
検出 |
攻撃者のテクニック - Windows用SSHの名前を変更 |
永続性 - Reg.exeによって追加された実行キー |
疑わしいプロセス - 未承認申請 |
Suspicious Process - 7zip Executed From Users Directory(※InsightIDR製品のみをご利用のお客様は、InsightIDRの検出ライブラリ内でこの検出を有効にするかどうかを評価し、決定してください。) |
攻撃者のテクニック - ネットコマンドでドメインや企業の管理者を列挙する |
ネットワークの検出 - Net.exe経由のドメインコントローラ |
妥協の指標
ネットワークベース指標(NBIs)
ドメイン/IPv4アドレス |
備考 |
upd7[.]com |
バッチスクリプトとリモートアクセスツールのホスト。 |
upd7a[.]com |
バッチスクリプトとリモートアクセスツールのホスト。 |
195.123.233[.]55 |
バッチスクリプトに含まれるC2サーバー。 |
38.180.142[.]249 |
バッチスクリプトに含まれるC2サーバー。 |
5.161.245[.]155 |
バッチスクリプトに含まれるC2サーバー。 |
20.115.96[.]90 |
バッチスクリプトに含まれるC2サーバー。 |
91.90.195[.]52 |
バッチスクリプトに含まれるC2サーバー。 |
195.123.233[.]42 |
バッチスクリプトに含まれるC2サーバー。 |
15.235.218[.]150 |
攻撃者が使用する AnyDesk サーバ。 |
greekpool[.]com |
プライマリ NetSupport RAT ゲートウェイ。 |
rewilivak13[.]com |
セカンダリ NetSupport RAT ゲートウェイ。 |
77.246.101[.]135 |
AnyDesk 経由での接続に使用される C2 アドレス。 |
limitedtoday[.]com |
コバルト・ストライクC2ドメイン。 |
thetrailbig[.]net |
コバルト・ストライクC2ドメイン。 |
ホスト・ベース指標(HBI)
ファイル |
SHA256 |
備考 |
s.zip |
C18E7709866F8B1A271A54407973152BE1036AD3B57423101D7C3DA98664D108 |
攻撃者が使用する SSH 設定ファイルを含むペイロード。 |
id_rsa |
59F1C5FE47C1733B84360A72E419A07315FBAE895DD23C1E32F1392E67313859 |
影響を受ける資産にダウンロードされるRSA秘密鍵。 |
id_rsa_client |
2EC12F4EE375087C921BE72F3BD87E6E12A2394E8E747998676754C9E3E9798E |
影響を受ける資産にダウンロードされるRSA秘密鍵。 |
authorized_keys |
35456F84BC88854F16E316290104D71A1F350E84B479EEBD6FBB2F77D36BCA8A |
攻撃者によって影響を受ける資産へのダウンロードが許可された鍵。 |
RuntimeBroker.exe |
6F31CF7A11189C683D8455180B4EE6A60781D2E3F3AADF3ECC86F578D480CFA9 |
正規の OpenSSH for Windows ユーティリティのコピーをリネームしたもの。 |
a.zip |
A47718693DC12F061692212A354AFBA8CA61590D8C25511C50CFECF73534C750 |
バッチスクリプトと正規の ScreenConnect セットアップ実行ファイルを含むペイロード。 |
a3.zip |
76F959205D0A0C40F3200E174DB6BB030A1FDE39B0A190B6188D9C10A0CA07C8 |
クレデンシャル・ハーベスティング・バッチ・スクリプトが含まれています。 |
※本ブログは英語版ブログ "Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。