Emotetの通信を日本・米国の複数の自動車メーカーやサプライヤーで観測

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

アナリスト：

Rory Morrissey

(Intelligence Architect @Machina Record)

Articles

Article.1

Emotetの通信を日本・米国の複数の自動車メーカーやサプライヤーで観測

Article.2

ロシアのハッカーらがネットワークアクセスのためにMFAプロトコルを悪用

Emotetの通信を日本・米国の複数の自動車メーカーやサプライヤーで観測

2021年12月から2022年3月までの間に観測

日本と北米にある複数の自動車製造関連企業と、Emotetの複数のC2サーバーとの間で、同様のネットワーク通信が行われていることをDragosの研究者らが確認しました。この動きは、2021年12月から2022年3月までの間に観測されたものの、それよりも前に始まっていた可能性があります。

分析対象はContiLeaksがリークしたIPアドレス

今回分析対象となったIPアドレスは、ContiLeaksがTwitterにリークしたものです。サーバーをコントロールしているのは、Contiランサムウェアのオペレーターではないかと考えられています。

関連記事：国内外における2021年のランサムウェア被害事例と企業が取るべき対策

ランサムウェアによる暗号化が始まった証拠はなし

初期アクセスの手法はまだ分かっておらず、ランサムウェアによる暗号化が始まったことを示す証拠はありません。観測された通信は、安定した足場（=アクセスのための拠点）と関連づけられることの多い通信と一致していました。初期アクセスの足場の中には、オフラインになった場合に備えてバックアップコントローラーを複数持っているものもあるようです。

情報源：

https://www.dragos.com/blog/industry-news/suspected-conti-ransomware-activity-in-the-auto-manufacturing-sector/?_hsmi=207245675&_hsenc=p2ANqtz-_e4rhXkgGRxePNvOcKrNnf1h0-Xvg1cSekf6y7RwJ0Ou9WKgdPJbrbpt1OqrCQmC1kqblR8Aghnn_USgwOjD4MwgBymw

アナリストのコメント

影響範囲

日本とアメリカの大手自動車会社とサプライヤー。

見解

EmotetのC2通信を研究者が観測した時期は、日本の自動車大手トヨタとサプライヤーの小島プレス工業で障害が発生した時期と重なります。

観測された脅威グループのContiは、アメリカの組織を主な標的としているものの、日本が糾弾し制裁を支援しているウクライナ紛争に関して、親ロシア的なスタンスを表明しています。これによって、Contiの視野に入る日本の標的はおそらく増えるでしょう。

緩和のための戦略

ランサムウェア脅威に対する組織の緩和戦略を強化するものとして、研究者らは次のことを提案しています。

✔️  サードパーティーが管理し外部に接するデバイスや、組織が管理しロギングが利用可能なデバイスに、ランサムウェア関連のIoCがないかを探すこと。

✔️   ランサムウェア攻撃者たちが使用する主なTTP（戦術・技術・手順）を注視すること。今回の動きでは、産業用制御システム（ICS）に関連してMITRE ATT&CK®に掲載されている技術「T0885: Command and Control – Commonly Used Port」が観察されました。

✔️  予防の方法によって有害な動きに気付けない恐れがある場合には、ネットワークトラフィック内のTTPを注視すること。たとえば、ファイアウォールやWebプロキシに関する、ソフトウェアの不適切な設定。また、80番ポート（HTTP）や443番ポート（HTTPS）のような一般的なポート上でのC2通信については、外に送られるデータや、異常なuser-agent、間隔を置いて繰り返される接続開始を分析することで、C2通信の可能性が浮上することがあります。

✔️  自社のネットワークアーキテクチャとセキュリティコントロールは別々に評価する。

✔️  定期的にリモートサーバーにファイルのバックアップを作る。

✔️  ITとOTに関しては、各ネットワークを別々の認証インフラを使って適切に分割する。

✔️ 最小の権限のみを付与し、ユーザーアクセスコントロールを利用する。

IoC

ネットワークアドレス

・82.202.192[.]66

・67.205.162[.]68

・188.241.120[.]42

・185.9.18[.]154

・178.128.83[.]165

・162.243.175[.]63

・159.65.1[.]71

・134.209.156[.]68

・159.89.230[.]105

・45.184.36[.]10

各インジケーターに関する詳しい説明は、上記の「情報源」内でご覧いただけます。

ロシアのハッカーらがネットワークアクセスのためにMFAプロトコルを悪用

FBIとCISAがアドバイザリを公開

米国連邦捜査局（FBI）と米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は共同アドバイザリを公開し、ロシアの国家支援型アクターがデフォルトの多要素認証（MFA）プロトコルと既知の脆弱性を使用してネットワークアクセスを行っていると警告しました。同アクターは、管理者権限を獲得するために脆弱性「PrintNightmare」も悪用しています。

