見出し画像

Chafer APTが最新のサイバースパイ攻撃で中東政府を攻撃


クウェートとサウジアラビアの政府機関と航空輸送会社がChafer APTに標的にされました

研究者たちは、既知のChafer advanced persistent threat (APT)グループによる新たなサイバー犯罪キャンペーンを発見しました。
この攻撃は、データの流出を狙って、複数の航空輸送機関や政府機関の犠牲者を攻撃しています。

Chafer APTは2014年から活動を開始しており、以前にも中東の重要インフラを標的としたサイバースパイ活動を開始しています。
この最新のサイバー攻撃の波は2018年に始まり、クウェートとサウジアラビアに拠点を置く複数の無名の組織を標的に、少なくとも2019年末まで続いています。
このキャンペーンでは、「Living off the land」戦術だけでなく、特注のツールが多数使用されていました。
Living off the landツールとは、ターゲット環境にすでに存在する機能であり、攻撃者がそれを悪用して永続性を達成するのに役立ちます。

"2020/5/21のBitdefenderの分析によると、この攻撃者が中東地域で行った攻撃を発見し、2018年にさかのぼります。"
"キャンペーンは、帰属を困難にする「Living off the land」ツールや、異なるハッキングツール、カスタムビルドされたバックドアなど、いくつかのツールに基づいていました。分析されたキャンペーンの犠牲者は、中東の航空輸送や政府部門など、この攻撃者が好むパターンに当てはまります。"

Bitdefenderのグローバル・サイバーセキュリティ・アナリストであるLiviu Arsene氏はThreatpostに対し、研究者は各国でどれだけの企業が標的にされたかを特定することはできないと語った。
しかし、「サイバー犯罪者グループは、我々が調査した企業よりも多くの企業を狙っている可能性が高いと推定しても安全だ」と同氏は述べています。

キャンペーン

クウェートとサウジアラビアの企業に対する攻撃の手口は「いくつかの共通の段階」を共有していましたが、クウェートの被害者に対する攻撃は、攻撃者がネットワーク上を横方向に移動できるため、より巧妙になっていたと研究者は指摘しています。
研究者は、脅威者が最初にシェルコード付きの汚染された文書を使って被害者を感染させ、スピアフィッシングの電子メールで送信したと考えています。

“調査中に、侵害されたいくつかのステーションで、特定のユーザーアカウントで実行される異常な動作を観察したことから、攻撃者が被害者のマシンにユーザーアカウントを作成し、そのアカウントを使用してネットワーク内でいくつかの悪質なアクションを実行したと考えられます“

攻撃者は社内に侵入すると、バックドア(imjpuexa.exe)をインストールし、一部のマシンでサービスとして実行されました。
また、攻撃者は、偵察のために使用されるネットワークスキャンやクレデンシャル収集ツールをいくつか配備し、ネットワーク内を横方向に移動するのを支援しました。
 例えば、攻撃者は、ネットワークスキャン、クレデンシャルダンプ、アカウント発見、コードインジェクションに使用される多目的ツールであるCrackMapExecを配備しました。

攻撃者が利用したもう一つの注目すべきカスタムツールは、修正されたPLINKツールです(wehsvc.exeと呼ばれています)。
PLINKはコマンドライン接続ツールで、主に自動化された操作に使用されます。
キャンペーンで使用されたPLINKツールは、元の機能を維持しており、Windowsサービスとして実行したり、サービスをアンインストールしたりすることができるなど、いくつかの新しい主要機能を備えています。

「このツールは、 C2サーバー と通信するため、または内部のマシンにアクセスするために使用された可能性があると考えられますが、これらのシナリオをサポートする決定的な証拠は見つかりませんでした」と研究者は述べています。

クウェートの被害者への攻撃ではさらに横方向への動きがあったものの、サウジアラビアの被害者への攻撃はそれほど精巧ではなかったと研究者は述べています。

これらの攻撃について、研究者は、"最初の妥協はソーシャルエンジニアリングによって 達成されたと考えている "と述べています。
最初の危殆化の後、RATがロードされ、異なる名前("rivers.exe "と "rivers_x64.exe")で2回実行されました。2回の実行は3分間隔で行われており、研究者はユーザーが騙されて実行されたと考えています。

