政府機関、IGO、NGO を標的とした高度なスピアフィッシング攻撃 アラート(AA21-148A)

アラート(AA21-148A)

Alert (AA21-148A)

Sophisticated Spearphishing Campaign Targets Government Organizations, IGOs, and NGOs

us-cert.cisa.gov

概要

Cybersecurity and Infrastructure Security Agency (CISA) と Federal Bureau of Investigation (FBI) は、政府機関、政府間組織 (IGO)、および非政府組織 (NGO) を標的にしたスピアフィッシング 攻撃への対処に取り組んでいます。 巧妙なサイバー攻撃者は、正規の電子メール マーケティング ソフトウェア会社である Constant Contact の侵害されたエンド ユーザー アカウントを利用して、米国に本拠を置く政府組織になりすまし、悪意のある URL へのリンクを配布しました。[1] 注: CISA と FBI は、レポートで議論されている活動を APT29 (Nobelium、The Dukes、および Cozy Bear としても知られている) [2,3] に起因するオープンソースの報告を認めています。 この時点ですべての脅威アクターがそれに起因しています。 CISA と FBI は、新しい情報が利用可能になると、この共同サイバーセキュリティ アドバイザリを更新します。

この共同サイバーセキュリティ アドバイザリには、この攻撃に関連する戦術、技術、手順 (TTP) とマルウェアに関する情報が含まれています。マルウェアの詳細については、マルウェア分析レポート MAR-10339794-1.v1: Cobalt Strike Beacon を参照してください。

CISA と FBI は、政府および国際問題の組織、およびそのような組織に関連する個人に対し、意識を高め、このアドバイザリの緩和セクションにある推奨事項を実行するように要請します。

侵入の痕跡 (IOC) のダウンロード可能なリストについては、 AA21-148A.stix および MAR-10339794-1.v1.stix を参照してください。

このレポートの PDF バージョンについては、ここをクリックしてください。

技術的な詳細

インシデント レポート、マルウェア収集、および信頼できるサードパーティのレポートに基づいて、CISA と FBI は、洗練されたスピアフィッシング攻撃への対処に取り組んでいます。 サイバー攻撃者は、正規のメール マーケティング ソフトウェア会社である Constant Contact の侵害されたエンド ユーザー アカウントを利用して、約 350 の政府機関、IGO、NGO の 7,000 以上のアカウントにフィッシング メールを送信しました。 攻撃者は、米国政府機関から発信されたように見えるなりすましメールを送信しました。 電子メールには、悪意ある URL  [T1566.002T1204.001]にリダイレクトされる正規のConstant Contact リンクが含まれており、そこから悪質な ISO ファイルが被害者のマシンに保存されました。

ISO ファイルには、(1)カスタム Cobalt Strike Beacon バージョン 4 インプラントであるDocuments.dll [ T1055.001 ]という名前の悪意のあるダイナミック リンク ライブラリ (DLL) 、(2) Cobalt Strike Beacon ローダーを実行する悪意のあるショートカット ファイルが含まれていました。 [ T1105 ]、および (3) 「2020 年米国連邦選挙に対する外国の脅威」というタイトルの PDF、ファイル名は「ICA-declass.pdf」 (図 1 を参照)。注: おとりファイルは、https://www.intelligence.gov/index.php/ic-on-the-record-database/results/1046-foreign-threats-to-the-2020-us-federal-elections-intelligence-community-assessment.で入手可能な大統領令 13848 セクション 1(a) に従って機密解除されたインテリジェンス コミュニティ評価のコピーのようです。

図 1: おとり PDF: ICA-declass.pdf

Cobalt Strikeは、レッド チームの作戦を実施するために使用される商用の侵入テスト ツールです。[ 4 ] キーストローク ロガー、ファイル インジェクション機能、ネットワーク サービス スキャナーなど、サイバー攻撃者の悪用努力を補完する多数のツールが含まれています。Cobalt Strike Beacon は、攻撃者が制御するインフラストラクチャにコールバックし、侵害されたシステム [ TA0011 ] で実行する追加のコマンドをチェックする悪意のあるインプラントです。

この Cobalt Strike Beacon インプラントの構成ファイルには、通信プロトコル、インプラントの透かし、および次のハードコードされたコマンド アンド コントロール (C2) ドメインが含まれていました。

  • dataplane.theyardservice[.]com/jquery-3.3.1.min.woff2
  • cdn.theyardservice[.]com/jquery-3.3.1.min.woff2
  • static.theyardservice[.]com/jquery-3.3.1.min.woff2
  • worldhomeoutlet[.]com/jquery-3.3.1.min.woff2

