原文のブログはこちらからご覧いただけます。
注:以下のレポートは編集されたもので、レポート全文はこれより長いものです。この攻撃の詳細について包括的に説明したレポートの完全版については、Blackberry の CTI オンデマンドサービスに関する情報をご確認ください。
原文のブログはこちらからご覧いただけます。
注:以下のレポートは編集されたもので、レポート全文はこれより長いものです。この攻撃の詳細について包括的に説明したレポートの完全版については、Blackberry の CTI オンデマンドサービスに関する情報をご確認ください。
BlackBerry は、Cuba ランサムウェア脅威グループによって使用されている新しいツールを発見し、報告しました。
Cuba ランサムウェアの活動は現在 4 年目に入っており、その勢いが衰える兆しはありません。2023 年の前半だけでも、Cuba ランサムウェアを背後で操るオペレーターは、多種多様な業界を狙って大きな注目を浴びた攻撃をいくつも遂行していました。
BlackBerry の Threat Research and Intelligence チームは、この脅威グループが 6 月に実行したキャンペーンについて調査しました。このキャンペーンによって、米国の重要なインフラストラクチャ部門の組織が攻撃されたほか、ラテンアメリカの IT インテグレータへも攻撃が及びました。ロシア系のグループと考えられるCuba 脅威グループは、この攻撃者に関連した過去のキャンペーンと重複する悪意あるツールのセットを展開していました。また、新しいツールも導入しており、それにはVeeam 脆弱性 CVE-2023-27532 のエクスプロイトの最初に確認された事例で利用されたものが含まれます。
BlackBerry は、全世界の組織のセキュリティとレジリエンスを支援するため、本レポートの公開前にこの情報を関係機関に非公開で共有しました。
このレポートでは、これらの最新の攻撃に関する Blackberry の調査結果を説明し、技術的な詳細を分析するとともに、Cuba 脅威グループが使用している戦術、技法、手順(TTP)の最新の発展状況について詳しく解説します。
戦術 |
技法 |
T1133、T1078.003 |
|
T1106、T1204.002、T1059.001、T1059.003、T1569.002、T1218.011 |
|
T1211、T1548.002、T1140、T1562.001、T1036.005 |
|
T1543.003、T1068 |
|
T1124、T1135、T1018、T1083、T1057、T1016.001 |
|
T1570、T1333 |
|
T1212 |
|
T1219、T1090.003、T1071.004、T1071.001、T1105 |
武器 |
EXE、DLL、LOLBins、PS、Metasploit、Cobalt Strike、エクスプロイト |
攻撃ベクトル |
資格情報の窃取、RDP |
ネットワークインフラストラクチャ |
TOR、IP、ポート - 5050、443 |
標的 |
米国を拠点とする重要なインフラストラクチャ企業、ラテンアメリカを拠点とする IT インテグレータ |
コンテキスト
6 月の初め、Cuba 脅威グループの継続的な監視を行う中で、Blackberry は米国を拠点とする組織に対する攻撃の証拠を発見し、これを調査することを決定しました。発見したのは一連の完全な TTP で、その多くが以前見つかった Cuba の攻撃と重複しており、広範囲の攻撃ツールセットを含んでいました。
その中には、BUGHATCH(カスタムのダウンローダー)、BURNTCIGAR(アンチマルウェアを無効にするマルウェア)、Metasploit、Cobalt Strike フレームワークが含まれていたほか、多数の環境寄生型バイナリ(LOLBINS:Living-off-the-Land Binaries)も使用されています。さらに、無料で入手できる概念実証(PoC)コードを使用するエクスプロイトもいくつか見つかりました。
Cuba ランサムウェアは、COLDDRAW ランサムウェアとも呼ばれ、2019 年に脅威環境に初めて登場して以降、数年かけて比較的小規模ながらも慎重に選択された被害者リストを構築してきました。すべての暗号化ファイルの先頭に配置された特徴的なマーカーにちなんで、Fidel ランサムウェアとも呼ばれています。このファイルマーカーは、ランサムウェアとそのデコーダーの両方に対して、ファイルが暗号化されていることを示すインジケータとして使用されます。