2021年5月にNGOへのアクセスに成功

ハッカーらは、早くも2021年5月に、ブルートフォース攻撃によって入手された漏洩クレデンシャルを使用し、ある非政府組織へのアクセスを成功させていました。同ハッカーらはこの組織が使用するCisco製MFAソリューションDuoに新たなデバイスを登録し、認証要件を満たしネットワークへアクセスして、権限昇格を実行しました。

多要素認証を無効に

その後、攻撃者らはドメインコントローラーファイルを変更し、DuoのすべてのMFA要求をローカルホストにリダイレクトすることでMFAサービスを無効にしました。これにより攻撃者らは、非管理者ユーザーとして同組織の仮想専用ネットワークへの認証を得ることが可能になり、最終的には他のドメインアカウントのクレデンシャルを入手できるようになりました。

情報源：

https://www.cisa.gov/uscert/ncas/alerts/aa22-074a?_hsmi=206987930&_hsenc=p2ANqtz-894aj_f1KomyZCrwVttZweOHarrjfAFeR82WqHkR8i_l-j14T39ULzTnZwMxxs60FPhHVnXev0z87nDkNtKkKNozulQg

アナリストのコメント

影響範囲

不適切に設定された多要素認証プロトコルを使用している組織。

見解

アクターらはMFAプロトコルを悪用することができましたが、これは設定が不適切だったからに過ぎません。もし被害者組織が自身のMFAを「一定期間使用されていないデバイスにはMFAシステムへの再登録を許可しない」という設定にしていたら、この攻撃の影響は軽減されていたでしょう。

また、今回のアドバイザリにより、脅威アクターコミュニティが複数の攻撃手法を組み合わせて使用することが増えているという事実が浮き彫りになっています。今回のケースでは、脆弱なクレデンシャルを発見するためのブルートフォース攻撃と、設定に不備のあるプロトコルの悪用、そしてパッチ適用が可能な脆弱性の悪用の3つでした。

緩和のための戦略

✔️  すべてのユーザーに対し、例外なくMFAを強化しましょう。実施前に、「フェイルオープン」やデバイスの再登録という事態を防止するため、組織は設定ポリシーの見直しを行うべきです。

✔️  ログイン試行の失敗が繰り返された際の対応として、タイムアウト機能やロックアウト機能を実装しましょう。

✔️  Active DirectoryやMFAシステムなどに存在するアクティブでないアカウントが、例外なく無効になっていることを確認しましょう。

✔️  OS、アプリケーション、ITネットワークアセット上のファームウェアなどのソフトウェアを、迅速にアップデートしましょう。悪用されたことが分かっている脆弱性（特に、インターネットに接続された機器でのリモートコード実行や分散型サービス拒否を可能にするような重大で深刻度の高い脆弱性）に対し、優先的にパッチを適用してください。

✔️  パスワードでのログインを行うすべてのアカウント（例：サービスアカウント、管理者アカウント、ドメイン管理者アカウント）に対し、強力かつ固有のパスワードを使用するよう要求しましょう。パスワードが、複数のアカウント間で再利用されたり、敵対者がアクセスできる可能性のあるシステム上に保存されたりする事態があってはなりません。

✔️  疑わしい動きや、不正な/異常なログイン試行がないか、常にネットワークログを監視しましょう。

✔️  セキュリティが有効になっているアカウント/グループへのすべての変更に対してセキュリティアラートポリシーを実装し、疑わしいプロセス作成イベント（ntdsutil、rar、regeditなど）へのアラート通知を設定しましょう。

関連記事：ゼロトラストセキュリティとは？5つの構成要素と対策の具体例

IoC

プロセス：

✔️  Ping.exe

✔️  regedit.exe 

✔️  rar.exe 

✔️  ntdsutil.exe 

ネットワークアドレス：

✔️  45.32.137[.]94

✔️  191.96.121[.]162

✔️  173.239.198[.]46

✔️  157.230.81[.]39

アクターらは、ファイル「c:\windows\system32\drivers\etc\hosts」を変更し、以下のDuo MFAサーバーとの通信を阻害しました。

✔️  127.0.0.1 api-<redacted>.duosecurity.com 

さらに詳しい情報や、上記でご紹介した以外のベストプラクティスおよび緩和戦略の一覧に関しては、「情報源」の米CISAによる記事内でご覧いただけます。