Cybereason Global Security Operations Center (GSOC)は、Cybereason脅威分析レポートを発行 し、影響度の高い脅威について情報を提供しています。脅威分析レポートでは、これらの脅威を調査 し、脅威から保護するための実践的な提案を行っています。

CybereasonのGSOCチームは、APT27という中国の攻撃グループによるドイツ企業を狙ったサイバースパイ行為を目的とするアタックキャンペーンを調査しました。

またCybereasonではDeadRinger：大手通信事業者を標的とする中国の脅威アクターの正体を暴く（前編）に関する記事も公開しています。

中国の攻撃グループAPT27に関する主なポイント

• ドイツ連邦憲法保護局は、2022年1月26日に、中国の攻撃グループAPT27が、知的財産などの機密データを盗み出すためにドイツ企業に対してキャンペーンを実施していると報告しました。
• APT27は、侵害されたシステムにHyperBroマルウェア（リモートアクセス型トロイの木馬）を配備します。APT27は、Microsoft ExchangeおよびZoho AdSelf Service Plusの脆弱性を悪用して初期アクセスを行います。

中国の攻撃グループAPT27に関する分析

脆弱性の悪用によってシステムにアクセスした後、APT27は次のようにHyperProマルウェアをシステムにインストールします。

• APT27は、侵害されたシステムに、msmpeng.exeまたはvfhost.exeという名前の正規のWindows実行可能ファイル、vftrace.dllという名前のダイナミックリンクライブラリ（DLL）ファイル、およびthumb.datという名前のデータファイルを展開します。thumb.datのコンテンツは難読化されています。thumb.datファイルには、悪意のあるコードと圧縮されたWindows DLLが含まれています。
• APT27は、msmpeng.exeまたはvfhost.exeを実行し、vftrace.dllを読み込ませます。これは、DLLハイジャックと呼ばれる手法です。
• vftrace.dllは、thumb.datの中身を開いて難読化を解除します。thumb.datに保存されている悪意のあるコードは、thumb.datに保存されているDLLを解凍してロードします。
• このDLLファイルは、DLLが実行されるフォルダーを評価します。フォルダが%ProgramFiles%\Common Files\windefenders\もしくは%ProgramData%\windefenders\でない場合、DLLはファイルthumb.dat、vftrace.dll、msmpeng.exe、vfhost.exeを、(管理者権限で実行する場合)%ProgramFiles%\Common Files\windefenders\、もしくは(一般ユーザアカウントで実行する場合)%ProgramData%\windefenders\に移動して、HyperBroをシステムにインストールします。次に、DLLは、windefendersフォルダーに格納されているmsmpeng.exe、vfhost.exeを起動し、実行を停止します。これにより、侵入先のシステムへのHyperBroのインストールが終了します。

Windows正規ファイルであるmsmpeng.exe/vfhost.exeが、windefendersフォルダで実行された場合:

• msmpeng.exe/vfhost.exeが、DLLハイジャッキングによりvftrace.dllを読み込みます。
• vftrace.dllが、thumb.datの中身を開いて難読化を解除します。thumb.datに保存されている悪意のあるコードは、thumb.datに保存されているDLLを解凍してロードします。
• DLLは、DLLが実行されるフォルダーを評価します。フォルダは%ProgramFiles%\Common Files\windefendersまたは%ProgramFiles%\windefenders\であると、DLLは侵入先のシステムで永続性を確立します。DLLが管理者権限で実行される場合、DLLはwindefendersという名前のWindowsサーバーを作成します。DLLが通常のユーザー権限で実行される場合、DLLはレジストリパスHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\windefendersにレジストリキーを作成します。
• DLLは、HyperBroを使用してシステムの複数の感染を防ぐためにミューテックスを作成し、DLLが実行されるフォルダにconfig.iniという名前のデータファイルを保存します。config.iniは、HyperBroがコマンドアンドコントロールサーバーと通信するときに、侵害されたシステムを一意に識別するためにランダムなグローバル識別番号（GUID）などのマルウェア構成データを保存します。この時点で、HyperBroは完全に機能しており、マルウェアはプロセスインジェクション、キーストロークロギング、データ抽出などのさまざまな悪意のあるアクティビティを実行することができます。

サイバーリーズンの推奨事項

サイバーリーズンが提供する追加の推奨事項は次の通りです。

• 脆弱性の悪用による感染のリスクを最小限に抑えるために、Microsoft Exchangeを含むシステムやソフトウェアの状況を確認し、適時パッチを適用してください。
• プロアクティブにハンティングするには、サイバーリーズンプラットフォームの「調査(Investigation)」画面を使用して、HyperBroマルウェアに感染している可能性のある端末を検索します。検索結果に基づいて、端末を隔離するなどのさらなる対処を実施します。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは？〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/