米国司法省は、2020年9月16日、米国内外100以上の機関を標的にしたサイバー攻撃で中国籍の容疑者5人を起訴したと発表しました。このサイバー攻撃キャンペーンは、世界的規模で展開され、ビデオゲーム会社、通信関連企業、大学、非営利団体など、さまざまな対象が狙われました。起訴された5名は、サイバー攻撃者グループ「APT41」に関係していると報告されています。本稿執筆時点、彼らはまだ逃亡中ですが、既にマレーシア国籍の2名が関与したとして逮捕されています。
APT41は2012年頃から存在しているとされるサイバー攻撃者グループです。今回米国司法省は、関連起訴状3件を示し、クリプトジャッキングやランサムウェア攻撃など、APT41の犯行とされる広範囲の不正活動を報告しています。活動のほとんどは金銭目的のようですが、一部には諜報目的の活動も報告されています。APT41に関しては、今回起訴を行った米司法省をはじめ様々な団体が中国との関連を指摘しています。
米国司法当局によると、このサイバー攻撃者グループの侵入により、ソースコード、顧客アカウントデータ、個人情報(PII)などが窃取されたといいます。その他に注目すべき活動としては、ゲーム会社に侵入しオンラインゲーム中のリソース(仮想通貨等)を不正に操作することにより利益を得る活動、世界的な貧困問題の撲滅に取り組む非営利団体のネットワークへのランサムウェア攻撃なども挙げられます。
当局の公式報告書によると、サイバー攻撃者は、一般公開されたエクスプロイトやツールを悪用していました。また、標的のネットワークへの侵入とアクセス維持のため、高度なハッキング技術を駆使していたといいます。さらに同報告書では、「サプライチェーン攻撃」の手法が利用されたことも記されていました。この場合、サイバー攻撃者は、ソフトウェア企業のセキュリティに侵入した上で、同社が顧客に提供するプログラムのコードを改変していました。この手法により、多くの顧客が危険にさらされ、さらなる被害拡大が可能となります。
APT41の活動が確認されたのは今回が初めてではありません。トレンドマイクロは2020年5月にも、APT41が関与したとされる、台湾の企業複数へのランサムウェア攻撃を確認しました。この攻撃では、トレンドマイクロが「ColdLock」(「COLDLOCK」ファミリとして検出対応)と名付けた新たなランサムウェアファミリーも確認され、データベースやメールサーバを狙って暗号化を施すなど、深刻な被害につながる危険性が指摘されました。
■台湾で確認された事例の攻撃フロー
トレンドマイクロでは、台湾のエネルギー業界の企業を狙ったランサムウェア「ColdLock」の攻撃を調査しました。攻撃フローの概要は図1のとおりですが、どのようにして標的ネットワークへの侵入方法については現在のところ分かっていません。この調査では、攻撃者がどのようにランサムウェアを拡散させ、できるだけ多くの端末に感染させたかの手法に焦点を当てています。
- 攻撃者が対象のネットワーク環境に侵入し、本社のドメインコントローラからアカウントのユーザ名やパスワードを取得する
- ドメインコントローラにログイン後、すべてのドメインユーザがタスクスケジュールによりランサムウェアをダウンロードし実行するようにグループポリシオブジェクト(GPO)を変更する
- 作成されたGPOがドメインツリー全体に配信されることにより、子会社のドメインコントローラやすべてのエンドポイントにてランサムウェアが実行される
図1:攻撃者は、ドメインコントローラのタスクスケジュールを
使用して、顧客環境にランサムウェアを展開する
この攻撃では、タスクスケジューラが重要な役割を果たしていました。攻撃者は、スケジュールタスクのコマンド(schtasks)を使用して、標的の環境下で感染を拡散させます。図2のスクリーンショットは、攻撃者がSMBおよび内部のIIS Web Serviceを使用して「lc.tmp」(この攻撃事例でメインとなるランサムウェアローダ)を他の標的のホスト端末にコピーする様子を示しています。そしてこの後、PowerShellコマンドにより、このメインのランサムウェアローダが実行されます。
図2:スケジュールタスクにより標的の環境へマルウェアが展開される
■潜伏期間中に駆使されるツール
さらにこの攻撃では、ランサムウェアによる攻撃が開始される前から、攻撃者が一定期間すでに標的の環境に潜伏していた可能性があります。トレンドマイクロでは、調査したすべての感染端末で、Windowsサービスとしてインストールされたカスタマイズされたローダを確認しています。感染端末はいずれも、ネットワーク上の他の端末にも到達できる状態にありました。
そして同一サブネットは、次の段階の不正活動に必要なペイロードを復号します。ペイロードは、自身の内部に埋め込まれているか、別のファイルとしてディスクに保存されていました。今回の攻撃事例で使用されたペイロードは、「CobaltStrike」(「COBALT」ファミリとして検出対応)でした。こうしてローダおよびペイロードの双方がインストールされた後、攻撃者は、パスワードダンパーやHTTPトンネリングツールなどの各種ツールを駆使して、標的の環境を探索します。そして1か月の潜伏期間後、ランサムウェア攻撃が実行されました。
■複数の攻撃活動を確認
今回の調査では、上述の攻撃に関連する他の攻撃事例も確認されました。これらは、攻撃の指標やコマンド&コントロール(C&C)サーバのインフラやその他のIoCなどの重複から関連性が把握されました。これらのIoCに関する地域的な分布に基づくと、攻撃者は、主に東南アジア地域のエネルギー、小売、通信といった業界に関心があるようです。攻撃者は主に諜報活動に注力し、長期間標的の環境下に潜伏しながら目的の情報を収集していました。また、使用しているバックドアやツールキットのセットなどの更新も行っていたようです。
■攻撃インフラの地理的情報
APT41は様々な団体から中国との関連が指摘されています。今回のトレンドマイクロの調査でも、確認されたC&Cサーバは、64個のIPのみで運営される小規模なホスティングサービスにてホストされており、それらのIPは中国の内モンゴル自治区のものでした。なおC&Cサーバは、攻撃発生からC&Cとしての機能を停止し、現在は簡体字中国語のサイトがホストされているだけとなっています。
■トレンドマイクロの対策
巧妙な手口に長けたサイバー犯罪者グループは、多様なツールを駆使し、より持続可能な脅威を展開します。ユーザは、これらのグループからの脅威を阻止するため、より強固でプロアクティブな防御策を導入する必要があります。トレンドマイクロでは、以下のソリューションを推奨しています。
- Trend Micro XDR™:AI および専門家によるセキュリティ分析により、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワークでの的確かつ早期の脅威検出を実現します。
- Trend Micro Apex One:多様化し続ける脅威と標的型攻撃に対応し、メール、サーバ、クラウドワークロード、ネットワークなどの他のセキュリティに拡張するオプションを導入することで、相関性のある検出結果と洞察に富んだ調査を実現します。
- Deep Discovery™ Inspector:組織内ネットワークの通信監視により、侵入した脅威による不審な活動を早期に可視化することにより、迅速かつ適切な対応を可能にします。
- Trend Micro Cloud One™ Workload Security(現製品名:Trend Micro Deep Security ™ as a Service):ホスト型IPS機能や変更監視機能により、アクティブディレクトリサーバなどネットワーク内外の重要サーバを保護します。
- Deep Discovery™ Email Inspector:カスタムサンドボックス機能やその他の機能により、高度な分析手法を使用してメールの不正な添付ファイルを検出してブロックします。
■侵入の痕跡(Indicators of Compromise 、IoCs)
侵入の痕跡(Indicators of Compromise、IoCs)はこちら(英語)を参照してください。
参考記事:
翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)