セキュリティソリューションにおける構成ミスの影響

Phelix Oluoch · August 20, 2023

要旨

Scattered Spiderは、UNC3944、Scatter Swine、Muddled Libra、Roasted 0ktapusとも呼ばれ、2022年5月から活動している金銭的動機に基づく攻撃者グループです。Scattered Spiderは、主に電気通信およびビジネス・プロセス・アウトソーシング（BPO）組織を標的としていることが確認されています。しかし、最近の活動は、このグループが重要インフラ組織を含む他のセクターを標的にし始めたことを示しています。

このようにターゲットが変わったにもかかわらず、Scattered Spiderは、攻撃の一環として、TelegramやSMSを使ったフィッシング、SIMスワッピング、多要素認証疲労攻撃(MFA Fatigue)など、さまざまなソーシャルエンジニアリングの手口を活用し続けています。このグループは、しばしばIT担当者になりすまして認証情報を共有させたり、コンピュータへのリモートアクセスを許可させたりすることが確認されており、過去のフィッシング・キャンペーンや、悪意のあるカーネル・ドライバのデプロイメント（Windows Intel Ethernet診断ドライバの署名済みだが悪意のあるバージョンの使用など）にも関連しています。

このブログでは、Scattered Spider の手口、最近の出来事、脅威行為者によって活用されたツール、悪用された脆弱性、その影響について深く掘り下げています。さらに、MITRE ATT&CK Techniques/Sub-Techniquesとその緩和策についても説明します。最後に、検知、予防、および対応戦略を実施するために使用できる、既知の侵害の関連指標を示します。

最近の出来事

Scattered Spiderは通常、CVE-2015-2291などの脆弱性を悪用し、STONESTOPやPOORTRYなどのツールを利用してセキュリティ ソフトウェアを終了し、検出を回避します。1このグループは、Azure環境に対する深い理解を示し、攻撃に組み込みツールを活用しています。2初期アクセスを取得すると、Scattered Spiderは、Windows、Linux、Google Workspace、Azure Active Directory、Microsoft 365、AWSなどのさまざまな環境の偵察を行うだけでなく、横方向の移動を行ったり、追加ツールをダウンロードしてVPNやMFA登録データを流出させたりすることも確認されています。また、このグループは、AnyDesk、LogMeIn、ConnectWise Controlなどの正規のリモートアクセスツールを通じて永続性を確立していることも知られています。3

Scattered Spiderは、2022年半ばから2023年1月までに、高額の仮想通貨機関や個人にサービスを提供する大手アウトソーシング会社が標的となった6件以上の事件に関与していました。4

2022年12月、Scattered Spiderは通信およびBPO組織を対象としたキャンペーンを実施しました。5 2つの調査で明らかなように、このキャンペーンの目的は、携帯電話会社ネットワークへのアクセスを取得し、SIMスワッピング活動を実行することであると思われます。初期アクセスはさまざまで、電話やテキストメッセージを使用してIT担当者になりすましたソーシャルエンジニアリングや、被害者を資格情報収集サイトに誘導したり、市販のリモートモニタリングおよび管理 (RMM) ツールを実行するように誘導したりしました。キャンペーンは非常に執拗かつ大胆でした。攻撃者が封じ込められるか、業務が中断されると、すぐに通信およびBPOセクター内の他の組織をターゲットに移動しました。6

同月、マルウェアに署名するために認証署名を使用していることが発見されました。7 Microsoftは、ブロッキング保護機能を実装し、Windows ハードウェア開発者プログラムによって認定された悪意のあるドライバーの公開に使用されたアカウントを停止するために講じた措置を公表しました。この問題は、ランサムウェアのデプロイなど、不正なドライバーが悪用された後にMicrosoftに通知されたことから始まりました。8

2022年8月、Twilioは、Oktaを含む163のTwilio顧客に関連する情報への不正アクセスを特定しました。Scattered Spiderは、Twilioコンソールを介して、携帯電話番号と、ワンタイムパスワードを含む関連するSMSメッセージにアクセスできました。攻撃者が使用したフィッシングキットは、ユーザー名、パスワード、OTP要素を捕捉するように設計されており、テクノロジー企業、電気通信プロバイダー、暗号通貨に関連する組織や個人を標的としていました。9

ツール

Scattered Spiderは、POORTRYとSTONESTOPを使用してセキュリティソフトウェアを終了し、検出を回避します。10

• POORTRYは、Windowsシステム上の選択されたプロセス 、例えばエンドポイント上のEDR（Endpoint Detection and Response）を終了するために使用される悪意のあるドライバーです。11攻撃者は検出を回避するために、Microsoft Windows Hardware Compatibility Authenticode署名を使用してPOORTRY ドライバーに署名しました。12
• STONESTOPは、悪意のあるドライバーを作成してロードすることでプロセスを終了しようとするWindowsユーザーランドユーティリティです。13これは、POORTRYのローダー/インストーラーとしてだけでなく、ドライバーに実行するアクションを指示するオーケストレーターとしても機能します。14