その名称や、リークサイトが掲げているキューバのナショナリスト風スタイルに反して、このランサムウェアにキューバ共和国とのつながりや協力関係がある可能性は低く、以前から Profero の研究者によってロシア語話者の脅威アクターとの関連が指摘されています。その根拠としては、研究者が解明した言語に関わる誤訳の詳細と、脅威アクター自身のリークサイトで発見されたロシア語のテキストを含む 404 Web ページが挙げられます。
さらに、このキャンペーンで使用されたコードの文字列分析により、Blackberry も Cuba ランサムウェアの背後にいる開発者がロシア語話者であることを示す情報を見つけました。この説をさらに強く裏付ける事実は、ロシア語に設定されたホスト、またはロシア語のキーボードレイアウトが使用されているホストでは、ランサムウェアの実行が自動的に終了することです。
多くのランサムウェアオペレーターと同じように、Cuba は二重脅迫アプローチを利用して被害者に支払いを「推奨」します。昨年の秋に、米国の法執行機関が発出した共同勧告によれば、2022 年 8 月現在で Cuba ランサムウェアグループは 101 件の侵害を引き起こしたと考えられており、うち米国内は 65 件、米国外は 36 件です。その時点で、同グループは 1 億 4,500 万米ドルの身代金支払いを要求し、6,000 万米ドルを受け取っています。
最近の 4 年間にわたり、Cuba は同じようなコア TTP のセットを年々少しずつ変化させながら使用しています。一般的な構成は、LOLBins(オペレーティングシステムの一部として含まれ、攻撃をサポートするために悪用できる実行可能ファイル)、エクスプロイト、コモディティマルウェアとカスタムマルウェア、Cobalt Strike や Metasploit などの一般的な正規の侵入テスト用フレームワークです。
また、2022 年のある時点で、同グループは Industrial Spy マーケットプレイスのプラットフォームをリークサイトとして利用しており、同マーケットプレイスのオペレーターと関係を築いたとみられます。その根拠は、両オペレーターのランサムウェアが類似していることです。
さらに注目すべき点として、Cuba 自身のリークサイトがここ数か月にわたり、断続的にオンラインになったりオフラインになったりしています。Blackberry が確認したところでは、新しい被害者が侵害を受けてリストに追加されたとされる時点で同サイトは必ずオンラインに戻っており、その後で再び姿を消しています。
攻撃を分析した結果、認証情報の再利用の仕組みが明らかになりました。標的になった組織で最初に見られる侵害の証拠は、リモートデスクトッププロトコル(RDP)を使用した管理者レベルのログインが正常に行われることです。無効なログインが事前に試行された形跡も、ブルートフォースや脆弱性の悪用などの手法が使用された形跡もなく、このログインは成功していました。つまり、攻撃者は攻撃に先立ち、ほかの何らかの不正手段を使用して有効な認証情報を入手していたと考えられます。
Cuba による過去の攻撃では、脆弱性や初期アクセスブローカー(IAB)を悪用してアクセス権を入手していました。
Cuba のツールキットは各種のカスタムパーツと既成のパーツで構成され、その多くは過去のキャンペーン中に使用されていたもので、以前に確認されたこのグループの TTP と一致しています。
最初のステージは、BUGHATCH の展開と実行から始まります。これは軽量のカスタムダウンローダーであり、Cuba ランサムウェアのメンバーによって開発されたと考えられます。これは、野放しの状態では同メンバーによって操作されているところのみが確認されているためです。BUGHATCH はコマンドアンドコントロール(C2)サーバーへの接続を確立し、攻撃者の選択したペイロードをダウンロードします(通常は、小さな PE ファイルまたは PowerShell スクリプト)。また、BUGHATCH はファイルやコマンドを実行でき、ペイロードの実行方法をオペレーターに選択させることもできます。
以前のキャンペーンでは、BUGHATCH は一般に PowerShell ドロッパーによって取得および展開されるか、PowerShell ベースのスクリプトによってメモリにロードされていました。調査対象としたキャンペーンは、4 つの別々の DLL を使用して「agent32/64.bin」BUGHATCH ペイロードをフェッチし、ロードします。
