ウクライナ・ロシア間のサイバーアクティビティに関連するマルウェアからのCortex XDRによる保護

Mar 13, 2022
1 minutes
... views

This post is also available in: English (英語)

ウクライナ・ロシア関連のサイバーアクティビティを受け、お客様からCortex XDRの保護・検知の仕組みがどうなっているのかというお問い合わせをいただいています。3月8日現在、Cortex XDRはウクライナ・ロシアのサイバーアクティビティに関連する公知の攻撃をすべてブロックしています。本稿では、これまでに確認された内容と、お客様を保護するためのCortex XDRのセキュリティ対策について説明します。今後も状況の変化に応じて、この記事を更新していきます。

Cortex XDRは、ウクライナやロシアのサイバーアクティビティに関連する以下の攻撃やマルウェアファミリからお客様を保護します。

  • HermeticWiper (別名Foxblade)
  • HermeticWizard
  • HermeticRansom (別名SonicVote)
  • IsaacWiper
  • WhisperGate (両亜種とも)
  • Gamaredon
  • Outsteel
  • SaintBot

HermeticWiper、HermeticWizard、HermeticRansom

2月23日、ウクライナのキーウにある組織からHermeticWiperと呼ばれるマルウェアが公開マルウェアリポジトリにアップロードされました。この実行ファイルは、Hermetica Digital Ltd.という組織からの有効な署名のついたファイルです。実行されると、このマルウェアはハードディスク上のすべてのファイルを列挙し、マスターブートレコードを破壊して、システムを強制的に再起動させます。

HermeticWizardは、2月23日に初めて観測されたワームで、Windows Management Instrumentation(WMI)とServer Message Block(SMB)サービスを利用して、ローカルネットワーク上のホストにHermeticWiperを拡散させます。

HermeticRansomは、ファイル拡張子に基づいてファイルを暗号化するランサムウェアです。攻撃者は、HermeticWiper攻撃を実行するための陽動作戦としてこれを利用した可能性があります。

Cortex XDRは、HermeticWiper、HermeticWizard、HermeticRansomを、Behavioral Threat Protection (BTP)、Local Analysis (ローカル分析)、Yaraルールでブロックします。具体的には、BTPはドロッパーのアクティビティを検出し、リボーカーのHermetica Digital証明書をブロックし、ホストのドライブパーティションを上書きしようとする悪意のある試みをブロックすることにより、HermeticWiperを阻止します。

IsaacWiper

また、2022年2月24日にはあるウクライナの政府組織でIsaacWiperと呼ばれるワイパーが発見されました。このワイパーはWindowsエンドポイント用に設計され、HermeticWiperよりもシンプルで、Authenticode署名が含まれておらず、パーティション破壊のために良性のドライバも使っていません。

Cortex XDRは、IsaacWiperを阻止するために特別に設計されたエンドポイント保護ルールにより、IsaacWiper攻撃を阻止します。また、Cortex XDRは、クラウドベースのマルウェア防御サービスWildFireとのネイティブな統合により、IsaacWiperとともに展開される場合のあるリモートアクセスツール、RemComをグレーウェア判定でブロックします。

WhisperGate

政府機関をはじめとするウクライナの組織が、1月に破壊型マルウェアWhisperGateの標的となりました。WhisperGateは、Microsoft Windows Defenderを削除し、ターゲット上のファイルを破損させようとするコンピュータネットワーク攻撃(CNA)マルウェアです。同マルウェアは2つのサンプルで構成されています。1つはランサムウェアで、もう1つはインメモリのMicrosoft Intermediate Language(MSIL)ペイロードを配信するビーコン用インプラントです。インメモリコードは、エンドポイントに既にインストールされている正規のアプリケーションやユーティリティを利用して検知を回避し、特定の監視ツールやセキュリティツールを検知した場合は起動しないようになっています。

Cortex XDRは、AIベースのローカル解析、BTP、マスターブートレコード保護モジュール、ランサムウェア保護モジュールを用いて、このマルウェアファミリの実行を防止します。

Gamaredonの攻撃サンプル

Gamaredon(別名Primitive Bear)は、ウクライナを標的とする最も活発なAPT(持続的標的型攻撃)脅威の1つです。Gamaredonは10年近く、ウクライナの政府高官や組織に対する攻撃キャンペーンを展開してきました。2021年11月4日、ウクライナ保安庁(SSU)は、このグループの指導者をクリミアに配属されているロシア連邦保安庁(FSB)の幹部5名であると公に帰属化(アトリビュート)し、このグループのツールと戦術を記した最新の技術報告書を公開しました。