2023年4月、ALPHV (BlackCat) ランサムウェアグループは、POORTRYの更新バージョンを使用して米国の決済大手NCRを侵害し、そのAloha POSプラットフォームの停止につながりました。15、16

脆弱性の悪用

Scattered Spider は、Windows用インテルイーサネット診断ドライバー (iqvw64.sys) の脆弱性であるCVE-2015-2291を悪用することが知られています。これにより、細工された ( a) 0x80862013、(b) 0x8086200B、(c) 0x8086200F、または (d) 0x80862007 IOCTL呼び出しを介し て、ローカルユーザにサービス拒否を引き起こしたり、カーネル権限で任意のコードを実行させる可能性があります17 。Scattered SpiderはCVE-2015-2291を悪用し、Windows 用インテルイーサネット診断ドライバー (iqvw64.sys) に悪意のあるカーネルドライバーを展開しました。18

さらに、Scattered Spiderは、ForgeRock AMサーバーの欠陥であるCVE-2021-35464を悪用しました。ForgeRock AMサーバーの7.0より前のバージョンには、複数のページのjato.pageSessionパラメータにJava逆シリアル化の脆弱性があります。この悪用には認証は必要なく、細工された単一の/ccversion/*リクエストをサーバーに送信することでリモートコード実行をトリガーできます。この脆弱性は、Java 8以前のバージョンで見つかった Sun ONE Application Framework (JATO) の使用に起因して存在します。19 Scattered Spiderは、CVE-2021-35464を悪用してコードを実行し、AWSインスタンス上のApache Tomcatユーザーよりも権限を昇格させました。これは、侵害された AWSトークンを使用してインスタンスロールのアクセス許可をリクエストし、引き受けることによって実現されました。20

影響

Scattered Spiderは、機密データを窃取し、信頼できる組織インフラを利用して最終的な顧客に対する後続攻撃を行うことで知られています。21

Trellix製品の範囲

Trellixのエンドポイント、ネットワーク、メールセキュリティは、潜在的な脅威を確実に発見し、お客様に害が及ばないようにするため、IOCのチェックや行動分析を含むScattered Spiderの活動に対する多層的な検知戦略を提供しています。新しい脅威や進化する脅威の先を行くために、当社の製品は継続的に脅威インテリジェンスデータベースを監視し、更新しています。これには、Trellix Multi-Vector Virtual Execution Engine、新しいマルウェア対策コアエンジン、機械学習による振る舞い分類とAI相関エンジン、Trellix Dynamic Threat Intelligence (DTI) Cloudからのリアルタイムの脅威インテリジェンス、そして攻撃ライフサイクル全体にわたる防御が含まれ、お客様の組織をより安全に、よりレジリエントに保ちます。

Trellixの保護 

製品

署名

Endpoint Security (ENS)

