This post is also available in: English (英語)
「先週の新聞を読み返して価値のある情報を引き出す」というと直感に反するように思えるかもしれません。とはいえ、「過去を覚えていない者はそれを繰り返す運命にある」と言われるぐらいですから、一歩下がって直近のセキュリティ事件を振り返ってみるのも大事です。過去の失敗を繰り返すリスクは高いのです。そこで本稿では、Unit 42の脅威リサーチブログの2022年の人気記事を参考に、昨年の出来事から何が学べるかを検証してみたいと思います。
脅威アクターは高い収益を維持できるなら古い技術をいくらでも使い回します。そしてこれまで起こったインシデントから、みなが適切な修正プログラムや緩和策を適用しないかぎり、こうした技術は何年でも有効たりうることを私たちは学んできました。
すべての注目は東欧に
脅威に関する情報: 現在進行中のロシアとウクライナのサイバー紛争
2022年2月に始まった侵攻以前から東欧ではサイバーアクティビティが活発でした。2022年1月14日を皮切りにウクライナ政府のWebサイトを標的とした一連の攻撃が報道されるようになりました。攻撃を受けた多数の政府系Webサイトが改ざん被害やアクセス不能被害を受け、最終的にウクライナ政府はこれらの攻撃の首謀者としてロシアを公式に非難しています。
DDoS、HermicWiper、Gamaredon、Webサイト改ざんなどロシア・ウクライナ関連のサイバー攻撃へ備えを
その後数週間にわたりロシア・ウクライナ間のサイバーアクティビティは激化しました。2月15日以降、DDoS (分散型DoS) 攻撃が相次いで発生しました。こうした攻撃は続き、ウクライナ政府と銀行機関の双方に影響を与えています。2月23日、「HermeticWiper」と名付けられたワイパー型マルウェアの新種がウクライナで発見されました。その直後には、ウクライナ政府機関を狙った新たなWebサイト改ざん攻撃も確認されています。
ウクライナを標的に活動を強めるロシアGamaredon (別名Primitive Bear) APTグループ
Gamaredon攻撃グループ(別名Trident Ursa、Primitive Bear)は、ウクライナを標的とするきわめて活発なAPT (持続的標的型攻撃)脅威の1つです。現在の地政学的状況に、同グループの特異な標的選定を考慮し、Unit 42は彼らのオペレーションの指標を積極的に監視し続けています。
2022年1月、Unit 42のリサーチャーは異なるフィッシングやマルウェアの目的に使用されている3つの大きなインフラのクラスターを発見しました。2月と6月に行われたその後の調査により、これらのクラスターは、700以上の悪意のあるドメイン、215のIPアドレス、100以上のマルウェアサンプルにリンクしていることがわかりました。Unit 42は引き続き同グループを監視し、必要に応じて最新情報を提供します。
ロシアのAPT29ハッカーがオンライン ストレージ サービスのDropBoxとGoogle Driveを悪用
サイバーセキュリティ業界はこれまで長くCloaked Ursaがロシア政府と提携関係にあると考えてきました。この提携関係は同グループの過去の標的選定と一致しており、古くは2008年のチェチェンそのほかの旧ソビエト圏の国々に対するマルウェア攻撃キャンペーンにまで遡ります。
2022年5月のCloaked Ursaによる攻撃キャンペーンは、近く予定されている大使との会談用のアジェンダをルアー(罠)として始まりました。これらの攻撃キャンペーンは、2022年5月から6月にかけて複数の欧米在外公館を標的として行われたと見られています。これらの攻撃キャンペーンと関係したルアーは、ポルトガル国内のある外国の大使館と、ブラジル国内の外国の大使館を標的としていたことを示唆しています。いずれの事例でもフィッシング文書には悪意のあるHTMLファイル「EnvyScout」へのリンクが含まれており、これがCobalt Strikeペイロードを含む追加の悪意のあるファイルを標的ネットワークにドロップする役割を果たしていました。
アクセスの多かった脆弱性関連の記事
cgroupsに影響するLinuxの新たな脆弱性CVE-2022-0492 コンテナエスケープの条件は
2022年2月、Linuxはカーネルにおける新たな特権昇格脆弱性のCVE-2022-0492を開示しました。CVE-2022-0492はコンテナの基本構成要素であるLinuxの機能、コントロールグループ(cgroup)における論理バグです。
この問題は最近発見されたLinuxの権限昇格脆弱性のなかでもとりわけその単純さできわだつもので、「Linuxカーネルが誤って特権的オペレーションを非特権ユーザーに公開してしまった」という内容になっています。さいわい、ほとんどのコンテナ環境のデフォルトのセキュリティハードニングはコンテナエスケープ防止には十分なものです。
CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも
2022年3月、エンタープライズ向けJavaアプリケーション構築のためのオープンソースフレームワークであるSpring Frameworkに2つの脆弱性が開示されました。これらの脆弱性には、CVE-2022-22963とCVE-2022-22965が割り当てられました。同ベンダーは、Spring Cloud Function 3.1.7と3.2.3、およびSpring Frameworkのバージョン5.3.18と5.2.20をそれぞれ公開し、プログラムを修正しています。
