標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者(以下簡略化のためAPT33とします)について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand&Control(C&C)サーバを攻撃に利用していることを確認しました。これはC&Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。
トレンドマイクロでは、APT33は利用するボットネットをそれぞれ12台ほどの感染コンピュータの小グループで構成しているものと考えています。そして、これらのボットネットは標的組織のネットワーク内で活動を持続化させます。利用するマルウェアは、追加のマルウェアをダウンロードして実行する、ごく基本的なダウンローダです。2019年には、米国の国家安全保障関連サービスを提供する民間企業、大学あるいは米軍関係者を対象とした感染が確認された一方、中東とアジアにおいても検出が確認されています。
APT33はここ数年間で攻撃をより活発化させているようです。たとえば、少なくとも過去2年以上に及んで、ヨーロッパの高位の政治家で、防衛委員会のメンバーでもある個人のWebサイトを利用し、石油製品サプライチェーンの一部を担う企業宛に標的型メール(スピアフィッシングメール)を送信していました。攻撃対象には、軍事基地の1つに飲料水を供給するために米軍が使用する給水施設が含まれていました。
これらの攻撃は、石油産業に明らかな感染被害をもたらしました。たとえば2018年の秋には、英国を拠点とする石油会社が英国およびインドに保有するコンピューターサーバと、APT33 のC&Cサーバ間の通信が観察されました。また、別のヨーロッパの石油会社がインドに保有するサーバの1つが、2018年11月と12月の間に3週間以上にわたって、APT33関連のマルウェアによる攻撃を受けました。他にも2018年秋に、他の石油サプライチェーンの企業がいくつか侵害されています。APT33は破壊的なマルウェアを使用することでも知られており、石油産業関連企業にとっての大きな危険を示唆しています。
日付 | 送信元 | 件名 |
2016/12/31 | recruitment@alsalam.aero | Job Opportunity |
2017/4/17 | recruitment@alsalam.aero | Vacancy Announcement |
2017/7/17 | careers@ngaaksa.com | Job Openning |
2017/9/11 | jobs@ngaaksa.ga | Job Opportunity |
2017/11/20 | jobs@dyn-intl.ga | Job Openning |
2017/11/28 | jobs@dyn-intl.ga | Job Openning |
2018/3/5 | jobs@mail.dyn-corp.ga | Job Openning |
2018/7/2 | careers@sipchem.ga | Job Opportunity SIPCHEM |
2018/7/30 | jobs@sipchem.ga | Job Openning |
2018/8/14 | jobs@sipchem.ga | Job Openning |
2018/8/26 | careers@aramcojobs.ga | Latest Vacancy |
2018/8/28 | careers@aramcojobs.ga | Latest Vacancy |
2018/9/25 | careers@aramcojobs.ga | AramCo Jobs |
2018/10/22 | jobs@samref.ga | Job Openning at SAMREF |
標的型メールはすべて攻撃者が乗っ取った Webサイトから送信されており、送信元のアドレスとしてはすべて実在の航空会社、石油会社、ガス会社を偽装したものが使用されていました。
石油製品サプライチェーンを対象とする標的型攻撃の他にも、トレンドマイクロは、それぞれ12台ほどのボットで構成される小さなボットネットに、複数のC&Cのドメインが使用されていることを確認しました。C&Cのドメインは通常、クラウドホスト型のプロキシでホストされています。これらのプロキシは、感染してボット化したコンピュータからのURLリクエストをバックエンドに中継します。バックエンドは、他に多くの正規のドメインもホストしている共有Webサーバ上にあります。バックエンドからは、ボットのデータが、専用のIPアドレスにある「データアグリゲータ(データを集約する場所)」と「ボット制御サーバ」に報告されます。攻撃者は、頻繁に変更される出口ノードを持つ「仮想プライベートネットワーク(Virtual private Network、VPN)」を介してこれらのデータアグリゲータに接続します。次に、ボットにコマンドを送信し、これらのVPN接続を使用してボットからデータを収集します。このC&Cに関する多層レイヤ構造は追跡困難化のための特別な仕組みと言えます。
図1:追跡困難化のためのC&C多層レイヤ構造の概要図
2019年の秋、トレンドマイクロは、稼働中の10台のデータアグリゲータおよびボット制御サーバを確認し、それらの数台を数カ月にわたって追跡しました。これらのデータアグリゲータは、1つか2つのC&Cサーバからデータを取得し、しかも一つのC&Cドメインにつき最大でも12の攻撃対象のみをカバーしています。
サイバー犯罪者は、自身のC&Cサーバを運営し偵察活動を行うために、商用のVPNサービスを使用することによって身元を隠蔽することがよくあります。しかし、そのような商用のVPNサービスの他に、自身で設定する、私有のVPNも定期的に確認されています。
私有VPNは、世界中にあるデータセンターからいくつかサーバをレンタルし、「OpenVPN」などのオープンソースのVPNソフトウェアを使用することで、簡単にセットアップできます。私有VPNからの接続は、特に関連性のない世界中のIPアドレスからの接続に見えますが、この種のトラフィックは実際には追跡が可能です。ある出口ノードが特定の何者かによって使用されていることがわかれば、その出口ノードのIPアドレスから作成された接続の属性について高い確率で言い当てることが可能です。たとえば、私有VPNの出口ノードからC&Cサーバを管理する以外にも、攻撃者は標的組織のネットワークの偵察を行っている場合があります。
APT33は、おそらくVPNの出口ノードを排他的に使用していると見られます。トレンドマイクロは、APT33の私有VPNの出口ノードの一部を1年以上追跡し、関連する既知のIPアドレスを下の表2に一覧にまとめました。IPアドレスは、観測の期間よりも長時間使用されていた可能性があります。