Cortex XDRは、BTPとローカル解析によりGamaredonが使用するさまざまなマルウェアから保護の保護を提供します。さらに、Cortex XDRは、Gamaredonに関連する攻撃者の戦術・技術を検出します。

Outsteel

Unit 42は、2022年2月1日、OutSteelツールを使用したウクライナのエネルギー組織を標的とした攻撃を観測しました。CERT-UAは、この攻撃を脅威グループUAC-0056によるものと公表しています。

OutSteelツールはシンプルなドキュメントスティーラ(文書窃取ツール)です。ファイルの種類から機微文書である可能性が高いものを探し、リモートサーバーにファイルを漏出させます。Unit 42は、この脅威グループが、ウクライナの政府組織や重要インフラに関わる企業のデータを収集している可能性があると分析しています。

Cortex XDRは、WildFireおよびBTPとシームレスに統合することで、OutSteelマルウェアをブロックします。

SaintBot

OutSteelマルウェアの背後にいる脅威グループは、あるエネルギー関連組織の従業員に対し、フィッシングメールを通じ、悪意のあるダウンローダーSaintBotとOutSteelとを配信しました。SaintBotを使うと、脅威アクターは感染システム上で追加のツールをダウンロード・実行できるようになります。これによりアクターはシステムへの持続的アクセスを確保しつつ、できることの幅を広げられます。

Cortex XDRは、SaintBotをBTPでブロックします。さらに、プロセスキューへのAPC(非同期プロシージャコール)インジェクションや、一般的でないローカルスケジュールタスクの作成などの異常な振る舞いを、Analytics BIOCアラートで検知できます。

お客様環境のCortex XDR

ここ数週間、弊社はお客様から最近の攻撃に対するテストや防御の経験をご共有いただいており、そのなかでCortex XDRがワイパーマルウェアサンプルを含む攻撃からの保護に成功したというご連絡をいただいています。

Cortex XDRエージェントは、AV-Comparative EPRテストでも実証済みの保護機能を提供しています。提供される内容には、テクニックベースのエクスプロイト防止、グローバル脅威インテリジェンス、AIによるローカル分析、BTP、WildFireによるマルウェア防御との統合、ランサムウェア防止など、さまざまな手法を使う保護アプローチが含まれます。さらにCortex XDRは、MITRE ATT&CK round 2評価でも実証されたように、APT 29(別名Cozy Bear)のようなAPT攻撃グループに対する先進的防御を提供します。

Cortex XDR のBTPとAIによるローカル分析機能は、数千のファイル特性をまとめて調べる振る舞いルールと機械学習モデルによってマルウェアの振る舞いを検知しているので、ウクライナ・ロシア間のサイバーアクティビティに関連する攻撃の大部分をブロックします。また、アクターがサンプルの再コンパイル、ファイル名の変更、パッケージの変更など単純な変更をほどこすことでマルウェアの配布方法変更による回避を試みた場合でも、Cortex XDR はシグネチャやハッシュその他のIOCベースの検出と比べて回避耐性が高くなっています。その結果、Cortex XDRは、これらの攻撃が進化しても、より耐性のある保護を提供します。

これらの機能およびCortex XDRのその他のさまざまな手法による保護機能の詳細については、弊社技術資料をご覧ください。また、3月15日(米国時間)に開催されるCortex XDR 3.2カスタマーセミナーでは、HermeticWiperなどのマルウェアファミリに対する最新の保護機能について説明する予定です。

結論

パロアルトネットワークスでは、最高のテクノロジとリサーチでお客様を保護し続けることを第一の目標としています。Cortex XDRの調査チームは、Unit 42の脅威インテリジェンス調査チームと協力し、ウクライナ・ロシア関連の最新情報を収集・分析・共有しています。Cortex XDRのリサーチャーとUnit 42のインテリジェンス専門家は、脅威情報とテレメトリのグローバルネットワーク全体から最新の情報をモニタリングしています。弊社は、今後も最新の国際的サイバーセキュリティ動向を注視し、弊社の製品・サービスでお客様を確実に保護できるよう努めてまいります。

参考資料:

https://unit42.paloaltonetworks.jp/preparing-for-cyber-impact-russia-ukraine-crisis/
https://unit42.paloaltonetworks.jp/gamaredon-primitive-bear-ukraine-update-2021/
https://unit42.paloaltonetworks.jp/ukraine-cyber-conflict-cve-2021-32648-whispergate/
/russia-ukraine-cyber-resources
https://register.paloaltonetworks.com/unit42briefingrussiaukraine


Subscribe to Security Operations Blogs!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.