出典: Marc Muench / Alamy Stock Photo経由
新しい脅威アクターが、ソーシャルエンジニアリング手法、正規クラウドインフラの悪用、カスタムマルウェアを組み合わせて、新しい攻撃チェーンを作成しているようです。
Google Threat Intelligence Group (GTIG)とMandiantは4月23日、UNC6692として追跡されている脅威アクターの活動を詳述するブログ投稿を公開しました。研究者たちは脅威アクターをそれ以前に確立されたアイデンティティまたは場所に帰属させず(「新たに追跡された脅威グループ」と呼ぶのみ)、持続的なソーシャルエンジニアリングとカスタムモジュラーマルウェアの両方を活用する多段階の侵入キャンペーンについて説明しました。
この攻撃には、正規クラウドインフラの悪用も含まれており、AWS S3バケットの形式になっています。
Googleのスポークスマンは、観察された攻撃者の戦術、技術、および手順(TTPs)に基づいて、研究者たちがUNC6692は金銭的動機があると疑っていることをDark Readingに伝えています。「彼らの活動はアクセスの獲得と、さらなるアクションのための認証情報の盗難に焦点を当てているようです」とブログの著者たちは付け加えました。
Dark Readingは攻撃者の発信地について尋ねましたが、AWSインフラを利用しているため、Googleは可能な帰属を指し示す証拠を取得できませんでした。Dark Readingは追加情報についてAmazonに連絡しました。
UNC6692の攻撃チェーン
12月下旬に、UNC6692は標的のインボックスをメールメッセージであふれさせてから、Microsoft Teamsを通じて連絡を取るキャンペーンを実施し、問題を修正するために割り当てられたヘルプデスク担当者になりすましました。攻撃者はTeamsメッセージを通じてフィッシングリンクを提供し、標的にメールスパムを修正・防止するためのローカルパッチをインストールするリンクをクリックするよう促しました。
標的がリンクをクリックしてHTMLページを開くと、「最終的に攻撃者が管理するAWS S3バケットから、同じ名前を共有する名前変更されたAutoHotKeyバイナリとAutoHotkeyスクリプトをダウンロードしました。」
「AutoHotkeyバイナリが現在のディレクトリ内のスクリプトファイルと同じ名前を持つ場合、AutoHotkeyは追加のコマンドライン引数なしでスクリプトを自動的に実行します」とブログ投稿は述べています。「AutoHotKeyの実行の証拠は、ダウンロード直後に記録され、初期偵察コマンドと、SNOWBELT(Chromiumブラウザの悪意あるエクステンション。Chrome Webストアを通じて配布されていない)のインストールをもたらしました。」
ユーザーのコンピュータにインストールされたSnowbeltエクステンションを通じて、UNC6692はPythonトンネラーSnowglaze、Pythonバインドシェルsnowbasin(リモートコード実行用の永続的なバックドア)、AutoHotkeyスクリプト、および「ポータブルPython実行可能ファイルと必要なライブラリを含むZIPアーカイブ」をダウンロードしました。
初期アクセスを獲得すると、攻撃者はPythonスクリプトを使用してローカルネットワークをスキャンしてポート135、445、および3389をスキャンし、ローカル管理者アカウントを列挙しました。その後、ローカル管理者アカウントを使用して、被害者のシステムからバックアップサーバーへのSnowglaze経由のリモートデスクトッププロトコル(RDP)セッションを開始しました。
バックアップサーバーへのアクセスを取得すると、脅威アクターはローカル管理者アカウントを使用してシステムのLSASS Microsoft Windowsローカルセキュリティオーソリティサブシステムサービス(LSASS)プロセスメモリを抽出します。LSASSはセキュリティポリシーを実行するために使用され、ターゲットシステムにアクセスしたすべてのアカウントのユーザー名、パスワード、およびハッシュを含みます。UNC6692はその後、LimeWire経由でプロセスメモリを抽出してから、検出を恐れずに認証情報を抽出するための攻撃的なセキュリティツールを使用しました。
最後に、UNC6692はパス・ザ・ハッシュ技術を使用してネットワークのドメインコントローラーに横方向に移動し、脅威アクターが関心のあるデータをさらにステージング・抽出するための準備をしました。
Googleのブログ投稿には、侵害の指標(IOC)とYARAルールが含まれていました。
UNC6692: ディフェンダーの重要ポイント
UNC6692の攻撃は、ソーシャルエンジニアリング、技術的回避、および多面的なマルウェア戦略の混合を示しています。Googleは、S3バケット形式の「ペイロード配信・流出、およびコマンドアンドコントロール(C2)インフラのための正規クラウドサービスの体系的な悪用」を強調しました。
Googleによると、この悪用により、攻撃者は従来のネットワーク評判フィルターをバイパスして、正規クラウドトラフィックに混在することができます。
「ディフェンダーは現在、プロセス監視を超えて、ブラウザアクティビティと不正なクラウドトラフィックの明確な可視性を獲得する必要があります」と著者たちは述べました。「脅威アクターがこれらのモジュール化されたクロスプラットフォーム方法論を継続して専門化するにつれて、ブラウザ、ローカルPython環境、およびクラウド出口ポイント全体で異なるイベントを相互に関連付ける能力が早期検出に不可欠になります。」
翻訳元: https://www.darkreading.com/cloud-security/unc6692-social-engineering-malware-cloud-abuse