"この攻撃はクウェートでの攻撃ほど大規模ではありませんでしたが、いくつかのフォレンジック証拠は、同じ攻撃者がこの攻撃を指揮した可能性を示唆しています。"
"ネットワーク発見の証拠があるにもかかわらず、横方向への移動の痕跡を見つけることはできませんでした。

注目すべきは、この攻撃者はまた、両キャンペーンで「Living off the land」ツールを広範囲に使用していたことです。
これには、Microsoft Windows の正規のサービスマネージャである Non-Sucking Service Manager (NSSM) の多用が含まれています。
NSSMユーティリティは、バックグラウンドとフォアグラウンドのサービスとプロセスを管理します。
研究者は、APTがRATなどの重要なコンポーネントを確実に稼働させるためにNSSMを使用したと考えています。

"我々は、攻撃者が監視しているサービスが実際に実行されていて、終了したり停止したりしていないことを確認するためにNSSMに依存していると推定しています。"とアルセーヌ氏は説明しています。
"悪意のあるサービスの永続性を確保し、他のさまざまなアプリケーションによって不用意に終了したり停止したりした場合に再起動するための方法です。"

これまでのところ、調査員が発覚した事件はすべて停止している。
"両国での調査は、サイバー攻撃がいつ停止したのか、それとも停止したのかを結論付ける前に停止していた "とアルセーヌ氏は述べている。"おそらく...現地当局に通知があり、現地で調査を続けることにしたのだろう"

サイバー・スパイ活動

研究者がこれらのキャンペーンをChaferと関連づけたのは、使用されているツールの一部が、以前に記録されたChafer APT攻撃で使用されたツールと類似しているからです。
これらの攻撃に使われているC2ドメインは、以前にも同じサイバー犯罪者グループと関連していたと、アルセーヌ氏はThreatpostに語っています。

これは、Chafer APTの最新のキャンペーンにすぎません。
昨年、イランにリンクしたAPTは、HTTP上の『Microsoft Background Intelligent Transfer Service』(BITS)の仕組みを利用して通信を行うという非常にユニークなアプローチを取るカスタムマルウェアの強化版で、イランに拠点を置くさまざまな事業体を標的にしていることが明らかになった。
2月には、イスラエルのIT、通信、石油・ガス、航空、政府、セキュリティ部門の高価値組織を侵害するために一緒に活動している可能性のあるイランを拠点とする2つのAPTが立ち上げた別のキャンペーンがありましたが、研究者がアプローチの重複を指摘した後、Chafin APTとゆるやかにリンクしていました。

最近の2020年Verizon Data Breach Investigations Report (DBIR)によると、サイバースパイ活動は過去1年間で全体的に減少しており、2018年のデータ侵害の13.5%から2019年にはデータ侵害のわずか3.2%にまで落ち込んでいます。

元記事
https://translate.google.com/translate?hl=&sl=en&tl=ja&u=https%3A%2F%2Fthreatpost.com%2F

—-
今回の攻撃で使用された、Living Off the land攻撃は既存のシステムのネイティブツールを使用して行うものだ。(Windowsのネイティブ機能とか)
これを使用することで、検知されにくく長く活動することができる。
そうすると企業の業務データなどを長く搾取することができる。
恒常的にどのような振る舞いを行っているかをモニタリングし、検知を行う必要がある。
トレンドマイクロのセキュリティブログやMcafeeのファイルレス攻撃の解説に詳細が記載されている。
https://blog.trendmicro.co.jp/archives/22119
https://www.mcafee.com/enterprise/ja-jp/assets/white-papers/fileless-malware-report.pdf


最後までお読みいただきありがとうございます。 分かりやすくマイナーなセキュリティ記事を翻訳しながら書きます。