出典:Ivan Kmit(Alamy ストックフォト経由)
進行中のWeb-injectキャンペーンは、ランサムウェアアクターInterlockに属する強化されたリモートアクセス型トロイの木馬(RAT)を使用しています。
脅威インテリジェンス企業The DFIR Reportは本日、Interlock RATの新しい亜種に関する調査を発表しました。Interlockは昨年10月に初めて登場したランサムウェアグループであり、被害者のデータを暗号化し、身代金を支払わなければ漏洩を脅す「二重脅迫」戦術で知られています。このグループはこれまで、テキサス工科大学のラボックおよびエルパソの健康科学センターなど、幅広い組織を攻撃してきました昨秋。
Quorum Cyberは今春、InterlockのRATの2つの亜種について詳細を報告しました。同社はこれをNodeSnakeとして追跡しています。1つ目の亜種「A」は、より「典型的な」RATとされ、永続的なアクセス、偵察、コマンド&コントロール通信、二次ペイロードに重点が置かれていました。「B」亜種はより高度で、強化されたペイロード機能と適応型C2通信を備えていました。
The DFIR Reportが本日公開したバージョンはさらに強化されており、最近の大規模な脅威キャンペーンと関連しています。
InterlockはJavaScriptを廃止
最新のInterlock RATは、JavaScriptからPHPへの切り替えなど、複数の点で従来の亜種から大きく変化しています。The DFIR Reportの広報担当者はDark Readingに対し、「PHPバックドアは『簡単に見落とされやすく』、よりステルス性の高い足がかりを提供する」と語っています。
「この発見は、Interlockグループのツールの進化と運用の高度化が続いていることを浮き彫りにしています」とThe DFIR Reportは自社のリサーチブログで述べています。「Node.js版のInterlock RATはNode.jsの利用で知られていましたが、この亜種は一般的なWebスクリプト言語であるPHPを活用して、被害者ネットワークへのアクセスと維持を行っています。」
研究者たちは、このRATが「KongTuke」として追跡される大規模なWeb-inject脅威クラスターと関連していることを突き止めました。このキャンペーンでは、訪問者がHTMLに悪意のある1行スクリプトが挿入された改ざんサイトにアクセスします。訪問者は「自分自身を認証する」よう指示され、CAPTCHAをクリックし、実行コマンドを開いて、クリップボードから悪意のある指示を貼り付けるよう促されます。「実行コマンドに貼り付けると、PowerShellスクリプトが実行され、最終的にInterlock RATが展開されます」とThe DFIR Reportの研究者は説明しています。
Proofpointの脅威リサーチャーでインテリジェンス分析・戦略リーダーのSelena Larson氏は、KongTukeキャンペーンは新規に作成された偽サイトを使うのではなく、正規のWebサイトを悪用して訪問者を標的にしているとDark Readingに語っています。
エンドユーザーがコマンドを実行すると、Interlock RATは直ちに被害端末の自動偵察を開始します。
「一連のPowerShellコマンドを使用して、包括的なシステムプロファイルをJSONデータとして収集・流出させます。収集される情報には、詳細なシステム仕様(systeminfo)、すべての実行中プロセスと関連サービスのリスト(tasklist)、実行中のWindowsサービス(Get-Service)、マウントされている全ドライブ(Get-PSDrive)、ARPテーブルを利用したローカルネットワークの近隣情報(Get-NetNeighbor)が含まれます」と調査には記載されています。「マルウェアは自身の権限レベルも確認し、USER、ADMIN、SYSTEMのいずれで実行されているかを判断することで、脅威アクターが侵害の状況を即座に把握できるようにしています。」
脅威アクターはその後、堅牢なコマンド&コントロール(C2)インフラを構築し、RDPを利用して被害者環境内で手動操作による横展開を行い、永続化を確立します。C2には、正規のCloudFlare Tunnelingサービスが悪用されており、これは攻撃者の間でますます一般的な手法となっています。
KongTuke(別名LandUpdate 808)は5月からInterlock RATを利用しており、新しいPHP亜種は6月に登場しました。また、このWeb-injectキャンペーンはFileFix攻撃亜種への移行も観測されています。
サイバー攻撃者はRATの網を広く張る
被害者の傾向について、The DFIR Reportの広報担当者はDark Readingにメールで、標的は選択的ではなく機会主義的であるようだと述べています。
「米国内のさまざまな業界で複数の被害者を確認しています。初期アクセスの経路は主にソーシャルエンジニアリングに依存しており、ユーザーを騙してInterlock RATを実行させます。そのペイロード自体は特定の標的向けにカスタマイズされているわけではなく、むしろ広範囲に網を張る形です」と広報担当者は述べています。「この機会主義モデルにより、攻撃者は広く網を張り、データやシステムの価値やアクセス性に応じて選択的に攻撃を仕掛けることができます。」
防御側への推奨事項として、DFIR Reportの広報担当者は、組織や個人はフィッシング対策の意識向上(特にClickFix型の誘導に注意)、可能な限りWin + Rキー(実行ダイアログを開く)をブロックまたは制限し、組織全体で最小権限・多要素認証を徹底することを推奨しています。また、RDPは認可されたユーザーのみに制限すべきです。
DFIR Reportの調査(Proofpointとの共同発表)には、侵害の指標も含まれています。