米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA▼)は2020年9月下旬、ある政府機関のネットワークが不正侵入されて情報を盗まれた恐れがあると明らかにするとともに、攻撃手法の詳細をまとめたリポートを公表した▼(図1)。
どの政府機関がどの程度の被害を出したかは伏せているものの、CISAがここまで詳細なリポートを公表するのは珍しい。特定の機関を狙った攻撃だったものの、近年よく見られる典型的な攻撃手法が幾つも使われた。一般の企業や組織にも参考になると考え、異例の公表に踏み切ったと思われる。
正規ユーザーになりすます
CISAのリポートによると、攻撃は次のような手順を踏んだという(図2)。(1)正規のアカウントを使ってネットワークに侵入、(2)Windowsコマンドを使ってネットワーク構成を調査、(3)侵入経路(SSH▼トンネル)を確立、(4)多段階のマルウエアを実行、(5)コンピューターに保存されている情報を圧縮ファイルにして窃取。
攻撃者は、Microsoft 365▼アカウントとドメイン管理者アカウントの資格情報(パスワード)をそもそも複数所有していたという。CISAは、攻撃者がこれらの資格情報をどのようにして取得したのか特定できなかった。
ただ、米パルスセキュアのVPN▼製品の脆弱性▼を悪用して取得した可能性が高いとしている。多くの政府機関でこの脆弱性を突いた攻撃が確認されているためだ。
「自給自足」の攻撃がはやり
その後攻撃者は、所有している資格情報を使ってRDP▼で政府機関のネットワークに侵入。pingやipconfig、netstatといった一般的なWindowsコマンドを使ってネットワークやホストを調査した。
このように、侵入したネットワークやホストにあるツールを悪用するサイバー攻撃を「Living Off The Land(LOTL)攻撃」と呼ぶ。「自給自足型攻撃」や「環境寄生型攻撃」などとも呼ばれる。正規のツールを利用するため、攻撃の一環であることを見抜きにくい。
ネットワーク構成を把握した攻撃者は、政府機関のネットワークにあるファイルサーバーから攻撃者のサーバーにSSHで接続し、自由に侵入できるようにした。
また、自給自足では限界があるので、攻撃者はinetinfo.exeというファイル名の独自のマルウエアを持ち込んだ。このマルウエアの特徴は多段階のドロッパーであること。ドロッパーとは別のマルウエアを生成(ドロップ)するマルウエア。inetinfo.exeがドロップしたマルウエアがまた別のマルウエアをドロップするといった具合に多段階でドロップする(図3)。
inetinfo.exeはsystem.dllと363691858という名前のファイルと同名のinetinfo.exeをドロップする。inetinfo.exeやsystem.dllというファイルはWindowsにも含まれている。ユーザーに怪しまれないようにこれらの名前を付けたと思われる。
新しいinetinfo.exeは別のsystem.dllをドロップ。そのファイルによって復号された363691858はsystem.dllに挿入され、新たなマルウエアがドロップされる。このマルウエアはインターネットから別のマルウエアをダウンロードして実行する。
被害に遭った政府機関はマルウエア対策製品を当然導入している。だがinetinfo.exeを検知できなかった。CISAによると、攻撃者はマルウエア対策製品のライセンスキーやインストールガイドなどにアクセスして製品を特定。ファイル分析のためにマルウエア対策製品が一時的に使うディレクトリーにアクセスして検知を妨害したとしている。
そして攻撃者はPowerShellスクリプトなどを使ってネットワークに保存されているファイルを収集。2つのZIP圧縮ファイルを作成した。攻撃者が痕跡を消したために確認はできないが、これらのファイルが盗み出された可能性は高いとしている。
