北朝鮮ハッカーら、Windows RIDハイジャッキング手法で管理者アカウントを作成 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮ハッカーら、Windows RIDハイジャッキング手法で管理者アカウントを作成

Threat Report

Silobreaker-CyberAlert

北朝鮮ハッカーら、Windows RIDハイジャッキング手法で管理者アカウントを作成

佐々山 Tacos

佐々山 Tacos

2025.01.27

1月24〜27日:サイバーセキュリティ関連ニュース

北朝鮮ハッカーら、Windows RIDハイジャッキング手法で管理者アカウントを作成

BleepingComputer – January 24, 2025

北朝鮮の脅威アクターによる、RIDハイジャッキングの手法を用いた攻撃について、AhnLabのASECチームが報告。攻撃者はカスタムファイルおよびオープンソースツールを使用し、Windowsシステムを欺いて権限の低いアカウントを管理者アカウントと思い込ませていたという。

RIDハイジャッキングは、WindowsのSID(セキュリティ識別子)の一部であるRID(Relative Identifier / 相対識別子)を利用した攻撃手法。RIDは各アカウントに付与されたアクセス権限を示す値で、例えば「500」であれば管理者、「501」はGuestアカウント、「1000」ならば通常ユーザー、「512」はドメイン管理者グループとなっている。

RIDハイジャッキングは、権限の低いアカウントのRIDを管理者アカウントのRIDと同様のものへ改ざんすることで、このアカウントに高い権限を付与するというもの。その存在は遅くとも2018年から知られている。ただしこの攻撃を行うためにはSAMレジストリへアクセスする必要があるため、まずは標的システムへ侵入してSYSTEMアクセスを獲得することが求められる。SYSTEMといえばWindowsで最高レベルのアクセス権限ではあるものの、リモートアクセスが許可されない、GUIアプリの操作ができない、かなりノイジーで検出の恐れがある、システム再起動後はアクセスが失われるなどの弱点がある。このため獲得したSYSTEMアクセスではなく、一般ユーザーアカウントを新しく作成し、RIDハイジャッキングでその権限を昇格させてこれを使用するという戦術が採られるのだという。

今回ASECの研究者らが観測した攻撃は、Andarielという、北朝鮮のハッカーグループLazarusとの関連が指摘される脅威グループによって行われたものとみられる。Andarielはまず、ある脆弱性を悪用することによって標的システムへ潜入し、PsExecやJuicyPotatoといったツールを用いてSYSTEMアクセスを獲得。その後「net user」コマンドを使って権限の低いローカルユーザーを作成し、ユーザー名の末尾に「$」を付与することで、このアカウントはSAMレジストリからしか確認できないようになり、「net user」コマンドによる同ユーザーの特定が不可能に。その後カスタムツールおよびオープンソースツール「CreateHiddenAccount」を利用してSAMレジストリが改ざんされ、同アカウントの権限が昇格させられた。Andarielはさらに、改ざん後のレジストリ設定をエクスポートし、レジストリキーと新たに作成したアカウントを削除した後、これを保存済みのバックアップから再登録することによってシステムログに形跡を残さずにアカウントをりアクティベートさせようとするという。

RIDハイジャッキング攻撃を受けるリスクを緩和するため、システム管理者には LSA サブシステムを利用してログオン試行やパスワード変更のチェックを行うようにするほか、SAMレジストリへの不正アクセスやレジストリの変更を防止できるようにすることが求められる。また、PsExecやJuicyPotato、およびその他の類似ツールの実行を制限したり、Guestアカウントを無効化したり、低い権限しか持たないユーザーも含め既存の全アカウントを多要素認証で保護したりすることも推奨されるとのこと。

中国CERT、米国によるものとされる中国研究施設へのサイバー攻撃について報告

Securityexpress[.]info – January 24, 2025

中国国家コンピューターネットワーク緊急対応技術チーム(CNCERT)が、先端材料開発を専門とする同国の研究施設を狙ったサイバー攻撃に関するレポートを発表。その他の国々および組織へ同様のサイバー攻撃のリスクを伝え、サイバーセキュリティの分野における国際協力を強化することを目的とするこのレポートによれば、攻撃は米国の脅威アクターによって行われたものとみられており、緻密に計画され、かなり高度なテクニックを使って実行されたという。

CNCERTによると、攻撃者は2024年8月、標的となった施設の電子ファイルストレージシステムにおける脆弱性を悪用して初期アクセスを獲得し、管理者認証情報を窃取。その後マネージメントシステムに侵入してマルウェアを投下したという。また11月から12月の期間には、ターゲット施設のソフトウェアアップデート機能を通じて特別なトロイの木馬を配布し、276のワークステーションを感染させることに成功。ここから機密性の高いデータが体系的に抽出され、合計で5GB近い両のデータが盗まれたとされる。攻撃者の主な狙いは、この施設の先端研究・開発に関連する企業秘密や知的財産だったという。

CNCERTは、この攻撃は主として米国のビジネスアワーに重なる時間帯に実施され、ドイツおよびルーマニアを出どころとする匿名化されたIPアドレスが使用されていたと報告。攻撃者はまた、自らの活動を隠すため、オープンソースのツールや誰もが利用可能なツールを採用し、ハードドライブ上の静的ファイルの使用は避けていたという。CNCERTの専門家は、このアプローチに攻撃者の広範な技術的リソースおよびハイレベルな連携ぶりが反映されていると指摘している。

【無料配布中!】脅威アクターレポート

脅威アクターレポート:『Actor Profile : CyberVolk. group』

2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。

<レポートの主なトピック>

  • 要点
  • グループ概要
    ✔️攻撃声明
    ⚪︎DDoS攻撃声明
    ⚪︎サイバー恐喝
    ⚪︎その他日本の組織への攻撃声明
    ✔️他グループへの協力呼びかけ
    ⚪︎他の不法コミュニティでの悪評
    ✔️ランサムウェア等の宣伝
  • 評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