調査の結果、攻撃者は非常に高度な戦術、技術、手順(TTPs)を採用、クラウドインフラも利用していたことが明らかになりました。過去に当社が調査した攻撃活動と酷似しており、サイバー攻撃グループ「APT31」の関与が高いとみています。
本リリースは、2023年7月27日、7月31日、8月10日にKasperskyが発表したプレスリリースに基づき作成したものです]
KasperskyのICS CERT※はこのたび、2022年に発生した、東欧の複数の製造系企業を標的としたサイバー攻撃に関する調査をレポートにまとめました。調査の結果、攻撃者は非常に高度な戦術、技術、手順(TTPs)を採用、クラウドインフラも利用していたことが明らかになりました。攻撃の第1ステージでは、リモートアクセスと初期データ収集のためのマルウェアインプラントが使われ、第2ステージでは、ネットワークから隔離されたエアギャップ環境のシステムからデータを抽出するための高度なマルウェアが使用されていました。最終ステージでは、抽出したファイルをDropboxにアップロードしています。この攻撃では、東欧の複数の製造系の企業、産業用制御システム(ICS)のエンジニアリング企業などが攻撃の対象として影響を受けており、高度なサイバーセキュリティの備えが急務となっています。
Kaspersky ICS CERTのリサーチャーは、調査の過程でデータ抽出用の永続的なチャネルを確立することを目的とした一連の標的型攻撃を発見しました。これらの攻撃活動は、過去に当社が調査した攻撃活動「ExCone」と「DexCone」と酷似しており、サイバー攻撃グループ「APT31(別名: Judgment Panda、Zirconium)」の関与が高いとみています。
この調査では、リモートアクセス用として設計された高度なマルウェアインプラントの使用と、セキュリティ対策を回避するために攻撃者が持つ幅広い知識と専門性が明らかになりました。これらのインプラントは、高度なセキュリティで保護されたシステムも含む、データ抽出のための永続的なリモートアクセス用チャネルの確立を可能にしていました。
注目すべきは、攻撃者は三つの攻撃ステージで複数のインプラントを実行する際に、DLL(ダイナミックリンクライブラリ)ハイジャックの手法を広範に使用して検知の回避を試みていたことです。DLLハイジャックは、脆弱(ぜいじゃく)性を持つサードパーティの正規の実行可能ファイルを悪用し、不正なDLLをメモリに読み込ませて感染を試みるものです。
データの抽出と後続のマルウェアの配布には、DropboxやYandex Diskなどのクラウドベースのデータストレージサービスや一時的なファイル共有プラットフォームが使用されていました。また、指令サーバー(C2)をYandex Cloudおよび一般的な仮想プライベートサーバー(VPS)上に展開し、侵害したネットワークの制御を維持していました。これらの調査結果は、攻撃者がデータ抽出においても複雑な技術を有していることを示しています。
第1ステージ:リモートアクセスと初期データ収集
攻撃の第1ステージでは、マルウェアファミリー「FourteenHi」の新しい亜種が使用されていました。このバックドアは、2021年3月にある政府機関を標的とした攻撃活動「ExCone」の調査で発見されました。また、調査の過程で新しいマルウェアインプラントを発見し「MeatBall」と名付けました。このインプラントはバックドアで、感染先デバイスの実行中プロセス、接続されているデバイスやディスクのリスト作成、ファイル操作の実行、スクリーンショットの撮影、リモートシェルの使用、自己更新など、広範なリモートアクセス機能を備えています。
第2ステージ:エアギャップ環境を含む標的デバイスからデータとファイルを抽出
攻撃の第2ステージで使用された2種類のマルウェアインプラントも特定しました。一つ目のインプラントは、高度なモジュール型マルウェアで、少なくとも三つのモジュールで構成されています。各モジュールはリムーバブルドライブの情報収集と処理、スクリーンショットの撮影、新たに接続されたドライブへの第2ステージのマルウェアの埋め込みなどを実行します。今回調査した東欧の製造系企業においては、隔離されたエアギャップネットワーク上のシステムからもデータを収集しています。二つ目のインプラントは、ローカルコンピューターからデータを抽出し、第3ステージのインプラントを利用して、データをDropboxにアップロードするためのものでした。
