脅威アナリストは、テクノロジー、通信、エンターテインメント、教育、eコマース分野にわたり、日本の組織を主に標的とする高度なサイバー侵入キャンペーンについて警告しています。
このキャンペーンを発見したCisco Talosによると、攻撃者はWindows上のPHP-CGI実装に存在するリモートコード実行(RCE)の欠陥である CVE-2024-4577を悪用し、初期侵入の足掛かりを得ました。
アクセスを獲得すると、攻撃者はPowerShellスクリプトを実行してCobalt StrikeのリバースHTTPシェルコードを展開し、永続的なリモートアクセスを確保しました。侵害後の活動には、権限昇格、認証情報の窃取、そして公開されているCobalt Strikeキット「TaoWu」のプラグインを用いたラテラルムーブメントが含まれていました。
攻撃の主要段階
攻撃者は、公開されているPythonのエクスプロイトスクリプトPHP-CGI_CVE-2024-4577_RCE.pyを利用して脆弱性の有無をテストしました。成功した場合、被害者のマシンにPowerShellコマンドを注入し、コマンド&コントロール(C2)サーバーからのペイロードのダウンロードを開始しました。
攻撃の主要段階は次のとおりです:
- 権限昇格 — JuicyPotato、RottenPotato、SweetPotatoの各エクスプロイトを使用
- 永続化メカニズム — レジストリ改変、スケジュールタスク、システムプロセス作成を介して実施
- 検知回避 — wevtutilコマンドでWindowsイベントログを消去
- ネットワーク偵察 — fscan.exeやSeatbelt.exeなどのツールを使用
- 認証情報の窃取 — MimikatzでNTLMハッシュおよび平文パスワードをダンプ
新たに台頭する権限昇格手法について詳しく読む: Ubuntuのneedrestartで5件の権限昇格の欠陥が発見
攻撃者はLadon.exeを利用してユーザーアカウント制御(UAC)を回避し、ペイロードを秘匿的に実行しました。また、SharpTask.exe、SharpHide.exe、SharpStay.exeを用いてレジストリキーを操作し、永続的なサービスを確立しました。
ラテラルムーブメントでは、SharpGPOAbuse.exeを用いてグループポリシーオブジェクト(GPO)を悪用し、サブネットをスキャンして開放ポートを探索し、侵害されたネットワーク全体で悪意あるスクリプトを実行しました。
クラウドベースの攻撃者フレームワークの悪用
攻撃者はAlibaba Cloud上でホストされたコンテナを活用し、事前設定済みのインストーラースクリプトを展開して、各種オフェンシブセキュリティツールのダウンロードを容易にしました。これらのツールの中には、クロスサイトスクリプティング(XSS)とブラウザ攻撃向けに設計されたJavaScript製ウェブシェルであるBlue-Lotusも含まれています。
さらに、フックしたWebブラウザを介してコマンド実行を可能にするブラウザ攻撃フレームワークBeEFも使用しました。
攻撃者の武器庫にある別のツールとして、複数プラットフォームにわたるペイロード実行をサポートするモジュール型の制御フレームワークViper C2があります。
一部の戦術は、You Dun(Dark Cloud Shield)ハッカーグループによる過去に文書化された攻撃と一致するものの、決定的な帰属は行われていません。アナリストは、Cobalt Strikeの使用、権限昇格手法、認証情報収集戦略に類似点があると指摘しました。
緩和策
組織は、同様の攻撃から防御するために次の手順を講じるべきです:
- CVE-2024-4577を修正するため、システムに直ちにパッチを適用する
- グループポリシーを使用してPowerShellの実行を制限する
- 不正なレジストリ変更がないかログを監視する
- Cobalt Strikeの活動を検知するため、エンドポイント検知・対応(EDR)ソリューションを導入する
この攻撃の発見は、脅威アクターが初期侵入のために公開アプリケーションを悪用する傾向が強まっていることを改めて示しています。組織は、進化する攻撃者の戦術に対して警戒を怠ってはなりません。
翻訳元: https://www.infosecurity-magazine.com/news/attackers-japan-cobalt-strike/
