昨年発生したSolarWindsのサプライチェーン攻撃に関与していたハッカーが、世界各国の組織を狙い、メールを通じた新たな攻撃キャンペーンを展開しています。この攻撃の波は、5月25日にMicrosoft Threat Intelligence Center(MSTIC)の注意を引きました。

攻撃者は、Constant Contactの大規模メールサービスを悪用し、150を超える組織の約3,000に上るメールアカウントを標的にして攻撃を仕掛けています。

この段階の攻撃で送信された攻撃メールの1つの発信元は米国国際開発庁(USAID)の<ashainfo@usaid.gov>になっていました。このアドレスは、Constant Contactの正規のサービスで一般に使用されているものと一致します。

CNNによれば、ハッカーは、USAIDが使用しているConstant Contactのアカウントを乗っ取り、攻撃のメールを送信していると言います。

メールに記載されているリンクをクリックすると、ユーザーは、Constant Contactの正規のサービスに接続されてから、攻撃者の管理するインフラストラクチャにリダイレクトされます。このインフラストラクチャが悪意のあるISOをユーザーのシステムにダウンロードするのです。このペイロードは、おとりのドキュメントを画面に表示し、その一方でカスタムのCobalt Strike Beaconローダーを実行します。MSTICは、このローダーを「NativeZone」と名付けています。

NativeZoneを通じて攻撃者は、標的のネットワーク内でラテラルムーブメントを行い、データを窃取し、別のマルウェアを送り込みます。

より大規模な攻撃の一部

ここまでで説明した攻撃の波を、MSTICは、2021年に始まったより大規模な攻撃キャンペーンと結び付けています。この攻撃は、フィシングメールの波状攻撃に端を発しており、Googleのモバイル/Webアプリの開発者プラットフォーム、Firebaseを悪用して悪意のあるISOファイルを分散させています。

そしてそれからの数か月間、MSTICは、数回にわたる新たな攻撃が繰り返されるのを確認しています。これの攻撃の1つで使われたHTMLファイルでは、JavaScriptでISOファイルをディスクに書き込み、それを起点としてショートカットファイルが、Cobalt Strike BeaconをシステムにロードするためのDLLを実行しています。このペイロードを利用して、ハッカーは標的のネットワークに侵入します。

また、別のアクションでは、攻撃者は、Firebaseから離れた攻撃も試みており、この場合は、HTMLの添付ファイル内にISOファイルをエンコーディングし、Cobalt Strike BeaconのDLLは、ISO内のRTFドキュメントにエンコーディングして、標的にスプーフィングを仕掛けるための偽のWebサイトとHTMLドキュメントを完全に置き換えています。

最新の攻撃の背景情報を探る

このような攻撃者は、最先端の開発環境やテクノロジーラボで弊社が何年も駆使してきたような、高度なR&Dのテクニックやアジャイルの原理を使いこなしているのです。ハッカーが、戦術、技術、プロシージャ(TTP)をほぼ一晩で変更、更新できた理由はここにあります。

同時に、このような攻撃者の場合、その活動の拠点は、「コーヒーメーカーが1台置いてあるような場所に5人程度の人間が集まっている環境」とはわけが違います。そこでは、大規模な組織に数百人単位で人間が集まり、サポートネットワーク、投資家、パートナー、ラボ、クラウド環境などの要素が揃っています。

起業家精神に溢れ、無駄の排除された、シリコンバレー風で最先端の組織がロシアに拠点を移し、国家の保護を受け、サイバー犯罪を通じて金銭を稼ぐためにその能力を使い、諜報活動に従事し、法に縛れらずに活動している様子を想像してください。それが彼らの姿です。そして、そこで活動しているのは、SolarWindsのサプライチェーン攻撃に関与していたハッカーと同一レベルのハッカーなのです

しかしそうは言っても、新しいTTPの数はこれまでのところ限られており、そのため、セキュリティ侵害は、そのいずれもが、特定は容易でありながら対策の難しいいくつかの要因の1つをきっかけに発生しています。侵害を受けたIDや脆弱性などがこれに該当し、これらの要素はそのままのかたちで放置されてしまっています。MSTICが検知した攻撃がそもそもフィシング攻撃から始まっているという事実も何ら驚くにはあたりません。我々が構築するシステムの本質を構成する要素は人間であり、多くの場合、その点がシステムの弱点になるのです。

以上のことから、注目すべきは、技術ネットワークの保護機能の強化の必要性です。これを実現するには、新たな対策本部を立ち上げ、侵害を受けることを前提に行動し、防御と検知の能力を強化するための投資を行い、単一障害点を減らし、レジリエンスを高め、定期的なリスク評価に着手し、俊敏性を強化しなければなりません。

サイバー攻撃を防ぐには、ハッカーと同様の技術が必要です。これまでと同じ旧来のテクノロジーをこれ以上導入しても意味がありません。日々、新たな取り組みが求められるのです。いかに状況に適応できる体制を整えられるかが重要です。そのためには、変革、積極的な自己認識、改善が来る日も来る日も必要になるのです。ルーチンワーク、ミーティングやコンサルタントの人数をこれまでと同じ対策の数をいくら増やしても意味がありません。

検知のためのより優れた戦略の策定

さて、最後になりますが、セキュリティ侵害の痕跡(IOC)だけに注意を向けるのはやめて視点を広く持ち、振る舞いの痕跡(IOB)も活用することをお勧めします。微妙なかたちで確認される行動の連鎖を表すこの痕跡を利用すれば、攻撃を早期に検知できます。そのため、IOBは、SolarWindsのサプライチェーン攻撃などの検知でも大いに威力を発揮します。

サイバーリーズンのプラットフォームは、SolarWindsのサプライチェーン攻撃などの脅威から組織を守る機能を備えたソリューションの1つです。攻撃チェーンのすべての要素を相互に関連付けるには、オペレーション中心のセキュリティアプローチが必要です。孤立した状態では何の問題もないように見える振る舞いでありながら、他の振る舞いと相互に連携したときに明らかに攻撃者に有利な状況を作り出す振る舞いがあります。このようなケースでは特に、オペレーション中心のセキュリティアプローチが欠かせません。

振る舞いベースの検知を使用すれば、セキュリティプロフェッショナルは、本当に重要な事柄に優先して取り組めるようになり、問題が表面化する前に集中してその対応ができます。関連付けされておらず、コンテキスト情報のないアラートを組みわせたり、攻撃が顕在化してからアーティファクトを集めて全貌を把握したりするような作業はなくなります。

攻撃を早期に把握し、迅速に問題に対処するには、IOBが欠かせません。このパラダイムシフトのアプローチを活用したソリューションはすでに一般で利用可能です。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。 https://www.cybereason.co.jp/product-documents/input/?post_id=606 ホワイトペーパー「すべての組織が狙われている」