第3ステージ:抽出したファイルをDropboxにアップロードするマルウェアチェーン
このステージでは、Dropboxにファイルをアップロードする一連のマルウェアインプラントを特定しました。これらのインプラントは、第2ステージのファイルを収集するインプラントと連携して動作します。まず、第1段階のインプラントは、永続性を確立し、第2段階のマルウェアモジュールの展開と起動を行います。第2段階のマルウェアモジュールは、第3段階のモジュールを呼び出し、収集したファイルをリモートサーバーにアップロードします。このアーキテクチャでは、攻撃者は実行チェーン内の個々のモジュールを置き換えることで実行フローを変更することができます。場合によっては、被害者のネットワーク内に窃取したデータ用の中間/プロキシストレージを設定し、インターネットから隔離されたネットワークセグメントからのデータ抽出に使用していました。
攻撃者はこのマルウェアチェーンを展開し、Outlookメールボックスフォルダーへアクセスしてリモートコマンドを実行し、ローカルまたはリモートマシン上の圧縮形式.rarファイルをDropboxへアップロードしていました。
Kaspersky ICS CERTのシニアセキュリティリサーチャー キリル・クルグロフ(Kirill Kruglov)は次のように述べています。「攻撃者は暗号化したペイロード、メモリインジェクション、DLLハイジャックによって、攻撃を検知されないための対策を入念に講じており、これは攻撃者の高度な戦術を示しています。隔離されたネットワークからデータを窃取する手口は、多くのAPT(持続的標的型)攻撃などで見られますが、今回の攻撃の設計と実装は、ほかのケースとは一線を画しています。この高度なインプラントの仕組みの調査を継続し、サイバーセキュリティのコミュニティと協力しながら高度なサイバー攻撃に対抗し、防御を強化するための重要なインテリジェンスを提供していきます」
■ 一連の調査結果の詳細は、ICS CERTのレポート(英語)「Common TTPs of attacks against industrial organizations. Implants for remote access」でご覧いただけます。
OT(オペレーショナルテクノロジー)システムのコンピューターをさまざまな脅威から保護するために、次のことを推奨します。
・OTシステムの定期的なセキュリティ評価を実施し、起こり得るサイバーセキュリティの問題を特定して解消する
・効果的な脆弱性管理プロセスの基盤として、継続的な脆弱性評価とトリアージシステムを確立する。Kaspersky Industrial
CyberSecurityなどの専用ソリューションは、完全には一般公開されていないサイバー脅威の情報源として対策につなげることが可能
・OTネットワークの主要なコンポーネントをタイムリーに更新する。重大なインシデントにより生産プロセスが中断し巨額のコストが発生するような事態を防止するには、技術的に可能になった時点ですぐにセキュリティ修正とパッチを適用する、または補正対策を実装することが極めて重要
・Kaspersky Endpoint
Detection and ResponseなどのEDRソリューションを使用して、高度な脅威をタイムリーに検知し、インシデントを調査し、効果的に修復する
・インシデントを防止し、検知し、対応するためのチームのスキルを構築および強化することで、新たな高度な悪意のある手法への対応力を向上させる。ITセキュリティチームやOT担当者に特化したOTセキュリティトレーニングは役立つ方法の一つです
※ Kaspersky ICS CERT:(Kaspersky Industrial Systems Emergency Response Team、産業制御システム緊急対応チーム)は、最新の脅威に関するインテリジェンスから、セキュリティインシデントとその軽減方法、インシデント対応と調査のコンサルティングおよびサービスに至るまで、幅広い情報サービスを提供するKasperskyの特別プロジェクトです。 Kaspersky ICS CERTは、脅威と脆弱性(ぜいじゃくせい)に関する最新のインテリジェンスに加えて、コンプライアンスについての専門知識も共有しています。非営利目的のプロジェクトであり、当メンバーとの情報や専門知識の共有を無償で行っています。Kaspersky ICS CERTは、カーネギーメロン大学の認定CERTです。詳しくはhttps://ics-cert.kaspersky.com/をご覧ください。