親ロシア系ハッカー、Linux仮想マシンでWindows上に身を潜める

出典: Jakub Krechowicz / Alamy Stock Photo

ロシアの地政学的な利益を支援する脅威アクターが、Linux ベースの仮想マシン（VM）を利用し、Windows エンドポイントセキュリティツールから自らの活動を難読化している。 

このグループは「Curly COMrades」として追跡されており、セキュリティベンダーの Bitdefender は本日、攻撃者が被害者ネットワーク内に隠れた長期的な永続性をどのように確立しているかを説明する調査結果を公開した。Curly COMrades の活動の一部には他のグループでも見られる要素がある一方で、他の戦術はかなり新規性が高い。 

Bitdefender は、ロシアの利益を地政学的なホットスポットで支援するために活動しているこのグループについて、8 月に初めて報告した。今回の最新調査では、Windows デバイス上での事後侵害の永続化手法として、軽量な Linux VM を使用するなど、追加のテクニックが明らかになった。 

Bitdefender は、ジョージアの Operative-Technical Agency 配下の Georgian CERT と協力してこの調査を実施した。

Bitdefender のテクニカルソリューションディレクターである Martin Zugec 氏は Dark Reading に対し、この脅威アクターの主な目的は、破壊行為や金銭目的ではなく、「スパイ活動と長期的な秘密アクセス」に強く合致していると語る。多くの詳細はいまだ不明だが、この調査からは、標的ネットワークへの長期的なアクセスを維持するために高度な手法を用いる脅威グループの姿が浮かび上がる。 

関連記事:RondoDox ボットネット: エッジ脆弱性向け「エクスプロイト・ショットガン」

Curly COMrades の複雑な TTP

今回のキャンペーンの一環として分析された活動について、調査著者であり Bitdefender のシニアセキュリティリサーチャーである Victor Vrabie 氏は、Curly COMrades が標的の Windows デバイスを侵害した後、正規の仮想化技術を悪用して永続性を獲得したと述べている。 

攻撃者は被害システム上でHyper-Vロールを有効化し、「ミニマルな Alpine Linux ベースの仮想マシン」をダウンロードしてインポートした。この隠れた環境は、軽量なフットプリント（ディスク容量わずか 120MB、メモリ 256MB）で、カスタムのリバースシェル CurlyShell とリバースプロキシ CurlCat をホストしていた。両者は独自マルウェアとして機能し、CurlyShell は永続的なリバースシェル、CurlCat はトラフィックトンネリングを管理する。

軽量な Linux VM を用いてオペレーションを実行する主な利点は、多くの従来型エンドポイント検知・応答（EDR）製品を回避でき、ホストデバイス上に直接配置される永続化メカニズムよりも活動を巧妙に難読化できる点にある。すべての悪意ある送信トラフィックは、正規のホスト IP アドレスから発信されているかのように見える。

「EDR は、VM から外部へ抜ける C2 トラフィックを検知するためのホストベースのネットワーク検査と、ネイティブなシステムバイナリの初期悪用を制限するためのプロアクティブなハードニングツールによって補完される必要があります」と Vrabie 氏は記している。 

関連記事:「死なない」OS が企業セキュリティネットワークを悩ませる

さらに、コマンド＆コントロール（C2）通信に CurlyShell を、トラフィック難読化に CurlCat を利用することで、他の脅威アクターがよく使う重量級のペネトレーションツールと比べて、シンプルかつ静かな運用が可能になっている。 

軽量 VM とカスタムマルウェアという凝った手口に加え、調査では 2 つの PowerShell スクリプトも確認された。1 つはリモート認証とコマンド実行のためにKerberosチケットを Local Security Authority Subsystem Service（LSASS）に注入するもの、もう 1 つは「ドメイン参加マシン全体にローカルアカウントを作成し、永続性を獲得する」ためのものだと Vrabie 氏は述べている。

Bitdefender の Zugec 氏は Dark Reading に対し、攻撃の中核コンポーネント自体は完全に新しいわけではないものの、これらのテクニックの特定の組み合わせは「攻撃者の戦術における重大かつ懸念すべき進化」を示していると語る。

「攻撃者がこれまでにも仮想化を利用してランサムウェアの暗号化プログラムを実行した例はあります」と同氏は説明する。「しかし、長期的なコマンド＆コントロールの分離を目的として、被害者のエンドポイント上に専用のミニマルな Alpine Linux VM を直接デプロイすることは、高度な回避テクニックです。この手法により、マルウェアはホスト OS の可視性の完全な外側で動作し、多くの従来型 EDR ソリューションの振る舞い検知、静的シグネチャ、メモリスキャンコンポーネントを回避できます。」

関連記事:ゼロトラスト: AI 攻撃時代における強みと限界

Curly COMrades を寄せ付けないために 

Bitdefender の調査は結論として、Curly COMrades の最近の活動は、エンドポイントおよび拡張検知・応答ツールがコモディティ化するにつれ、脅威アクターがそれらを回避する能力を高めていることを裏付けていると述べている。 

Bitdefender は、組織が Curly COMrades による脅威に対抗するには、単一のセキュリティレイヤーを超え、防御を多層化したディフェンス・イン・デプスを実装する必要があると指摘する。 

大規模組織の場合、これは悪意あるトラフィックパターンを検知・遮断できるネットワークセキュリティレイヤーを利用することを意味し得る。加えて、組織は異常な LSASS プロセスへのアクセスや Kerberos チケットの生成を検知できなければならない。これらは「VM の外側で発生し、非常に検知しやすい」ものだ。よりスリムな組織は、マネージド検知・応答（MDR）サービスの活用を検討してもよいと Bitdefender は述べている。 

最終的に Vrabie 氏は、「環境全体を、攻撃者にとって敵対的なものとして設計し始めることが極めて重要です」と記している。

著者について