4 つの DLL はすべて Microsoft Foundation Class(MFC)ライブラリを使用し、侵害されたホスト上でさまざまな場所から起動します(それぞれの実行方法にはわずかな違いがありました)。この操作は、「rundll32.exe」ユーティリティと特定のコマンドを使用して、特定のエクスポートを呼び出すことによって実行されました。
Metasploit は、標的の環境内で最初の足がかりを得るために Cuba オペレーターによって使用されていました。具体的には、DLL 内に埋め込まれた dns_txt_query_exec ペイロードが足がかりになります。特定のエクスポートによって実行された後、ペイロードは続いてメモリ内でシェルコードを復号し、実行します。
シェルコードは DNS レコードに対して TXT クエリを実行した後、返されたペイロードを実行します。
IP アドレスまたはホストのリストからなる引数を受け入れた後、インターネット制御通知プロトコル(ICMP)パケットを使用して、これらのアドレスやホストがオンラインかどうかを検査するホスト列挙ツールです。このキャンペーンで確認されたバイナリは、2022 年初頭に発生した Cuba による別の侵害で研究者によって以前に報告されたものと完全に一致していました(ファイル名と SHA256)。
攻撃手順の一環として、数多くの防御回避手法が実行されました。エンドポイント防御の手動アンインストールの試行から、グループポリシーの変更や(最も顕著な特徴として)脆弱性のあるドライバの持ち込み(BYOVD:Bring Your Own Vulnerable Driver)手法の利用に至るまで、手段はさまざまです。
BYOVD は最近になってかなり大きな注目を集めていますが、このグループにとってはこの手法は使い慣れたものです。さまざまなベンダーによる以前の報告では、Mandiant によって BURNTCIGAR と命名されたツールの数種類の亜種が、Cuba ランサムウェアの展開より前にエンドポイントセキュリティ製品を終了させるために使用されていたことが明らかになりました。
BURNTCIGAR は、特定のプロセスをカーネルレベルで終了させるユーティリティです。この既知のマルウェアは、DeviceIoControl 機能を使用して、操作しようとしている脆弱性のあるドライバの文書化されていない I/O 制御ノード(IOCTL)コードを悪用します。たとえば aswArPot.sys、ApcHelper.sys、KApcHelper_x64.sys など、数種類のドライバがこのマルウェアと併用されています。
このキャンペーンでは、aswArPot.sys と KApcHelper_x64.sys の継続的な使用に加え、脆弱性のある Process Explorer ドライバ procexp152.sys の使用が確認されました。このドライバは、今年の初頭に Meduza Locker と LockBit によって悪用されていました。これらのサンプルは単純なバッチスクリプトによってロードされるほか、KApcHelper_x64.sys の場合は、自己ロード機能が内部に埋め込まれていました。
もう 1 つの違いは、マルウェア自体の内部にアップデートが施されていたことでした。以前のバージョンでは、強制終了する標的のプロセスのリストが平文でハードコーディングされていましたが、このキャンペーンで確認された亜種では、リストは CRC-64/ECMA-182 アルゴリズムを使用してハッシュ化されていました。デコード後のリストには、以前の Cuba キャンペーンと重複するプロセスが含まれています。また、Microsoft Foundation Class(MFC)ライブラリを利用するサンプルもいくつか確認しました(前述の BUGHATCH サンプルで見られたものと同様)。
実行方法にはもう 1 つの違いがありました。KApcHelper_x64.sys ドライバを利用する BURNTCIGAR サンプルの場合は、プロセスの「強制終了」リストを含むファイル proname.dbt が使用されていました。ホスト上のプロセスの列挙時に、このファイルを使用して比較対象のプロセスを読み込み、一致した場合はプロセスを強制終了させていました。
最終的な強制終了リストには、合計で 200 件を超える標的のプロセスが含まれていたことが確認され、その多くはアンチマルウェアのエンドポイントソリューションとツールです。
このキャンペーンでは 2 つのエクスプロイトが展開されていたことが判明しました。これは、以前見られたこのグループの TTP と一致します。違いは、Blackberry が認識している限り、脆弱性のあるプロセス CVE-2023-27532 を Cuba 脅威アクターが使用したのは今回が初めてであることです。
