TokyoBlackHatNews

gbhackers.com 4分で読了

Microsoftが警告:HPEオペレーションエージェントがマルウェアなしの攻撃で悪用されている

Microsoftは、攻撃者が従来のマルウェアと脆弱性をバイパスし、代わりに信頼されたエンタープライズツールを悪用してネットワークに静かに侵入する、ステルス侵入キャンペーンを明らかにしました。

このテクニックは、敵が正当なソフトウェアと既存の信頼関係に依存して検出を回避するサイバー攻撃の増加傾向を浮き彫りにしています。

特に注目すべき点は、HPE OAの脆弱性は悪用されなかったということです。代わりに、脅威アクターは、組織のインフラストラクチャの管理を担当する、侵害されたサードパーティのITサービスプロバイダーを通じてアクセスを獲得しました。

このアプローチにより、攻撃者は通常の管理ワークフロー内で完全に運用することができました。HPE OAを通じてスクリプトを実行することで、彼らの活動は日常的なシステム操作と区別がつかないように見え、検出と対応を大幅に遅延させました。

この攻撃はMITRE ATT&CKテクニック T1199(信頼できる関係)と一致しており、敵は既存のビジネスおよび運用上の信頼パスを悪用します。

この場合、その信頼は組織を超えて外部サービスプロバイダーに拡張され、攻撃面を効果的に拡大しました。

Image

GBhackersと共有されたレポートでMicrosoftが述べたところによると、攻撃者は広く使用されている信頼されたIT管理ツールであるHPEオペレーションエージェント(OA)を利用して、標的環境全体で悪意のあるアクションを実行しました。

ドメインコントローラー上で、攻撃者は「mslogon」という名前の悪意のあるネットワークプロバイダーをインストールし、ログインとパスワード変更中にユーザー認証情報をインターセプトできるようにしました。

Microsoftの分析によれば、侵入は数ヶ月にわたって展開されました。最初のアクセスを獲得した後、攻撃者はHPEオペレーション マネージャー(HPOM)を介してVBScriptペイロードを展開し、ネットワーク検出を実施し、Active Directoryの構造を特定しました。そこからキャンペーンは認証情報の収集にエスカレートしました。

MicrosoftがHPEオペレーションを警告

関連するDLLはユーザー名とパスワードをクリアテキストでキャプチャし、ローカルに保存しました。これにより、攻撃者はラテラルムーブメントのために認証情報を再利用することができました。

Image

永続性を深めるため、攻撃者は後に「passms.dll」と呼ばれる悪意のあるパスワードフィルターDLLという2番目のメカニズムを展開しました。

このコンポーネントはWindows Local Security Authority(LSA)に統合され、パスワードが更新されるたびに認証情報をキャプチャしました。

盗まれたデータはエンコードされ、SMB共有を介して流出させるか、画像ファイルに偽装され、悪意のある活動と正当なトラフィックをさらにブレンドしました。

キャプチャされたデータはクリアテキストで保存されませんでした。代わりに、まずBase64を使用してダブルエンコードされ、その後DLL内に組み込まれたカスタムエンコーディングルーチンが続きました。

Image

並行して、「Signoff.aspx」などの修正されたアプリケーションファイルを含む、インターネット向けサーバー上にWebシェルが確立されました。これらのWebシェルは、通常のアプリケーション動作を模倣することで検出を回避しながら、リモートコマンド実行とファイルアップロードを可能にしました。

攻撃者はまた、秘密のリモートアクセスを維持するためにngrokトンネリングツールを展開しました。暗号化されたトンネルを作成することで、オープンポートを公開することなくリモートデスクトッププロトコル(RDP)接続を有効にし、ペリメター防御を効果的にバイパスしました。

これにより、SQLサーバーとドメインコントローラーを含む重要なシステム全体でのラテラルムーブメントが可能になりました。

ラテラルムーブメントは、Windows Management Instrumentation(WMI)ベースのリモート実行によってさらに支援され、これは追加のデバイスにngrokを展開および起動するために使用されました。

Image

複数の侵害段階にもかかわらず、攻撃は信頼されたツール、有効な認証情報、および正当なシステムプロセスへの依存により、ほぼ検出されないままでした。最初の発見後も、脅威アクターは以前に侵害されたアクセスポイントを使用して永続性を再確立しました。

Microsoftは、このキャンペーンが最新のサイバーオペレーションにおけるノイズより静粛性を優先するという広い傾向を示していることを強調しました。

アラートをトリガーするマルウェアを展開する代わりに、攻撃者は次第に「land off the land」を実行し、内蔵ツールと信頼関係を悪用して長期的なアクセスを維持しています。

このような脅威に対抗するため、Microsoftはすべてのシステムにエンドポイント検出と対応(EDR)を展開し、厳格なアウトバウンドトラフィック制御を実施し、サーバー上の詳細なログを有効にすることを推奨しています。

また、組織はゼロトラストのマインドセットを採用することを求められており、特にサードパーティのプロバイダーと協力する際は、環境内の信頼されたツールの動作を継続的に検証してください。

翻訳元: https://gbhackers.com/microsoft-warns-hpe-operations/

ソース: gbhackers.com
#APT #EDR #HPE Operations Agent #Webシェル #Windows Security #サードパーティ侵害 #ゼロトラスト #ドメインコントローラー #ラテラルムーブメント #認証情報盗取

関連記事

InvisibleFerretマルウェアは.pydおよび.soファイルを使用してスクリプト検出を回避

APT グループが複数の RDP セッションを有効にするために termsrv.dll にパッチを適用

WhatsAppのチャット履歴がmacOSおよびiOSの暗号化されていないストレージに露出