「Tropic Trooper(別名:Pirate Panda, KeyBoy)」は、トレンドマイクロの調査では、2011年からの長期的な活動を確認しているサイバー諜報活動グループです。特に2020年7月に同グループのものと考えられる興味深い活動を確認して以来、注意深く監視を続けています。トレンドマイクロではこの新たな活動を強調するため「Earth Centaur」と命名しました。本記事でも以降、Earth Centaurグループと呼称します。
続きを読む■ はじめに
本ブログでは2021年11月8日の記事で、脆弱性攻撃ツール「Purple Fox」により構築されたボットネットの仕組みについて概説したほか、初期アクセス時に用いられた手法や関連性の高いバックドア型マルウェアについても一部検証しました。
今回の追跡調査では、Trend Micro Managed XDR(XDR)を介して観測されたPurple Foxの感染チェーンの後期段階、特に、悪意のあるSQL CLRアセンブリを注入(インジェクション)してSQLデータベースに感染したのち、不正活動の持続化やステルス性の高い活動を可能にする手法に焦点を当てました。今回の攻撃で使用されるファイルの多くは、感染システムのディスク上に保存されない点に注意が必要です。これらの不正ファイルは、遠隔操作サーバ(C&Cサーバ)から引き出されるか、暗号化された後、メモリから実行されたのち別のプロセスによって読み込まれます。
続きを読むウクライナへのロシアによる活動に対して欧米諸国が制裁を科すなど、同地域での緊張が高まっています。物理的な緊張の高まりに呼応する形で、ウクライナに対するサイバー空間での緊張も高まっています。Gamaredon(ガマレドン 別名:ARMAGEDON)のような従来の偵察活動とみられる活動に加え、2022年1月13~14日にかけて実施されたウクライナ国家機関等へのWebサイト改ざんおよびシステム破壊を伴うサイバー攻撃、および2022年2月15日と23日に発生したウクライナ政府機関や銀行へのDDoS攻撃のように、ウクライナのインフラの妨害や、サイバー攻撃自体の誇示を目的としたような活動が短期間にウクライナのCERT(CERT-UA)より報告されています(図1)。これほど短期間に、特定の地域で重大なセキュリティインシデントが立て続くということは、社会情勢との関連性がないと見る方が不自然です。
図1:2022年1月以降に報告されているウクライナでの主なセキュリティインシデント(CERT-UA等の公表内容を整理)
続きを読むトレンドマイクロは、最近発見された新種のランサムウェアファミリ「Yanluowang」の検体を分析しました。これらの検体が持つ興味深い側面の1つは、窃取された / 不正に署名された有効なデジタル署名を使用してファイルにコード署名が施されていることです。さらにこれらの検体は、データベースやバックアップの管理に関連する「Veeam」や「SQL」を含む様々なプロセスを強制的に終了させます。
当該記事公開の数週間前に発見されたとみられるYanluowangランサムウェア(中国の神「Yanluo Wang」から命名される)は、その後キャンペーンに関連付けられているほか、このランサムウェアのオペレータが少なくとも2021年8月から米国企業に対して標的型攻撃を仕掛けていると言及されています。
続きを読むトレンドマイクロでは、最近、中東地域のスパム攻撃キャンペーンにおいて、2つのエクスプロイトを使用したローダ型マルウェア「Squirrelwaffle」の存在を確認しました。そしてトレンドマイクロのインシデントレスポンスおよびXDRチームの監視と分析により、ペイロードの1つとして、2007年からサイバー犯罪者による使用が確認されている情報窃取型バンキングマルウェア「QAKBOT」の存在が明らかになりました。
調査を続けるなかで、ファイルレスの手法を備えたQAKBOTがステージャーとして感染端末上での永続性を保持することが確認されました。さらに、QAKBOTがペイロードの一つとしてレジストリ上でファイルレスにステージングする一方で、他の複数のマルウェアをステージングすることも可能なことから、今後、より多くの攻撃キャンペーンに悪用されることが懸念されます。
続きを読む2021年初旬、共通脆弱性識別子「CVE-2021-41773」が割り当てられたセキュリティ上の弱点が「Apache HTTP Server Project」に公開されました。これは、Apache HTTP Serverのバージョン2.4.49に内在するパストラバーサルおよびリモートでコードが実行される(RCE)脆弱性です。この脆弱性が悪用されると、攻撃者はエイリアスのようなディレクティブにより構成されたディレクトリ外のファイルにURLを関連付けることが可能になります。また、エイリアスされたパスに対してCGI(Common Gateway Interface)スクリプトが有効になっている特定の設定下では、攻撃者がこの脆弱性をリモートコード実行に悪用する可能性もあります。最初にリリースされた修正(2.4.50)では不十分と判明した後、この修正に対するバイパスが報告されたことから、「CVE-2021-42013」として追跡調査が行われました。
その後、公式に修正されたバージョン(2.4.51)が、Apache HTTP Server Projectによってリリースされました。ただしトレンドマイクロでこの脆弱性を悪用する検体を分析したところ、攻撃者が暗号資産(旧仮想通貨)「Monero(XMR)」の不正マイニングを実施するために、脆弱な製品やパッケージに内在するさまざまな弱点を狙って、これらの脆弱性を突くエクスプロイト(脆弱性攻撃ツール)の多くを悪用していることを確認しました。本ブログ記事では、暗号資産採掘ツール(コインマイナー)やスクリプトをホストするためにGitHubおよびNetlifyのリポジトリやプラットフォームが悪用された手口について解説します。トレンドマイクロは今回確認した不正活動についてすでにGitHubおよびNetlifyに報告しており、問題のアカウントには停止措置が取られています。
続きを読む2021年9月、Squirrelwaffleは、スパムキャンペーンを通じて拡散される新種のローダとして登場しました。このキャンペーンは、悪意のある電子メールを既存のメールチェーンに返信する形で送信していたことで知られています。これは、不正活動に対するメール受信者の警戒心を弱めるための戦術です。これを可能にするために攻撃者は、Microsoft Exchange Serverの脆弱性である「ProxyLogon」と「ProxyShell」の双方に対する脆弱性攻撃ツール(エクスプロイト)を連鎖的に悪用していたとトレンドマイクロは推測しています。
トレンドマイクロのインシデント・レスポンスチームは、中東で発生したSquirrelwaffleに関連するいくつかの侵入事例を調査しました。トレンドマイクロは、これらの攻撃手口に上記のエクスプロイトが関与しているかどうかを確認するため、初期アクセス時の手口について掘り下げて調査しました。
今回の推測は、トレンドマイクロが観測したすべての侵入事例が「ProxyLogon」と「ProxyShell」に対して脆弱とみられるオンプレミスのMicrosoft Exchange Serverから発生していたという事実に起因しています。本ブログ記事では、これらの観測された初期アクセス時の手口と、Squirrelwaffleキャンペーンの初期段階について詳説します。
続きを読む