コンテンツにスキップするには Enter キーを押してください

初期アクセスブローカー、自らゼロデイをパッチして縄張りを確保

投稿日 2025年7月3日

刑務所のセキュリティフェンスにある有刺鉄線

出典:Fahroni(Shutterstockより)

パッチ管理に関する興味深い展開として、中国系とみられる初期アクセスブローカーが、未修正の脆弱性を悪用して標的ネットワークに侵入し、その後自ら脆弱性にパッチを適用して、他の脅威アクターを締め出していることが判明しました。

フランスの国家サイバーセキュリティ機関(ANSSI)の研究者は、昨年9月に同国の組織に対する攻撃でこの手法が使われているのを観測し、キャンペーンは現在も継続中であると考えています。攻撃では「Houken」と呼ばれる一連の戦術、ツール、インフラが使われており、ANSSIはこれがMandiantによってUNC5174として追跡されている初期アクセスブローカーと同一の侵入セットであるとみています。

初期アクセスのためのゼロデイ攻撃

ANSSIが分析した各攻撃では、攻撃者はIvanti Connect Secureの3つの脆弱性(CVE-2024-8190、CVE-2024-8963、CVE-2024-9380)を悪用して被害者ネットワークへの初期アクセスを獲得していました。侵入後は、迅速に認証情報を取得し、永続化を確立し、最初に侵入を許したシステムにパッチを適用していました。これらの脆弱性はすべてゼロデイとして悪用されており、Ivantiが認知またはパッチを提供する前に攻撃が行われていました。

ANSSIは、脅威アクターの主な動機は、侵害したネットワークへのアクセスを後に他の犯罪組織に販売することだと評価しています。「Houkenは、初期アクセスブローカーによって運用されていると考えられる侵入セットです」とフランスのCERTは、この活動に関する技術分析で述べています。「その運用者の主な動機は、認証情報の収集や永続化メカニズムの展開を通じて初期アクセスを獲得することです。」

ただし、場合によっては、ANSSIは脅威アクターが侵害したネットワーク上でさらなる攻撃活動、例えば横移動や追加の永続化メカニズムの展開を行っているのを観測したと述べています。

Mandiantは、UNC5174について、中国国家安全省(MSS)の請負業者である可能性が高く、F5のBIG-IPやConnectWiseのScreenConnectの脆弱性を通じて、米国、カナダ、その他の地域の数百の組織に侵入してきたと説明しています。被害者には、米国の防衛請負業者、英国の政府機関、アジアの複数の組織など、中国MSSが関心を持つと考えられる組織が含まれています。

Mandiantが観測したF5機器への攻撃でも、脅威アクターは初期アクセス獲得後に自ら脆弱性をパッチしようと試みていました。

縄張り荒らし防止の戦術

Sonatypeの主任セキュリティ研究者Garrett Calpouzos氏は、自己パッチは、すでに侵害したネットワークに他の攻撃者が入り込むのを防ぎ、かつ検知されずにとどまるために、より高度な脅威グループが用いる戦術だと述べています。「一部の脅威グループは、特に高価値システムを標的とする場合や、永続的な存在を維持したい場合、悪用した脆弱性に対して独自のパッチや回避策を開発します」とCalpouzos氏はDark Readingへのコメントで述べています。

このパッチ適用のレベルは、極端な高度さを必要とするものではなく、他の脅威グループとの重複を防ぎ、より長く目立たずにとどまるのに十分な技術力があればよい場合が多いです。「より高度な攻撃者は、脆弱性を悪用した後に独自のカスタム修正を開発します」とCalpouzos氏は述べています。「攻撃者が作成するパッチは通常最小限で、侵入口を塞ぎ、他のアクターが同じ脆弱性を悪用できないようにするだけです。」

ANSSIは、Houken侵入セットの運用者を「リソースの両義的な使用を特徴とする、中程度に高度な脅威アクター」と評価しています。

このグループは、複数のゼロデイ脆弱性、高度なルートキット、専用サーバーを活用した一方で、複数のオープンソースツールや、NordVPNやExpressVPNのような商用VPN、住宅用IPアドレスも攻撃インフラに利用しています。「一方で、ANSSIは被害者環境内で騒がしく初歩的な行動や汎用的な攻撃ツールの展開を観測しており、これはツール開発に割けるリソースが限られていることを示唆しています」とANSSIは述べています。「他方で、ゼロデイ脆弱性の研究やルートキットの開発は容易なことではなく、脅威アクターが相当なリソースにアクセスできる可能性を示しています。」

ANSSIが観測したHoukenの攻撃は、フランス国内の金融サービス、メディア、運輸、通信、政府など複数の分野の組織を標的としていました。しかし、このグループの被害者には、特に東南アジアのタイ、ベトナム、インドネシア、香港、マカオなど、幅広い国の組織が含まれています。

翻訳元: https://www.darkreading.com/cyber-risk/initial-access-broker-self-patches-zero-days

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です