2024 年 01 月 31 日
2023 年 11 〜 12 月の脅威動向と代表的な攻撃(前編)
2023 年 11〜12 月の脅威動向を見るために、記事末尾で 11〜12 月の代表的なインシデント・攻撃等を羅列しています。もちろんこれらは代表的なものであり、その他にも多くのインシデントが発生しています。
今回は 11〜12 月に発生した中でも
- イランのハッカーがイスラエルのテクノロジー企業にマルウェア攻撃を開始
- ロシアが背後に居る Sandworm がウクライナに物理的な攻撃を仕掛ける
の2つを見てみたいと思います。
後編 ~ ロシアが背後に居る Sandworm がウクライナに物理的な攻撃を仕掛ける ~ はこちら
1. イランのハッカー「IMPERIAL KITTEN」がイスラエルのテクノロジー企業にマルウェア攻撃を開始
CrowdStrike 社が 2023 年 10 月に発生した運輸、物流、テクノロジー等の組織を標的としたサイバー攻撃を調査した結果、この活動をイランが背後にいる「IMPERIAL KITTEN」と結びつけています。
以下で、CrowdStrike 社の調査・またその他 OSINT により得られた情報を簡単にまとめます。
1-1. エグゼクティブ サマリー
| 項目 | 内容 |
|---|---|
| Who(誰が) | イランが背後に居ると言われている IMPERIAL KITTEN(別名 Palmerworm、Temp.Overboard、Circuit Panda、Radio Panda) |
| When(いつ) | 2010 年ごろから長期に渡って活動を行っている |
| Where(どこで) | 主に台湾や日本・香港等をターゲットとして活動している |
| What(何を) | 重要な文書を盗むスパイ行為 |
| How(どのように) | ネットワーク機器の脆弱性などを突いて侵入。Cisco ルーターのファームウェアを不正なものに書き換えてバックドアを設置。そこを足がかりにスパイ活動を行う |
| 回避策 | ブートローダーとファームウェアの不正なダウンロードと再起動がないかネットワークデバイスを監視する。また SSH を含むルーター宛ての異常なトラフィックも監視を行う |
1-2. Who(誰が)
イランが背後に居ると言われている IMPERIAL KITTEN(別名 TA456、CURIUM、Crimson Sandstorm、Tortoiseshell)と呼ばれる脅威アクターになります。
(※ Internet 上では IMPERIAL KITTEN と Charming Kitten を同一視するレポートも有りますが、以下では theRecord の記事 を参考にし、2つは別グループとして扱います)。
IMPERIAL KITTEN はイランと結びついた脅威アクターであり、イランの戦略的情報活動に関して少なくとも 2017 年から活動していると思われます。防衛、テクノロジー、 電気通信、海事、エネルギー、コンサルティングおよび専門サービスなどの業界をターゲットにしてきました。
<参考情報>
- CrowdStrike: 「IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations」
- theRecord: 「Iranian Imperial Kitten hackers targeted Israeli organizations in October」
1-3. When(いつ)
今回問題となった、運輸・物流・テクノロジー企業への攻撃は 2022 年〜2023 年だが、IMPERIAL KITTEN 自体は少なくとも 2017 年から活動していると思われます。
1-4. Where(どこで)
イスラエル国内と思われますが、把握はされていません。
1-5. What(何を)
主に政府関連の業者や民営化機関、家電製品やコンピュータメーカー、医療関係、金融系等から重要な文書を盗むスパイ行為を目的として活動している様です。
1-6. Why(なぜ)
イスラエルの海事、運輸、技術分野の組織を標的としていることから、政治的な意図を持ってスパイ活動を行っていると考えられます。
1-7. How(どのように)
TTP 説明
以下では、CROWDSTRIKE ブログに記載されている、CROWDSTRIKE 社による調査の結果を抜粋して説明します。
初期アクセス
IMPERIAL KITTEN の初期アクセスベクトルは、以下の様なものから構成されています。
- 一般に公開されている 1-day エクスプロイトの使用
- 盗まれている認証情報を使用して VPN アプライアンスにアクセス
- SQL インジェクション
- nmap などの一般に入手可能なスキャンツールの使用
- 悪意のあるドキュメントを配信するためにフィッシングの使用
フィッシング
IMPERIAL KITTEN のフィッシング活動では、悪意のある Microsoft Excel のドキュメントが使用されています。サンプルは公開されていませんが、CrowdStrike Intelligence が入手した情報によると、下記のハッシュのマクロ付き Excel ファイルが使用されていた様です。
(SHA256: b588058e831d3a8a6c5983b30fc8d8aa5a711b5dfe9a7e816fe0307567073aed)
被害者がファイルを開いてマクロを有効にすると、システムの %temp% ディレクトリに
- runable.bat
- tool.bat
- cln.tmp
- Python のコピー
が抽出されます。バッチ ファイルは、レジストリの Run キーである StandardPS2Key を介して永続性を確保します。その後、20 秒間隔でメインとなる Python の下記ハッシュのペイロード