LINUX/Agent.bj

FireEye Scanner

Trojan.Linux.Generic.289912

MITRE ATT&CK テクニック/サブテクニック

MITRE ATT&CK エンタープライズ

MITRE ATT&CK モバイル

緩和策

1. M1051: ソフトウェアの更新:
   社内のエンタープライズ エンドポイントおよびサーバーのパッチ管理を採用して、悪用リスクを軽減することでソフトウェアを定期的に更新する。22
2. M1017: ユーザートレーニング。
   スピアフィッシング、ソーシャルエンジニアリング、およびユーザーインタラクションを伴うその他の手法が成功するリスクを軽減するために、敵対者によるアクセスまたは操作の試みに注意するようにユーザーをトレーニングする。23
3. M1011: ユーザーガイダンス:
   ユーザーは、可能な場合、SIMカードの交換によって傍受されない形式の多要素認証を使用するように指示される必要がある。より安全な方法には、アプリケーションベースのワンタイムパスコード (Google Authenticator など)、ハードウェアトークン、生体認証などがある。さらに、ユーザーは、どのアプリケーションに通話ベースのアクセス許可を与えるかについて十分に注意することをお勧めする。さらに、ユーザはデフォルトのコール ハンドラを認識しないアプリケーションに変更してはならない。25
4. M1049: ウイルス対策/マルウェア対策
   ウイルス対策は、疑わしいファイルを自動的に隔離するために使用できる。26
5. M1040: エンドポイントでの動作防止
   ホスト侵入防止システム (HIPS) などのセキュリティ制御をエンドポイントに実装して、潜在的に悪意のあるファイル (ファイル署名が一致しないファイルなど) を特定して実行を防止する。27
6. M1045: コード署名 
   署名付きバイナリ28 を要求し、デジタル署名検証によりバイナリとアプリケーションの整合性を強制して、信頼できないコードの実行を防ぐ。29
7. M1038: 実行防止
8. 必要な一般的なオペレーティングシステムユーティリティのファイル名以外の属性によって、アプリケーション制御を介したプログラムの実行を制限するツールを使用する。30さらに、攻撃者がカーネルモードでコードを実行するために悪用する可能性がある既知の脆弱なドライバーの実行をブロックすることを検討する。監査モードでドライバーのブロック ルールを検証し、実稼働展開の前に安定性を確保する。31
9. M1021: Webベースのコンテンツの制限
   特定のWebサイトの使用の制限、ダウンロード/添付ファイルのブロック、JavaScriptのブロック、ブラウザ拡張機能の制限など32
10. M1022: ファイルとディレクトリのアクセス許可を制限する。
    ファイルシステムのアクセス制御を使用して、C:\Windows\System32 などのフォルダーを保護する。33
11. M1042: 機能またはプログラムを無効化または削除する
    敵対者による悪用を防ぐために、不要で脆弱性のあるソフトウェアへのアクセスを削除または拒否する。34
12. M1048: アプリケーションの分離とサンドボックス化
13. サンドボックスを使用することで、攻撃者が未発見またはパッチが適用されていない脆弱性を悪用して作戦を進めることを困難にする。他のタイプの仮想化やアプリケーションのマイクロセグメンテーションも、ある種の悪用の影響を軽減する可能性がある。これらのシステムには、さらなる悪用や弱点のリスクが依然として存在する可能性がある。35
14. M1031: ネットワーク侵入防御
    侵入検出シグネチャを使用して、ネットワーク境界でトラフィックをブロックする。36
15. M1032: 多要素認証
    悪用中に使用される動作を探すセキュリティアプリケーションを使用すると、一部の悪用動作を軽減できる。制御フローの整合性チェックは、ソフトウェアエクスプロイトの発生を潜在的に特定して阻止するもう1つの方法である。37
16. M1050: エクスプロイト保護
    侵入検知シグネチャを使用して、ネットワーク境界でトラフィックをブロックする。38
17. M1019: 脅威インテリジェンスプログラム
    堅牢なサイバー脅威インテリジェンス機能を開発し、特定の組織に対してソフトウェアエクスプロイトやゼロデイを使用する可能性のある脅威の種類とレベルを特定する。39
18. M1026: 特権アカウント管理
    ユーザーおよびユーザーグループがトークンを作成できないように権限を制限する。この設定は、ローカルシステムアカウントに対してのみ定義する必要がある。GPO: コンピューターの構成 > [ポリシー] > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権利の割り当て: トークンオブジェクトを作成する。40また、GPOを介してローカルおよびネットワーク サービスのみにプロセスレベルトークンを作成できるユーザーを定義する。 [コンピューターの構成] > [ポリシー] > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権利の割り当て: プロセスレベルトークンを置き換える。管理者は標準ユーザーとしてログインする必要がある、組み込みのアクセストークン操作コマンドrunasを使用して管理者権限でツールを実行する必要がある。41
19. M1018: ユーザーアカウント管理
    ユーザーとアカウントを必要最小限の権限に制限する。この手法を最大限に活用するには、敵対者がローカルシステム上で管理者レベルのアクセス権を持っている必要がある。42
20. 18. M1047:
    PowerSploitフレームワークなどの監査ツールキットには、権限の昇格に使用される可能性のある、スケジュールされたタスクの権限の弱点がないかシステムを調査するために使用できるPowerUpモジュールが含まれている。43
21. M1028: オペレーティングシステム構成スケジュール
    されたタスクの設定を構成して、タスクをSYSTEMとして実行するのではなく、認証されたアカウントのコンテキストで強制的に実行する。関連付けられたレジストリ キーは、 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SubmitControlにある。この設定は、GPOから構成: [コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [セキュリティオプション]: ドメインコントローラー: サーバーオペレーターがタスクをスケジュールできるようにし、無効に設定する。44
22. M1035: ネットワーク経由のリソースへのアクセスを制限する
    ファイル共有へのアクセス、システムへのリモートアクセス、不要なサービスを防止する。アクセスを制限するメカニズムには、ネットワークコンセントレーター、RDPゲートウェイなどの使用が含まれる場合がある。45
23. M1030: Network Segmentation
    Architect は、重要なシステム、機能、またはリソースを分離するためにネットワークのセクションを作成する。物理的および論理的セグメンテーションを使用して、機密性の高いシステムや情報へのアクセスを防ぐ。DMZを使用して、内部ネットワークから公開すべきではないインターネットに接続されたサービスを含める。個別の Virtual Private Cloud (VPC) インスタンスを構成して、重要なクラウドシステムを分離する。46
24. M1033: ソフトウェアのインストールを制限する
    ユーザーまたはグループが未承認のソフトウェアをインストールするのをブロックする。47
25. M1016: 脆弱性スキャン
    脆弱性スキャンは、悪用される可能性のあるソフトウェアの脆弱性を見つけて修復するために使用される。48
26. M0810: 帯域外通信チャネル
    通信障害やデータ整合性攻撃時の通信要件をサポートする代替方法を用意する。49
27. M1057: データ損失防止
    データ損失防止 (DLP) 戦略を使用して、機密データを分類し、個人を特定できる情報 (PII) を示すデータ形式を特定し、機密データの漏洩を制限する。50

