BlackCatの新たな侵入ベクター:WinSCPをルアーに使ったマルバタイジングでCobalt Strikeを展開
Windows向けファイル送受信ソフト「WinSCP」の公式サイトに似せた偽Webページを使ってマルウェアを配布するマルバタイジング攻撃を、トレンドマイクロが発見。調査の結果、この攻撃で使われるTTPが、BlackCat (ALPHV)ランサムウェアへの感染に繋がる攻撃で使用されていたことが発覚したという。同社はまた、BlackCatのオペレーターによるCobalt Strike、AnyDesk、Terminatorといったツールの利用についても紹介している。
マルバタイジングによる初期アクセス獲得とCobalt Strikeの投下
トレンドマイクロによって観測された攻撃はまず、被害者がBingで「WinSCP Download」と検索したところから始まっていた。検索結果ページに表示された悪意あるWinSCPアプリの広告をクリックした被害者は、WinSCPの使い方に関するチュートリアルが記載されたWebページへと誘導され、さらにこのページから偽のWinSCPダウンロードページ(winsccp[.]com)へとリダイレクトされた。この偽ページ上にはダウンロードボタンがあり、これを被害者がクリックするとISOファイルがダウンロードされ、ISO内の2つのファイル(setup.exeとmsi.dll)の働きによりCobalt Strikeビーコンがダウンロードされたという。こうしてCobalt Strikeがシステムにロードされると、さらなるスクリプトの実行やラテラルムーブメント用ツールの呼び出し、そして深部への潜り込みが容易になる。
BlackCatのオペレーターが使用したその他のツール
今回の攻撃で使用されたCobalt Strike以外のツールとして挙げられたものには、以下が含まれる。
・AdFind:Active Directory環境の情報を収集・表示するためのオープンソースツールだが、悪意あるアクターによって不正に利用される場合がある。今回のケースでは、OS上の情報を入手するために使用された。
・ AccessChk64:Windowsのファイル、レジストリキー、サービス、プロセス、カーネルオブジェクトなどの有効なアクセス許可を表示するためのコマンドラインツール。今回の攻撃での用途は不明。
・PsExec、BitsAdmin、curl:さらなるツールのダウンロードや、ラテラルムーブメントに使用された。
・AnyDesk:正規のリモートデスクトップアプリケーションで、被害者環境内での持続性確保に使用された。
セキュリティ製品無効化ツール「Terminator」
トレンドマイクロは、BlackCatのオペレーターがEDRやアンチウイルス製品を無効化するためのツール「Terminator」を利用していたことにも着目している。BleepingComputerによると、Terminatorは「SpyBoy」と名乗る脅威アクターによってロシア語ハッキングフォーラム上で3,000ドルという高値で販売されているツールであり、BYOVD技術を用いて権限を昇格させ、セキュリティツールを無効化する性能を備えているのだという。
組織に推奨される対策は?
今回の攻撃は、偽のダウンロードページによって被害者を騙すというマルバタイジングおよびフィッシングの技術を用いたものだったことから、トレンドマイクロは従業員に対してフィッシングに関する教育を行うことを組織に推奨しているほか、以下の4点も自組織を守るためのセキュリティ対策として紹介されている。
・アクティビティのモニタリングおよびログ収集
・「通常のネットワークトラフィック」の定義(異常なトラフィックを特定しやすくするため)
・インシデントレスポンス計画およびコミュニケーションの動線の改善
・外部のセキュリティ専門家との連携
(情報源:トレンドマイクロ “Malvertising Used as Entry Vector for BlackCat, Actors Also Leverage SpyBoy Terminator”、BleepingComputer “BlackCat ransomware pushes Cobalt Strike via WinSCP search ads”)