ロシアのスタッキングドールを組み立てる:UNC2452とAPT29を統合

Mandiant
Apr 27, 2022
2 min read
|   Last update Aug 19, 2022

Mandiantは、202012月に明らかとなったSolarWindsの侵害事件の背後にいる攻撃グループを「UNC2452」として追跡してきましたが、この「UNC2452」として追跡された活動が、国家の支援を背景とする攻撃グループ「APT29」であると評価するのに十分な証拠を収集しました。

この結論は、SolarWindsのサプライチェーン侵害は、ロシア対外情報庁(SVR)が支援するロシアを拠点とするスパイグループ「APT29」によるものである、という米国政府が以前に行ったアトリビューション表明と一致しています。この度のMandiantの評価は、Mandiant自身が収集した直接のデータに基づいており、UNC2452APT29に関する私たちのが持つ膨大かつ詳細な知識を比較・検討した結果です。

UNC2452 APT29 に統合されたことで、私たちの APT29 に関する知識は大きく広がり、それによりAPT29という攻撃グループが、高度な運用セキュリティ (OPSEC) を軸に情報収集を行い、非常に統制が取れ、高度な技術を持つ進化した攻撃者であることが明らかとなりました。本ブログ記事では、APT29 の動向に関する情報を共有します。これは、標的となり得る組織への注意を喚起するためのMandiantの取り組みの一環です。

進化する巧妙な手口

APT29は、極めて高度な能力を持つ攻撃グループであり、その活動や行動の戦術、技術、手順(TTP)を絶えず進化・改良し、活動を攪乱することで、デジタルフットプリントを制限し、検知を回避してきました。今回の統合は、APT29のサイバー攻撃の特徴を拡大し、同グループの豊富な資金力、長期にわたる活動、標的への接触時間、OPSEC、適応性、ステルス性を強調するものです。同グループは、新技術の出現に伴い、TTPを着実に進化させ、新たな手段を採用しています。

  • 攻撃活動のテンポの速さと規模:Mandiantは、少なくとも2014年からAPT29の活動を追跡してきました。そして、2020年のSolarWindsの侵害をきっかけに大きく世間に知られたにもかかわらず、このグループは2020年と2021年を通じて、異なるタイムゾーンの地域で同時に複数の大規模な侵害活動を迅速かつ高い頻度で続けています。2021年と2022年には、APT29が欧州、北米、アジアの外交機関を標的とした大規模なフィッシングキャンペーンを実施したことが確認されています。この活動の規模と範囲は、同グループが十分なリソースを有していることを示唆しています。
  • 幅広い攻撃対象APT29は、欧米の政府機関のほか、教育、通信、政府隣接組織、医療研究機関、テクノロジー企業や、IT・ビジネスサービスプロバイダーといった第三者アクセスを提供する組織など、さまざまな業界を標的にしています。
  • 被害の概要とデータ窃盗:APT29の攻撃の焦点は、一貫して電子メールのメールボックスへのアクセスを積極的に獲得・維持することに置かれてきました。最近では、クラウドベースのリソースやソースコードリポジトリも標的とし、ロシアの戦略的利益に関連するデータを狙い、攻撃計画を策定し、第三者へのアクセスをその先の標的となる組織への侵入経路として利用しています。
APT29 Victimology
図1: APT29の被害組織