IOC

IPv4

IPv6

CIDR

SHA256

参考文献

¹https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/
²https://www.bleepingcomputer.com/news/security/hackers-use-azure-serial-console-for-stealthy-access-to-vms/
³https://occamsec.com/scattered-spider-iocs/
⁴https://unit42.paloaltonetworks.com/muddled-libra/
⁵https://www.crowdstrike.com/blog/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies/
⁶https://www.crowdstrike.com/blog/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies/
⁷https://thehackernews.com/2022/12/ransomware-attackers-use-microsoft.html
⁸https://msrc.microsoft.com/update-guide/vulnerability/ADV220005
⁹https://sec.okta.com/scatterswine
https://www.bleepingcomputer.com/news/security/malicious-windows-kernel-drivers-used-in-blackcat-ransomware-attacks/
¹⁰https://www.mandiant.com/resources/blog/hunting-attestation-signed-malware
¹¹https://www.bleepingcomputer.com/news/microsoft/microsoft-signed-malicious-windows-drivers-used-in-ransomware-attacks/
¹²https://www.mandiant.com/resources/blog/hunting-attestation-signed-malware
¹³https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/
¹⁴https://securityaffairs.com/146536/malware/blackcat-ransomware-uses-kernel-driver.html
¹⁵https://status.aloha.ncr.com/incidents/cnl38krr6n6b
¹⁶https://nvd.nist.gov/vuln/detail/CVE-2015-2291
¹⁷https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/
¹⁸https://nvd.nist.gov/vuln/detail/CVE-2021-35464
¹⁹https://www.sisainfosec.com/threat-a-licious/scattered-spider-a-sophisticated-threat-actor-that-can-reverse-defense-mitigation/#:~:text=Scattered%20Spider%2C%20a%20financially%20motivated,sites%2C%20and%20employing%20MFA%20fatigue.
²⁰https://unit42.paloaltonetworks.com/muddled-libra/
²¹https://attack.mitre.org/mitigations/M1051/
²²https://attack.mitre.org/mitigations/M1017/
²³https://cyber-kill-chain.ch/mitigations/M1011/
²⁴https://attack.mitre.org/mitigations/M1011/
²⁵https://attack.mitre.org/mitigations/M1049/
²⁶https://attack.mitre.org/mitigations/M1040/
²⁷https://attack.mitre.org/mitigations/M1045/
²⁸https://attack.mitre.org/mitigations/M0945/
²⁹https://attack.mitre.org/mitigations/M1038/
³¹https://attack.mitre.org/mitigations/M1038/
³²https://attack.mitre.org/mitigations/M1021/
³³https://attack.mitre.org/mitigations/M1022/
³⁴https://attack.mitre.org/mitigations/M1042/
³⁵https://attack.mitre.org/mitigations/M1048/
³⁶https://attack.mitre.org/mitigations/M1031/
³⁷https://attack.mitre.org/mitigations/M1032/
³⁸https://attack.mitre.org/mitigations/M1050/
³⁹https://attack.mitre.org/mitigations/M1019/
⁴⁰https://attack.mitre.org/techniques/T1134/
⁴¹https://attack.mitre.org/mitigations/M1026/
⁴²https://attack.mitre.org/mitigations/M1018/
⁴³https://attack.mitre.org/mitigations/M1047/
⁴⁴https://attack.mitre.org/mitigations/M1028/
⁴⁵https://attack.mitre.org/mitigations/M1035/
⁴⁶https://attack.mitre.org/mitigations/M1030/
⁴⁷https://attack.mitre.org/mitigations/M1033/
⁴⁸https://attack.mitre.org/mitigations/M1016/
⁴⁹https://attack.mitre.org/mitigations/M0810/
⁵⁰https://attack.mitre.org/mitigations/M1057/

※本ページの内容は2023年8月17日（US時間）更新の以下のTrellix Storiesの内容です。
原文： Scattered Spider: The Modus Operandi
著者： Phelix Oluoch