CVE-2022-22965はとくに注目を集めるものでした。これは攻撃者が未認証でリモートでコードを実行できる脆弱性(RCE)で、Unit 42でもこの脆弱性が野生で悪用されていた様子を確認していました。この脆弱性を悪用されると、侵害されたサーバーにWebシェルがインストールされ、さらにコマンドを実行される可能性があります。
脅威に関する情報: CVE-2022-30190 − MSDTのコード実行脆弱性
2022年5月、リモートテンプレートを利用する悪意のあるWord文書がms-msdt Office URIプロトコルによりPowerShellを実行する手口の詳細が明らかになってきました。この技術を使うと攻撃者がローカルのOfficeマクロポリシーをバイパスできると見られ、Microsoft Wordのコンテキストでコードが実行されます。その後、Microsoftは保護のガイダンスを公開し、この脆弱性にCVE-2022-30190を割り当てました。
アクセスの多かったマルウェア関連の記事
脅威の評価: BlackCatランサムウェア
BlackCat(別名: ALPHV)は、2021年11月中旬に登場したランサムウェアファミリで、その精巧さと革新性でまたたく間に悪名を馳せました。BlackCatは、ランサムウェア・アズ・ア・サービス(RaaS)ビジネスモデルで運営されており、有名サイバー犯罪フォーラムでアフィリエイトを募り、身代金の80~90%を取り分にできると提案している様子が確認されています。支払いの残りの金額はBlackCatの作者に与えられます。
BlackCatは、積極的に被害者名を公開して恥をかかせる「ネーム・アンド・シェーム」のアプローチをとっており、1ヶ月あまり経過したある時点で、12名以上の被害者をリークサイトに掲載していました。
GALLIUM、新ツールPingPullで通信・政府・金融業種へ標的を拡大
2022年6月、Unit 42は検出困難な新手のリモートアクセス型トロイの木馬、PingPullを発見しました。PingPullを使っているのはAPT攻撃グループのGALLIUMです。
GALLIUM(別名Softcell)は東南アジア、ヨーロッパ、アフリカで事業を営む通信事業者を標的にすることで名前が知られるようになりました。セキュリティ業界の評価では、GALLIUMは中国の国家支援型攻撃グループである可能性が高いとされています。この判断は、このグループの地理的な標的選定、特定分野への関心、技術習熟度に加え、既知の中国系脅威アクターが使うマルウェアや戦術・技術・手順(TTP)を使用することからきています。
PingPullは、コマンド&コントロール(C2)にICMP、HTTP/HTTPS、raw TCPの3つのプロトコルを利用できます。PinPullはICMPを使ってC2通信が検出されづらくしています。ネットワーク上でICMPトラフィックの検査を実施している組織はほとんどないからです。
ペンテストツールBrute Ratel C4: 脅威アクターによるレッドチームツール悪用
2022年5月、Brute Ratel C2 (Brc4)と関連する悪意のあるペイロードを含むあるサンプルがVirusTotalにアップロードされ、評価した56のベンダーすべてから良性という判定を受けました。Brute Ratel C4は最新のレッドチーム/敵対的攻撃シミュレーション用ツールですが、独自の危険性をはらんでいます。このツールは、とくにEDR (Endpoint Detection and Response)やAV (Antivirus)機能による検出を避けるよう設計されています。その効果は前述のVirusTotalのベンダーが検出できていなかったことからも明らかです。
最初のサンプルは既知のAPT29の手法と一致する方法でパッケージングされています。このことは、この新たなレッドチームツール(ユーザー数は増加中)が、国家支援型のデプロイ技術で活用されていることを意味しています。
私たちはこれまでに悪意のあるIPアドレスを合計41個、BRc4のサンプルを9個、これまでにこのツールによる影響を受けた南北アメリカの3つの組織を特定しました。
2022年のサイバーセキュリティイベントから学べること
この1年、地政学的意味合いをもつ著名な攻撃が恐ろしいほど多発しています。短期的には東欧に特化したアクティビティが減少することはないでしょう。同時に新たなトピックに注目が移っていくことから、この東欧でのアクティビティが2022年度のように見出しを飾る機会は減っていくと思われます。したがってセキュリティ実務者はそれだけ警戒を強めておかないと進行中の脅威に関するニュースを見逃しやすくなります。
新たな脆弱性やマルウェアが続々と登場するなかで、とくに懸念されるのがマルウェアの見せる以下2つの方向性です。
- マルウェア作者が製品をサブスクリプションベース サービスとして提供するケースが増加。サービス内容はより複雑に、より破壊的に
- あらゆる技術レベルの脅威アクターが悪性ツールにアクセス可能に。それらのツールはエンタープライズ向けソフトウェアにも比肩するレベルに
Unit 42のリサーチャーは、今後もセキュリティ情勢の監視を続け、影響の大きい脅威がどこでどのように発生しても、広く注意を喚起していきます。私たちはセキュリティ情勢を改善し、最新の脅威や脆弱性から身を守るためにすべきことを学ぶ手助けをすることに全力を尽くします。
より詳しくは、Unit 42チームのSenior Consulting Director、Ramarcus Baylorと、Consulting Director、Daniel Sergileが登壇する2022年のトレンドと2023年の脅威情勢に関するUnit 42の予測ウェビナーにぜひご登録ください。