Mandiantは、APT29の高度な技術が、さまざまな標的となる組織の環境や新しい技術に適応するために、次のように進化していることを確認しました。

  • 変化する侵入ベクター:2020年以降、APT29は、SolarWindsの侵害事件の例にも見られるように、顧客とサードパーティの信頼関係を悪用し、サプライチェーンを侵害しようとする動きを強めています。Mandiantは、APT29が被害組織への初期アクセスを得るために、盗んだ認証情報、Webサーバー侵害、パスワードスプレー、スピアフィッシングなど、さまざまな攻撃手法を活用することを観察しています。注目すべきは、2021年から現在に至るまで、APT29はそのTTPを若干変更し、スピアフィッシングキャンペーンを通じてCobalt Strike BEACONを展開することを確認していることです。これは、このツールが一般に入手可能で広く利用されていること、そして、それによってアトリビューションを撹乱するためであると考えられます。
Initial Infection Vectors used by APT29
図2: APT29が使用する初期侵入ベクター
  • OPSEC の強化:APT29 は、その高度な運用規律で知られており、すべての攻撃活動において強力な OPSEC 態勢を維持し続けています。APT29 は、セカンダリバックドア、水平展開の試み、データ盗難を保護するために、高度な OPSEC を実証しています。例えば、APT29は、最初の攻撃活動において、SunBurstバックドアを正規のSolarWindsコードの中に隠すために多大な労力を費やしました。さらに、Mandiantは以前、このグループが環境内の複数のアカウントを侵害しようとする一方で、各アカウントの使用を機能別に分け、1つを偵察に、他を水平展開に使用することを確認しました。これにより、侵害された1つのアカウントの攻撃活動を検知することで、侵入の全容が明らかになる可能性を低くすることができます。

    2018年以降、APT29は、正規のサービスや侵害されたインフラを利用したコマンド&コントロール(C2)インフラの運用セキュリティを一貫して強化するとともに、ドメインフロンティングの手法や、プロキシサービスやTORネットワークの利用など匿名化したインターネットアクセスに依存することで、その運用を強化しています。さらに、APT29 は、セキュリティ運用、インシデント対応、修復作業、ネットワーク検知メカニズムについて明確な理解を示し続けています。表 1 は、同グループが講じた追加の OPSEC 対策の例を示しています。
1APT29のネットワークおよびホストベースのOPSEC対策例

Network-based OPSEC

Host-based OPSEC

C2考察

  • C2に正規のサービスを使用
     
  • C2の呼び出し間隔を調整

ブレンドイン

  • ホスト名を被害組織の命名規則と一致させる
     
  • Microsoftのネイティブツールの活用

インフラストラクチャーのOPSECこちらのポストで詳述

  • 被害組織環境への認証に住宅用IPアドレス範囲を使用することで、被害組織の近くに「ラストマイル」インフラストラクチャをローカライズ
     
  • Azureのインフラを被害者側のインフラと同じ地域に地理的に配置
     
  • 被害組織の環境へのアクセスに、TORVPSVPNを組み合わせて使用
     
  • モバイルデバイスを経由してトラフィックをプロキシするIPアドレスプロキシプロバイダを使用し、トラフィックが国内のISPやデバイスから発信されているように偽装

インフラの分離

  • SUNBURSTコールバック・インフラを他の後続のマルウェア・ファミリーから分離し、後続の活動が発見された場合にもアクセスを維持し、このツールセットを保護
  • 被害者ごとに固有のC2サーバを設定し、個々のホストで使用するC2サーバを単一にすることで、C2の再利用を制限

正規であることの偽装

  • Microsoftの正規のDLLを、悪意のあるペイロードのDLLサイドローディングが可能になるよう改変
     
  • 悪意のあるスケジュールタスク、プロセス、およびショートカットファイルを、正規のタスク、バイナリ、およびドキュメントとして偽装
     
  • 正規のバイナリを同名の不正なファイルで置き換え、不正なバイナリの実行完了後に元のファイルを再インストール
     
  • 流出するデータのサイズを最小化し、暗号化された接続を使用してデータを流出

セキュリティコントロールの無効化

  • アンチウイルス機能およびシステムログ機能を検出し、無効化。悪意のある活動の完了後にこれらの機能を再有効化するケースも
  • Microsoft リモートデスクトップ経由でアクセスした被害組織のマシンの SysInternals Sysmon および Splunk Forwarders を無効化

痕跡の隠蔽

  • Windowsイベントログの消去
  • 偵察のためにパーシステンスを確立し、別のシステムに移動する前にパーシステンスを削除。その後パーシステンスが削除されたことを確認
  • ホスト上でのインタラクティブな操作の後、Microsoftの安全な削除ツール(SDELETE)を広範囲に使用

修復の監視

  • IT 担当者のメールボックスにアクセスし、修復作業を監視。必要に応じて TTP を調整

変化するTTP

  • スピアフィッシングのキャンペーンにおいて、若干異なるTTPとマルウェアを使用
  • 高度化:APT29は、攻撃中に素早く状況に適応する能力があることが証明されています。このグループは、革新的で新しい技術を使用して、被害組織環境における検知と強力な認証要件を回避しています。M365のネイティブ機能を基本的に理解しているため、最近の攻撃活動では大量のマルウェアを使用せずに、オンプレミスとクラウドのリソース間を容易に移動することができています。私たちは、これらの攻撃手法と、高レベルのOPSEC、グループの活動の長さ、標的となる組織での攻撃時間といった要素を総合的に見て、このグループが十分な資金を持ち、高度な能力を持つグループであることを実証していると考えています。
    • オンプレミスからクラウドへ:APT29は、Microsoftのツールやクラウド環境に関する高度な知識を有しているため、特定の脆弱性を利用したり、カスタムマルウェアを展開したりすることなく、製品の機能を悪用して、強力な認証要件にもかかわらずアクセスを実現・維持することが可能です。これにより、オンプレミスのネットワークからクラウドのリソースに容易に移行し、標的や機密データへの持続的なアクセスを実現することができます。Mandiantは、本レポートで詳述されている7つの主要なテクニックを組み合わせて使用することで、2018年からAPT29M365環境をターゲットにして横展開することを観察しました。
       
    • 多要素認証(MFA)のバイパス2018年から2020年にかけて、APT29は水平展開を目的として、被害組織環境における強力な認証要件をクリアするためのさまざまな方法を使用しました。これらには、デバイスをMFA用に登録したり、レガシー認証で迂回したり、サービスプリンシパルやアプリ登録に認証情報を追加したり、事前計算されたクッキーを利用してMFA要件を迂回し、アラームを発生させずにログインに成功したりすることが含まれます。また、このグループは、正規の認証情報を利用して、エンドユーザーの正規のデバイスに、ユーザーが認証を受け入れるまで繰り返しMFAのプッシュ通知を送信しました。また、このグループは、オンプレミスシステムから機密データにアクセスするためにゴールデンチケットを使用していたのが、クラウドホスティングリソースを使用する被害組織環境ではゴールデンSAMLSecurity Assertion Markup Language)に進化したことも確認されました。どちらの手法でも、攻撃者は認証要件を回避し、ドメイン全体でユーザーアカウントのパスワードがリセットされた後でも、任意の特権とユーザーとして被害組織環境にアクセスすることができます。
       
    • 軽いマルウェアのフットプリントを維持:APT29は、2018年以降、カスタマイズされたツールキットの使用から、比較的軽いマルウェアフットプリントを維持するようにシフトしましたが、これは、同グループのツールキットに関して広範なオープンソースのレポートが公開されたことが原因であると考えられます。これにより、アンチウイルスエンジンによる検知機会が少なくなり、アトリビューションの取り組みが複雑になります。また同グループは、盗んだ認証情報の使用を好むようで、Microsoftのネイティブ機能を悪用して被害組織環境へのアクセスを維持します。このグループは、足場を固めた後、カスタムツールの導入からBEACONの導入に移行するケースも確認されています。これは、BEACONの実績、可用性、改変の可能性、帰属の複雑さによるものと思われます。2018年から2021年にかけて、APT29はカスタムツールの使用を、観測された全侵害事件の半分弱に制限しています。この期間に発生したカスタムツールを使用した侵害では、APT29は、SUNBURSTBEACONドロッパーのRAINDROPおよびTEARDROPMAMADOGSという資格情報盗難ツール、CRIMSONBOXADFS構成からトークンサイン証明書を抽出し、グループがSAMLトークンを偽造できるようにする.NETツール)などのカスタムマルウェアファミリーを使用しています。
       
    • スピードと俊敏性:APT29は、被害組織の環境に適応するためにツールやTTPを迅速に調整し、修復作業を通じてアクセスを維持することができます。複数のケースで、APT29はフィッシングペイロードの最初の実行から12時間未満でドメイン管理者権限を獲得することができました。2020年、SolarWindsのサプライチェーン侵害の公開から約5日後、APT29は、社内の情報セキュリティチームからIT管理者に送られた、SolarWindsシステムのイメージを要求するメールを受けて、持続的BEACONバックドアを新しいサブネットの追加システムに移動させました。このことは、このグループが組織の電子メールを監視し、その後、アクセスを維持するために対策を講じたことを示唆しています。
       