構成ファイルは、キー0x2eと 16 ビット バイト スワップを使用した XOR を介してエンコードされました。

ISO ファイルおよび IOC を含む Cobalt Strike Beacon インプラントの詳細については、Malware Analysis Report MAR-10339794-1.v1: Cobalt Strike Beacon を参照してください。

軽減策

CISA と FBI は、CI の所有者とオペレーターに次の緩和策を適用するように求めています。

  • すべてのアカウントに多要素認証 (MFA) を実装します。特権アカウントとリモート アクセス システムは重要ですが、SaaS ソリューション全体を完全にカバーすることも重要です。(他のすべてのアカウントと同様に) 企業のコミュニケーション プラットフォームで MFA を有効にすると、これらのタイプの攻撃に対する重要な防御が提供され、多くの場合、それらを防ぐことができます。
  • すべてのソフトウェアを最新の状態に保ちます。最も効果的なサイバーセキュリティプログラムは、パッチが利用可能になるとすぐにすべてのソフトウェアをすばやく更新します。パッチがリリースされた直後に組織がすべてのソフトウェアを更新できない場合は、悪用されることがすでにわかっている CVE に対するパッチの実装を優先してください。
  • エンドポイントおよび検出応答(EDR)ツールを実装します。EDR を使用すると、エンドポイントのセキュリティ ステータスを高度に可視化でき、脅威アクターに対する効果的なツールとなります。
    注: Microsoft Defender for Endpoint または Microsoft 365 Defense を使用している組織は、エンタープライズの攻撃対象領域を強化する方法の詳細について、Microsoft: マルウェアの感染を防ぐために攻撃対象領域の削減ルールを使用するを参照する必要があります。
  • ホスト監視のための一元化されたログ管理を実装します。一元化されたログ アプリケーションにより、技術者は、ホストで実行されている新しいアプリケーション、デバイス間のアウトオブプレース通信、またはマシンでの説明のつかないログイン失敗など、ネットワーク環境での異常なアクティビティを監視できます。また、障害が発生した場合のアプリケーションまたは機器のトラブルシューティングにも役立ちます。CISA と FBI は、組織に次のことを推奨しています。
    • ローカル ホストから一元化されたログ管理サーバーにログを転送します。これは、多くの場合、セキュリティ情報およびイベント管理 (SIEM) ツールと呼ばれます。
    • ログが検索可能であることを確認します。コミュニケーションを検索、分析、視覚化する機能は、アナリストが問題を診断するのに役立ち、異常なアクティビティの検出につながる可能性があります。
    • ネットワークとホストの両方のセキュリティ デバイスからのログを関連付けます。複数のソースからのログを確認することで、組織は個々のイベントをより適切にトリアージし、組織全体への影響を判断できます。
    • 一元化されたログ管理ポリシーとローカル ログ管理ポリシーの両方を確認して、効率を最大化し、履歴データを保持します。組織は、重要なログを最低 30 日間保持する必要があります。
  • Cobalt Strike サーバーやその他のエクスプロイト後のツールからのインバウンド接続を検出および/またはブロックするシグネチャを展開します。
  • メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にすることで不正実行防止を実現。完全な Microsoft Office スイート アプリケーションの代わりに、Office Viewer ソフトウェアを使用して、電子メールで送信された Microsoft Office ファイルを開くことを検討してください。
  • 強力なアカウント管理ポリシーを使用して、ユーザーアカウントと管理者アカウントを構成および維持します。
    • 専用の管理ワークステーションで管理アカウントを使用します。
    • 管理者アカウントへのアクセスと使用を制限します。
    • 強力なパスワードを使用してください。強力なパスワードの詳細については、CISA ヒント: パスワードの選択と保護および米国国立標準技術研究所 (NIST) SP 800-63: デジタル ID ガイドライン: 認証とライフサイクル管理を参照してください。
    • 不要な場合は、デフォルトのアカウントを削除してください。必要なデフォルト アカウントのパスワードを変更します。
    • 未使用のアカウントをすべて無効にします。
  • ユーザーが悪意のある Web サイトにアクセスしたり、悪意のある添付ファイルを開いたりしないように、ユーザー トレーニング プログラムとスピア フィッシングのシミュレートされた攻撃を実装し、スピア フィッシング メールに対する適切なユーザーの対応を強化します。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター