出典: Konstantin K4 via Shutterstick
最近妨害されたDanaBotロシアのマルウェア・アズ・ア・サービス(MaaS)オペレーションを約3年間静かに監視することを可能にしたサーバーメモリリークは、脅威アクターが自分たちのセキュリティが緩んだときにどれだけ多くの情報を漏らすことがあるかを再び示しました。
Zscalerの研究者によって発見されたこのバグは「DanaBleed」と名付けられ、DanaBotのコマンド・アンド・コントロール(C2)サーバーから直接機密データを露出し、プライベートキー、被害者の詳細、感染統計、マルウェアの更新、さらには攻撃者のインフラストラクチャの一部まで含まれていました。
予期せぬ収穫
このような予期せぬ収穫は、最近数ヶ月で驚くほどの頻度で表面化しており、サイバー犯罪グループが自分たちの運用ミスに足をすくわれています。これらのOpSecの失敗のいくつかは、DanaBotの場合のように意図せずに起こったものです。他のケースでは、不満を抱いたグループメンバーが重要な運用の詳細を漏らし、最近ではTrickbotとContiランサムウェアオペレーションやBlack Bastaグループで起こりました。また、ライバルのクルーが手を貸すこともあり、5月に誰かがLockBitグループのインフラにハッキングし、運用データを漏らした事件がありました。
セキュリティ研究者や企業の防御者にとって、各リークは敵の作戦計画やインフラの詳細、マルウェアの挙動、被害者のターゲティング、その他の戦術、技術、手順を明らかにする貴重な機会を提供しました。適切に活用されれば、防御をより良くするための予期せぬインテリジェンスとなります。
関連記事:情報盗難リングの摘発で20,000の悪意あるIPを排除
「防御者にとって、これらのリークは宝の山です」と、脅威インテリジェンスサイバーセキュリティ企業SOCRadarの最高情報セキュリティ責任者(CISO)であるEnsar Seker氏は言います。「正しく分析されれば、アクターのインフラ、感染パターン、アフィリエイトの階層、さらには収益化戦術への前例のない可視性を提供します。」このデータは、脅威インテリジェンスチームが侵害指標(IoC)を強化し、インフラを迅速にマッピングし、攻撃を未然に防ぎ、法執行機関の妨害活動に情報を提供するのに役立つと彼は言います。
「組織はこれらのOpSecの失敗を[サイバー脅威インテリジェンス]プログラムを通じて追跡すべきです」とSeker氏はアドバイスします。「正しく文脈化されれば、それらは単なる受動的な観察ではなく、積極的な防御手段となり、防御者がキルチェーンの上流に移動し、敵の能力に直接圧力をかけるのを助けます。」
DanaBotは少なくとも2018年から活動しているマルウェア・アズ・ア・サービス(MaaS)オペレーションです。DanaBotサービスに関連するグループは、このマルウェアを銀行トロイの木馬として、また認証情報の盗難やリモートアクセスなどのさまざまな目的で使用してきました。その被害者には、北米、ヨーロッパ、その他の地域の組織が含まれています。5月下旬、米国の連邦当局は国際的な法執行機関や民間企業と協力して、グループの米国拠点の攻撃サーバーとC2インフラをシャットダウンし、グループの16人のメンバーを起訴しました。これはその運用に大きな妨害をもたらしました。
関連記事:Securonixが脅威インテリジェンス企業ThreatQuotientを買収
DanaBleedバグ
Zscalerによれば、DanaBotの運営者は2022年に新しいバージョンのマルウェアを展開した際に誤ってDanaBleedバグを導入しました。このアップデートは、DanaBotのC2プロトコルに変更を加え、その結果、サーバーがプロセスメモリの貴重な断片を意図せずに漏らすことになりました。3年間にわたり、このバグはZscalerが脅威アクターのユーザー名、脅威アクターのIPアドレス、C2サーバーの詳細とドメイン、感染とデータ盗難の統計、マルウェアの更新、プライベート暗号化キー、被害者データを収集することを可能にしました。
このリークは、Zscalerの脅威インテリジェンスのシニアディレクターであるBrett Stone-Gross氏によれば、驚くべき皮肉を明らかにしました。「犯罪組織は合法的なビジネスと同様に運営されており、彼らが行うサイバー攻撃と同じ攻撃に対して脆弱です。」
関連記事:OpenAIが国家レベルの脅威アクターに関連するChatGPTアカウントを禁止
GuidePoint Securityの脅威インテリジェンス担当マネージングセキュリティコンサルタントであるJason Baker氏は、漏洩した脅威アクターデータから防御者が得られる効果は、情報源によって異なると述べています。内部の不満を抱いたメンバーからの内部リークは、チャットのような識別データを提供するため、悪党にとってより損害を与える可能性があります。「これは重要です。なぜなら、サイバー脅威アクターの行動と欠点に対する独自の視点を提供する、よく保護された情報だからです」とBaker氏は言います。
内部リークは、敵のインフラとTTPsに関する洞察の宝庫を提供します。漏洩したチャットには、応答しないC2や好まれるツールなど、敵のツールに関する技術的な問題についての議論が必ず含まれています。内部リークはまた、暗号通貨ウォレットアドレス、IPアドレス、ユーザー名など、他の脅威アクターの識別情報をもたらすこともあります。
同じずさんさ
外部リーク—DanaBotのリークのようなもの—は、しばしば皮肉にも、脅威アクターが被害者のネットワークに侵入するために悪用する原因と同じ原因に根ざしています: ミスコンフィグレーション、未パッチのシステム、不適切なセグメンテーションが、不正アクセスを得るために悪用される可能性があります。オープンディレクトリ、露出した資格情報、保護されていない管理パネル、暗号化されていないAPI、ホスティングプロバイダーを通じた偶発的なデータ露出は、すべて外部発見と探索の機会です、とBaker氏は言います。「外部の発見は主にさらなるインフラストラクチャの発見の機会を提供し、繰り返される行動や設定を特定し、防御者がネットワークを攻撃から強化するために使用できる検出ロジックを開発するために使用できます」とBaker氏は言います。
例えば、DanaBotのリークは、脅威ハンティングとブルーチームオペレーションのための有用なIoCの宝庫を開きました、とBugCrowdの創設者であるCasey Ellis氏は言います。「検証された、既知の同等の例は、最終的に攻撃者が書いたコードの欠陥を悪用して身代金を支払わずに復号化を可能にするランサムウェア復号ツールです」と彼は言います。
最近のDanaBot事件のようなリークは、サイバー犯罪グループの運用のずさんさが増加している傾向を強調しています、とSeker氏は付け加えます。急いで展開されたり、内部の争いがあったり、運用の規模が大きすぎたりするために、経験豊富なMaaSアクターでさえ、基本的なOpSecの失敗をますます示し、バックエンドインフラ、開発者の別名、暗号鍵、決してアクセスできないはずのテレメトリを露出しています。
「これらのリークはしばしば、開発パイプラインの成熟度の欠如、バリアント間でのコンポーネントの再利用、C2ロジックと顧客データの間の不十分な区分、または脆弱なウェブパネルを明らかにします」とSeker氏は言います。「これらの犯罪プラットフォームがより商業化され、スケーラブルになるほど、運営者がすべてのレベルで厳密なOpSecを維持することが難しくなります。」
翻訳元: https://www.darkreading.com/threat-intelligence/hacking-hackers-bad-guys-guard-down