複数のソフトウェア脆弱性を悪用してシステムデータを盗み、クラウドベースのセキュリティプラットフォームに保存するキャンペーンがサイバーセキュリティ研究者によって発見されました。
調査員は、脅威アクターがElastic Cloudのセキュリティ情報イベント管理(SIEM)プラットフォームのフリートライアルインスタンスを使用して、数十の組織にまたがる侵害されたシステムからデータを収集・分析していたことを発見しました。
この活動はHuntressの研究者によって発見されました。彼らはSolarWinds Web Help Deskを含む広く使用されているエンタープライズソフトウェアの脆弱性を悪用する攻撃者を監視していました。
従来のコマンド・アンド・コントロール(C2)インフラストラクチャを使用する代わりに、攻撃者は被害者データを攻撃者が制御するElastic Cloudインスタンスに直接流出させ、正当なセキュリティ監視ツールを盗まれた情報のリポジトリに効果的に変えていました。
データハブおよびVPNインフラストラクチャとしてのElasticトライアル
調査によると、攻撃者は侵害されたシステム上に詳細なホスト情報を収集するエンコードされたPowerShellコマンドをデプロイしました。スクリプトはオペレーティングシステムの詳細、ハードウェア仕様、Active Directoryデータ、およびインストールされたパッチ情報を収集してから、「systeminfo」という名前のElasticSearchインデックスに送信していました。
研究者は、この戦術により、防御的なセキュリティ監視のために設計されたSIEMツールを使用して、被害者のトリアージと対象の優先順位付けが可能になったと述べました。
Elastic Cloudのデプロイメントは2026年1月28日に作成され、数日間アクティブなままでした。テレメトリーは、オペレーターがKibanaインターフェースを通じて環境と繰り返し相互作用し、受信した被害者データを調査しながら数百のアクションをログしていたことを示していました。
サイバーセキュリティ脅威インテリジェンスの詳細を読む:AI駆動インサイダーリスク、「重大なビジネス脅威」に レポートが警告
さらなる分析により、トライアルアカウントはquieresmail.comドメインにリンクされた使い捨てメールアドレスを使用して登録されていたことが明らかになりました。調査員は、アドレス形式がロシア登録の一時メールネットワークfirstmail.ltdに関連していると考えており、これは数百の使い捨てドメインを操作しています。
追加の証拠は、攻撃者がメールアドレス登録とCloudflare workerページでツールをホスティングするために使用されるサブドメインの両方を含む、インフラストラクチャ全体にわたってランダムな8文字の識別子を再利用していることを示唆していました。
SIEMインスタンスへの管理ログインは、SAFING VPNプライバシーネットワークトンネルからの発信元と考えられるIPアドレスにさかのぼることができました。
数百のシステムが影響を受けた
攻撃者のElastic環境から回収されたデータは、キャンペーンが34のActive Directoryドメイン全体で少なくとも216のホストに影響を与えたことを示していました。侵害されたマシンの大多数はサーバーであり、最も一般的にはWindows Server 2019または2022を実行していました。
被害者は以下を含む多くのセクターに出現しました:
-
政府機関
-
大学および教育機関
-
金融サービス企業
-
製造業および自動車企業
-
ITサービスプロバイダーおよび小売業者
一部のホスト名は、攻撃者がMicrosoft SharePointを含む他のエンタープライズプラットフォームの脆弱性も悪用していたことを示唆していました。
研究者はElasticと法執行機関と協力して、影響を受けた組織に通知し、インフラストラクチャを調査しました。キャンペーンで使用されたクラウドインスタンスはその後オフラインになりました。
「我々は、発見されたデータ内に含まれていると考えられる組織に対してアウトリーチと被害者通知を実行し、Elasticと協力してこの脅威アクターのインフラをさらに調査し、取り除くための協力的な努力を行いました」とHuntressはブログで述べました。
翻訳元: https://www.infosecurity-magazine.com/news/elastic-cloud-siem-manage-stolen/