この脆弱性には、Microsoft の NetLogon プロトコル(MS-NRPC)が関係しています。攻撃者が管理アクセス権を取得するために MS-NRPC を使用して脆弱性のある接続を作成する場合に、この脆弱性を利用すれば Active Directory(AD)ドメインコントローラ(DC)に対する権限昇格が可能になります。
ログオンプロセスの初期化ベクトル(IV)が乱数ではなくすべてゼロに設定されることから「ZeroLogon」と呼ばれるこの脆弱性は、悪用されると、脅威アクターが脆弱性のあるドメインに侵入してドメインを制御できるようになる可能性があります。
今回のキャンペーンでこの脆弱性の悪用に使用されたバイナリは、2022 年から現在にかけて Cuba オペレーターによって複数の攻撃にすでに使用されたものと同じです。
この脆弱性は、正規の Veeam Backup & Replication ソフトウェアに影響を及ぼします。攻撃者はこの脆弱性を利用して、被害者のデバイスの構成ファイル内に保存されている認証情報を入手する可能性があります。
この脆弱性の悪用には、デフォルト TCP ポート 9401 で実行される Veeam バックアップサービスが使用されます。
この CVE が発見されたとき、数組の脅威アクターがこの CVE を悪用していました(2023 年 3 月の Fin7 グループなど)。
このエクスプロイトは、Veeam アプリケーション(Veeam.Backup.Service.exe)のコンポーネント上で公開された API にアクセスすることで動作します。この脆弱性は、バージョン 11a(ビルド11.0.1.1261 P20230227)およびバージョン 12(ビルド 12.0.0.1420 P20230223)より前の Veeam Backup & Replication ソフトウェアのバージョンすべてに存在します。
Cuba 脅威アクターが利用していたのは、いくつかの一般的な組み込みツールでした。たとえば、ping.exe を検知に使用し、cmd.exe を水平移動などのさまざまな目的に使用していました。
ドメインコントローラ(DC)の列挙のほかに、nltest ユーティリティと組み合わせて使用される場合には、/dclist スイッチを指定することで、標的とする企業のドメイン名を指定する際にドメインコントローラのリストが返されます。
ネットワーク管理ユーティリティ net.exe は、さまざまなホストの時刻の同期を表示するために主に使用され、PSexec は特権を昇格してネットワーク内の深部に軸足を移すために使用されます。
前述の LOLBins に加えて、netpingall.exe もあります。これは名前が示唆するように、ネットワーク内で追加のライブホストを発見するためにインターネット制御通知プロトコル(ICMP)を使用する列挙ツールです。興味深いことに、これは 2 年以上前に Hancitor キャンペーンでの使用が確認されたものと同じバイナリです。
Cobalt Strike Beacon もツールセットに含まれ、特権昇格と C2 通信のためにエクスプロイト後に展開されます。
このキャンペーンで確認された、BUGHATCH マルウェアの配信に関連した C2 インフラストラクチャは、過去の Cuba キャンペーンでは侵入の痕跡(IoC)と見られていたものです。
これら 3 つの IP すべての署名に使用されていた SSL 証明書は、ネットワークを移動する際に追加のインフラストラクチャへの署名に使用されたことが確認されていました。
Cuba オペレーターは、ダークウェブ上にある「.onion」Web ページを維持しています(TOR ネットワーク経由でアクセス可能)。このサイトはキューバのナショナリスト風スタイルを主なテーマとしており、キューバの元指導者フィデル・カストロと、キューバ革命の重要人物だったチェ・ゲバラの画像が、国旗とともに掲げられています。ゲバラの様式化された容貌は、反体制文化における反逆のシンボルとなっており、ポピュラーカルチャーにおいて世界的に通用する象徴です。
ドメイン名 |
最終検知日 |
hxxp://cuba-----------------REDACTED--------------------[.]onion. |
2023/08/09 |
表 1 :Cuba リークサイトの URL
リークサイトには被害者と思われる企業のリストも含まれており、併せて企業ロゴと Web サイトのアドレス、企業に関する基本情報、ファイルを「受信」した日付、リーク内容が示されています。提供されている窃取されたデータに関する大まかな説明も含まれます。また、データが無料なのか、支払いと引き換えにのみ入手可能なのかも示されており、これはデータの機密性/潜在的な価値と、被害を受けている組織のプロフィールによって決まります。