(SHA256: cc7120942edde86e480a961fceff66783e71958684ad1307ffbe0e97070fd4fd)
を実行します。
Python ペイロードは、ハードコーディングされた IP アドレスに TCP6443 ポートで接続する、単純なリバース シェルです。シェルは事前定義されたチャレンジ GUID を用いて C2 に接続します。
Lateral Movement(水平移動)
IMPERIAL KITTEN は PAExec (PSExec ライクな OSS ツール ) と NetScan を用いて水平移動し、資格情報収集のために ProcDump を使用して LSASS プロセスメモリをダンプしていると思われます。最終的に IMPERIAL KITTEN は、データ漏洩のためにカスタムマルウェアや (MeshAgent3 などの )OSS ツールを展開することも有りますが、これについては確実な情報源では無いため信頼度が低い情報になります。
敵対的ツール
IMPERIAL KITTEN の手口では、複数のツールを活用している様です。
- C2 に e-mail を使用しているもの
- IMAPLoader
DLL として配布されているマルウェアファミリー - StandardKeyboard
- IMAPLoader
- C2 に Discord を使用しているもの
- Remote Access Tool (RAT)
を使用します。
MITRE ATT&CK テクニック
以下に MITRE ATT&CK の表を示します。
| Tactic | Technique | 観測 |
|---|---|---|
| 偵察 | T1590.005 - 被害者のネットワーク情報の収集 : IP アドレス | IMAPLoader は、 Web サービス経由で取得した被害者のパブリック IP アドレスをビーコンします。 |
| 資源開発 | T1584.006 - インフラストラクチャの侵害 : Web サービス | IMPERIAL KITTEN SWC はほとんどが侵害された Web サイトに基づいています。 |
| 初期アクセス | T1189 - Drive-by 侵害 | IMPERIAL KITTEN は SWC を通じてマルウェアを配布します。 |
| 実行 | T1059.003 - コマンドおよびスクリプト インタプリタ : Windows コマンド シェル | IMAPLoader は cmd.exe スクリプトを介してシステム情報を収集します。 |
| T1059.005 - コマンドおよびスクリプト インタプリタ : Visual Basic | IMPERIAL KITTEN は、Excel ドキュメント内の悪意のある Visual Basic スクリプトを介して Python シェルをインストールします。 | |
| T1059.006 - コマンドおよびスクリプト インタプリタ : Python | 悪意のある Excel ドキュメントが Python ベースのバックコネクト シェルをドロップします。 | |
| 持続性 | T1037.005 - ブートまたはログオン初期化スクリプト : スタートアップ項目 | IMAPLoader は レジストリの Run キーを通じて存続します。 |
| 防御回避 | T1055 - プロセスインジェクション | IMAPLoader は AppDomainManager インジェクション経由で実行されます。 |
| T1140 - ファイルまたは情報の難読化解除 / デコード | IMAPLoader と SUGARRUSH は 整数配列を介して C2 アドレスを難読化します。 | |
| 探索 | T1518.001 - ソフトウェア検出 : セキュリティ ソフトウェア検出 | IMAPLoader は インストールされているウイルス対策ソフトウェアを列挙します。 |
| 収集 | T1005 - ローカル システムからのデータ | IMAPLoader は ローカル システム構成とユーザー名を C2 にビーコンします。 |
| C&C | T1071.003 - アプリケーション層プロトコル : Mail プロトコル | IMAPLoader, StandardKeyboard, SUGARRUSH は C2 に電子メールを利用します。 |
| T1095 - 非アプリケーション層プロトコル | Python ベースのバックコネクト シェルは、通信に生のソケットに依存します。 | |
| 盗み出し | T1041 - C2 チャネルを介した漏洩 | このレポート内のすべてのマルウェアは、C2 プロトコルを介して直接データを漏洩します。 |
IoC
IoC は CrowdStrike の「IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations」に載っています(分量が多いので、本記事では割愛させていただきます)。
<参考情報>
1-8. 参考情報
- CrowdStrike: 「IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations」
- theRecord:「 Iranian Imperial Kitten hackers targeted Israeli organizations in October」
この記事の著者
OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅
本記事に関連するリンク
