出典:Daniren(Alamyストックフォト経由)
ロシアに関連する脅威アクターがカザフスタンの石油・ガス産業を攻撃しました。
このグループは少なくとも4月から活動しており、既知の高度持続的脅威(APT)には分類されていません。そのため、Seqrite Labsの研究者たちはこのグループを「Noisy Bear」と名付けました。Noisy Bearは中央アジアで活動しており、特に注目すべき事例としてカザフスタンの石油大手 ҚазМұнайГаз(英語表記「KazMunayGas」、略称KMG)に対するスパイ活動が挙げられます。
Noisy Bearの攻撃チェーン
KMGの財務部門の従業員が所有する侵害されたメールアドレスを使い、攻撃者は他の複数の従業員にフィッシングメールを送信しました。これらのメールは通常の社内業務を装っており、受信者には「最近の企業方針の変更に関連して」勤務スケジュール、インセンティブ制度、給与の確認を求める内容でした。意図的に平凡な件名とは裏腹に、メールには「緊急!」という件名が付けられ、受信後数日以内に内容に対応するよう促すなど、作為的な緊急性が強調されていました。
メールにはZIPファイルへのリンクが記載されており、その中にはダミー文書と「Salary Schedule.lnk」と偽装されたショートカット(LNK)ファイルが含まれていました。これを実行すると、バッチスクリプトがダウンロードされ、さらに攻撃者のPowerShellローダー「DownShell」が取得されます。
DownShellは2つの補完的なスクリプトで構成されています。最初のスクリプトはWindowsのAntimalware Scan Interface(AMSI)を回避するためのものです。
AMSIは、任意のアンチマルウェアプログラムが同一システム上の他のアプリケーションやサービスをスキャンし、悪意のあるコードを検出できるようにする仕組みです。たとえば、PowerShellでスクリプトが実行される場合や、Officeプログラムでファイルが実行される直前に、AMSIがその内容をMicrosoft Defenderやサードパーティのウイルス対策プログラムに渡し、脅威の有無を確認します。
これを回避して悪意あるローダーを実行するため、Noisy Bearは既知のバイパストリックを利用しました。特別な権限や高度なコードを必要とせず、PowerShell内の設定を切り替えることで、AMSIが初期化に失敗したとプログラムに認識させました。
AMSIが「壊れた」状態となったことで、DownShellの第2段階スクリプト(実際のローダー)が自由に動作できるようになりました。このスクリプトの主な手口はCreateRemoteThreadインジェクションです。簡単に言えば、通常のWindowsプロセス(ファイルエクスプローラー)を乗っ取り、新たな隠れたタスクを作成して、その正規プロセスの保護下で悪意あるコードを実行させました。このコードは攻撃者のためのリバースシェルを確立します。
国際的な攻撃か、単なるペンテストか?
Quick Heal TechnologiesのSeqrite Labsの専門家とのやり取りの中で、KMGは攻撃を否定し、これは単なるセキュリティ演習であると示唆しました。
Seqrite LabsはDark Readingへのメールで反論しています。「KMGはこれをエミュレーション演習の一環だと主張していますが、シミュレーション目的のインプラントが公的なサンドボックスに出回ることは稀です。通常、複数の秘密保持契約(NDA)の下で実施され、エミュレーションエンジニアのリソースを保護するためです。誘導メールは従業員を標的とし、最終的なインプラントは隠密なリモートシェルを提供しており、情報収集や長期的なアクセスを目的とした活動と一致しています。」
研究者たちは他のフォレンジック証拠も挙げています。たとえば、Noisy Bearがインフラ維持のために、数々の著名な実際のサイバー犯罪活動と関連する、制裁対象のロシアのバレットプルーフホスティングプロバイダーAeza Groupを利用していたことが判明しています。また、「カザフスタンの石油・ガス分野以外でも、中央アジアの他の攻撃でインフラやツールの重複が見られる」と報告しています。
この脅威活動は地政学的な意味合いを持ちます。KMGは国営の石油・ガス会社であり、カザフスタン最大の石油会社であるだけでなく、同国最大の企業でもあります。顧客の多くはヨーロッパにおり、プーチン大統領による欧州連合(EU)やウクライナへの安全保障上の脅威の中で、一部の国はロシア産ガスからの脱却を目指しています。
「もしロシア関連と確認されれば、この活動は中央アジア、特に重要なエネルギーインフラにおける情報優位性と影響力の維持を目的とし、スパイ活動やレバレッジのための持続的なアクセス確保に戦略的な焦点を当てていることを示しています」とSeqrite Labsは述べています。
Dark ReadingはKMGにコメントを求めており、会社の代表者から回答があれば本記事を更新します。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-kazakhstan-largest-oil-company