注目すべき点は、このサイトが最近数か月間にわたって散発的にオンラインになったりオフラインになったりしていることで、新しい被害者が侵害を受け、リストに追加されたと思われる時期と一致するように短期間だけオンラインに戻り、その後で再び姿を消しているようです。
このキャンペーンの標的は、米国の重要なインフラストラクチャ企業と、ラテンアメリカのシステムインテグレータでした。
ランサムウェアを利用するキャンペーンのそもそもの性質から、Cuba ランサムウェアの背後にいる脅威アクターの目的は金銭であると容易に断定できます。前に述べたように、ロシア語の設定やキーボードレイアウトが使用されているマシンでは実行が終了することなど、Profero の研究者によって指摘された言語とテキストに関する詳細に基づけば、ランサムウェアの背後にいる脅威アクターはロシア語話者である可能性が高いようです。Cuba グループの出身地を示すもう 1 つの重要な手がかりは、ランサムウェアが存在する期間全体にわたって、オペレーターが選択する被害者が西側(または西側同盟)に属する英語圏の民主主義国に偏っていたことです。
Blackberry の調査結果が示唆しているのは、Cuba 脅威グループが引き続き重要インフラなどの社会に不可欠な部門を標的としていくだろう、ということです。
Cuba ランサムウェアのオペレーターは、ネットワークインフラストラクチャを継続的に再利用し、TTP のコアセットをキャンペーンごとに微妙に変更しながら使用しており、簡単に入手可能なコンポーネントをたびたび取り入れ、機会があればツールセットをアップグレードしています。このアップグレードの一例は、重要な脆弱性のエクスプロイトの使用法が変更されていることです。以前は CVE-2020-1472/ Zerologon を悪用していましたが、今回は CVE-2023-27532/ Veeam を標的とした初めての例であると思われます。
また、BURNTCIGAR のコードベースにハッシュ生成機能が組み込まれたように、おそらく検出と分析の両方を妨害するメカニズムとして、脅威アクターはカスタムツールのいくつかに内部で変更を加えています。
アップデートはすべて、キャンペーン中にツールの実行を最適化することを目的としており、近々このグループの持続的な活動が確認されるでしょう。
ハッシュ(SHA-256) |
|
58ba30052d249805caae0107a0e2a5a3cb85f3000ba5479fafb7767e2a5a78f3 |
Agent32.bin BUGHATCH |
3a8b7c1fe9bd9451c0a51e4122605efc98e7e4e13ed117139a13e4749e211ed0 |
CVE-2020-1472 Netlogon エクスプロイト |
cf87a44c575d391df668123b05c207eef04b91e54300d1cbbec2f48f5209d4a4 |
CVE-2023-27532 Veeam エクスプロイト |
765d84ae85561bf5dbc1187da2b2cef91da9f222bcc6cf2c12cacd36e44bcffd |
Metasploit DNS ステージャ |
1c2d7f19f8c12e055e1ba8cdf5334e6cb5510847783fbe36121a35ad70f09eb3 |
BURNTCIGAR |
9b1b15a3aacb0e786a608726c3abfc94968915cedcbd239ddf903c4a54bfcf0c |
KApcHelper_x64.sys |
4b5229b3250c8c08b98cb710d6c056144271de099a57ae09f5d2097fc41bd4f1 |
aswarpot.sys |
075de997497262a9d105afeadaaefc6348b25ce0e0126505c24aa9396c251e85 |
procexp152.sys |
bd93d88cb70f1e33ff83de4d084bb2b247d0b2a9cec61ae45745f2da85ca82d2 |
netpingall.exe |
ご要望に応じて提供可能です。以下を参照してください。 |
ご要望に応じて提供可能です。以下を参照してください。 |
ご要望に応じて提供可能です。以下を参照してください。 |
ご要望に応じて提供可能です。以下を参照してください。 |