サイバー犯罪
カスタムマルウェアが正規のMicrosoftサービスを通じて通信を中継し、悪意ある活動を通常の企業コラボレーションに見せかけていました
DragonForceランサムウェアを展開するサイバー犯罪者が、米国の大手サービス企業のネットワークへの侵入に成功し、コマンド&コントロール(C&C)通信を正規のMicrosoft Teamsトラフィックに偽装しながら、約2か月にわたって不正活動を続けていたことが明らかになりました。
セキュリティ企業Symantecの研究者が報告したところによると、攻撃者はまず被害者の環境へのアクセスを確立したうえで、「Backdoor.Turn」と呼ばれるカスタムGoベースのバックドアを展開し、侵害されたシステムとの通信経路を維持していました。攻撃者が制御するインフラへ直接通信すると検知されるリスクがあるため、このバックドアはMicrosoftの広く普及したコラボレーションプラットフォームに関連するトラフィックの中に活動を隠蔽していました。
ネットワークトラフィックを監視する側から見ると、侵害されたシステムは正規のMicrosoftサーバーとのみ通信しているように見えていました。
Symantecは次のように述べています。「今回のキャンペーンにおける攻撃者は、極めて高度なサイバー攻撃技術を駆使しています。Backdoor.Turnの構成により、セキュリティ製品からはC&C通信が正規のTeamsサーバーへ向かっているようにしか見えないため、防御側は悪意ある行為者によってデータが抜き取られていることに気づくことができません。」
Symantecによると、攻撃者はDragonForceランサムウェアを展開した後にBackdoor.Turnをインストールしており、これにより侵害済みネットワークへの再侵入経路を確保したり、そのアクセス権を他の犯罪者に販売したりすることが可能になる可能性があるとしています。
Microsoftのインフラへ接続するにあたり、このバックドアはまずMicrosoft TeamsおよびSkypeのバックエンドサービスから匿名の訪問者トークンを取得します。次に、本来はユーザー間の通信確立を支援するために使用されるMicrosoft運営のTURRリレーサーバーを経由し、最終的に悪意あるC&Cサーバーとの直接QUICコネクションを確立します。
Symantecは、この特定の手法を使用したマルウェアが確認されたのは今回が初めてだとしています。
同社は被害組織について「米国の大手サービス企業」と述べるにとどまり、具体的な企業名は明かしておらず、Teamsを利用した通信チャネルが他のDragonForce関連インシデントでも観測されたかどうかについても言及していません。
DragonForceのランサムウェア運営は過去1年間で存在感を急速に高めており、アフィリエイトが「DragonForce」の名のもとで攻撃を実行できるランサムウェア・アズ・ア・サービス(RaaS)モデルを採用しています。また、英国の大手小売業者への侵入など一連の大規模攻撃を行ったことで知られる悪名高いScattered Spiderグループとの関連も指摘されています。
悪意ある通信を隠蔽するために正規のクラウドサービスを悪用する手口は以前から存在しますが、今回のSymantecの調査結果は、DragonForceの運営者が組織内で最も信頼されているソフトウェアやインフラに紛れ込む方法を引き続き模索していることを示しています。®