IP アドレス | 初回の観測 | 最後の観測 |
5.135.120.57 | 2018/12/4 | 2019/1/24 |
5.135.199.25 | 2019/3/3 | 2019/3/3 |
31.7.62.48 | 2018/9/26 | 2018/9/29 |
51.77.11.46 | 2019/7/1 | 2019/7/2 |
54.36.73.108 | 2019/7/22 | 2019/10/05 |
54.37.48.172 | 2019/10/22 | 2019/11/05 |
54.38.124.150 | 2018/10/28 | 2018/11/17 |
88.150.221.107 | 2019/9/26 | 2019/11/07 |
91.134.203.59 | 2018/9/26 | 2018/12/4 |
109.169.89.103 | 2018/12/2 | 2018/12/14 |
109.200.24.114 | 2018/11/19 | 2018/12/25 |
137.74.80.220 | 2018/9/29 | 2018/10/23 |
137.74.157.84 | 2018/12/18 | 2019/10/21 |
185.122.56.232 | 2018/9/29 | 2018/11/4 |
185.125.204.57 | 2018/10/25 | 2019/1/14 |
185.175.138.173 | 2019/1/19 | 2019/1/22 |
188.165.119.138 | 2018/10/8 | 2018/11/19 |
193.70.71.112 | 2019/3/7 | 2019/3/17 |
195.154.41.72 | 2019/1/13 | 2019/1/20 |
213.32.113.159 | 2019/6/30 | 2019/9/16 |
216.244.93.137 | 2018/12/10 | 2018/12/21 |
これらのプライベートVPNの出口ノードは、石油産業のサプライチェーンに関連するネットワークの偵察にも使用されているようです。例えば、表3のIPアドレスの一部が、中東の石油探査会社と軍の病院、および米国の石油会社のネットワークで偵察を行っているのを確認しています。
図2:私有VPNを使用したアクセスの概念図
APT33は、私有VPNを利用し、ペネトレーションテスト会社のWebサイト、ウェブメール、脆弱性関連Webサイト、暗号通貨関連Webサイトにアクセスしたり、ハッカーのブログや掲示板を閲覧したりしていました。 APT33は、石油およびガス産業の従業員募集用のWebサイトに特に関心を持っています。石油およびガス産業関連企業は、セキュリティログファイルを表3のIPアドレスと見比べて対応することをお勧めします。
■被害にあわないためには
石油、ガス、水、電力関連の施設は、近代化に伴い安全の確保がより困難になっています。徹底した攻撃、容易に利用できる脆弱性の存在、また、監視制御システム(Supervisory Control And Data Acquisition、SCADA)やヒューマン・マシン・インターフェイス(HMI)のようなインフラストラクチャの露出は重大な問題となっています。以下は、組織が適用できるベストプラクティスです。
- すべてのシステムに対して定期的なパッチの適用および更新ポリシーを導入する。攻撃者にこれらのセキュリティ上の欠陥を悪用されることを防ぐために、できるだけ早くパッチをダウンロードして適用する
- IT管理者は、受信および送信トラフィックの監視を容易にするために、最小権限の原則を適用する
- ゲートウェイからエンドポイントへの悪意のある侵入を検出してブロックできる多層保護システムをインストールする
- 攻撃者が使用する最新の攻撃手法に備えるために、従業員の認識を向上させる
複雑であるとともに多国籍システムであるケースが多いサプライチェーンの保護もまた困難です。通常は、必要なサードパーティのサプライヤが中核となる運用に組み込まれています。これらのサードパーティは、セキュリティにおいて見過ごされる可能性があり、サードパーティとの通信または接続上にみられる脆弱性は、攻撃者にとって狙われやすい場所といえます。サプライチェーン攻撃に関する調査とセキュリティに関する推奨事項は、こちらをご覧ください。
■トレンドマイクロの対策
標的型攻撃の攻撃者は、標的型メールを利用して標的組織のネットワークに侵入します。彼らの攻撃活動は継続的であり、深刻な脅威となっています。トレンドマイクロの法人向けエンドポイントセキュリティ製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery™ Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。
「Trend Micro Hosted Email Security™」は、メンテナンス不要のクラウドソリューションであるため、継続的に更新される保護機能が、スパム、マルウェア、標的型メール、ランサムウェアなど、より高度な標的型攻撃がネットワークに到達する前に阻止します。Microsoft Exchange、Microsoft Office 365、Google Apps などの SaaS およびオンプレミスのメール環境を保護します。
ネットワークの侵害に対しては、侵入の兆候を早期に可視化することが重要です。ネットワーク型対策製品「Deep Discovery™ Inspector(DDI)」では、ネットワーク内に侵入した標的型攻撃などの脅威による活動の兆候を可視化することができます。また総合サーバセキュリティ製品「Trend Micro Deep Security™」では、仮想パッチや変更監視などの機能により、公開サーバおよび社内サーバの侵害リスクを低減させることができます。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡はこちらを参照してください。
【更新情報】
2019/11/26 18:45 | 本文の一部とIoCを更新しました。 |
参考記事:
- 「More than a Dozen Obfuscated APT33 Botnets Used for Extreme Narrow Targeting」
by Feike Hacquebord, Cedric Pernet, and Kenney Lu
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)