    • データを追う 2018年以降、Mandiantは、APT29がオンプレミスやクラウド環境にある重要なデータへのアクセスを失わないよう、被害組織環境にアクセスするための戦術を調整することを観察しました。またMandiantは、同グループがさまざまな犠牲者環境からメールを収集するために、異なる方法を使用していることも観察しています。これらには、オンプレミスシステム向けにローカルのOSTファイルやPSTファイルを採取する一般公開されているツールの使用や、サービスプリンシパルの悪用、被害組織のメールボックスやメールボックスフォルダへの権限追加、クラウド環境向けのアプリケーションなりすましの使用への切り替えが含まれます。

展望と考察

Mandiant2014年にAPT29の追跡を開始して以来、同グループは重要な技術的手法とOPSECを進歩させ続けています。TTPの一貫した着実な進歩は、その規律正しい性質とステルス作戦および持続性へのコミットメントを物語っています。UNC2452APT29に統合したことで、APT29の活動が長年にわたってどのように進化してきたかをより深く理解することができました。たとえば、セキュリティコントロールのバイパス、新技術を使ったTTPの拡張、被害組織の環境への溶け込み、活動のあらゆる側面における検知の妨げといった技術スキルをさらに磨いてきたことが挙げられます。Mandiantは、APT29がその高度なスキルセットと、ターゲットへの持続的なアクセスを得るために新しいTTPやツールを創造的に採用する能力に基づいて、今後も攻撃活動や実際の攻撃TTPを進化させ続けることは間違いないと考えています。

APT29 の攻撃を防御するための修復とハードニング戦略に関するMandiantのホワイトペーパー、およびブログを参照し、ぜひ対策に役立ててください。

統合により追加されたMITRE ATT&CKのテクニック

Resource Development

  • T1583.003: Virtual Private Server

Initial Access

  • T1195.002: Compromise Software Supply Chain
  • T1199: Trusted Relationship

Execution

  • T1059.007: JavaScript

Persistence

  • T1098: Account Manipulation
  • T1098.001: Additional Cloud Credentials
  • T1547.009: Shortcut Modification
  • T1574.008: Path Interception by Search Order Hijacking

Privilege Escalation

  • T1055.002: Portable Executable Injection
  • T1134.001: Token Impersonation/Theft
  • T1484.002: Domain Trust Modification
  • T1547.009: Shortcut Modification
  • T1574.008: Path Interception by Search Order Hijacking

Defense Evasion

  • T1027.003: Steganography
  • T1027.005: Indicator Removal from Tools
  • T1036.005: Match Legitimate Name or Location
  • T1055.002: Portable Executable Injection
  • T1070: Indicator Removal on Host
  • T1070.001: Clear Windows Event Logs
  • T1070.006: Timestomp
  • T1134.001: Token Impersonation/Theft
  • T1218.005: Mshta
  • T1218.011: Rundll32
  • T1480: Execution Guardrails
  • T1497.003: Time Based Evasion
  • T1550.001: Application Access Token
  • T1562.001: Disable or Modify Tools
  • T1574.008: Path Interception by Search Order Hijacking

Credential Access

  • T1003.003: NTDS
  • T1003.006: DCSync
  • T1003.008: /etc/passwd and /etc/shadow
  • T1110.003: Password Spraying
  • T1111: Two-Factor Authentication Interception
  • T1552.001: Credentials In Files
  • T1552.004: Private Keys
  • T1552.006: Group Policy Preferences
  • T1555.005: Password Managers
  • T1558: Steal or Forge Kerberos Tickets
  • T1558.003: Kerberoasting
  • T1606.001: Web Cookies
  • T1606.002: SAML Tokens

Discovery

  • T1016.001: Internet Connection Discovery
  • T1046: Network Service Scanning
  • T1497.003: Time Based Evasion
  • T1526: Cloud Service Discovery

Lateral Movement

  • T1550.001: Application Access Token

Collection

  • T1005: Data from Local System
  • T1039: Data from Network Shared Drive
  • T1074: Data Staged
  • T1114.002: Remote Email Collection
  • T1213.002: Sharepoint
  • T1213.003: Code Repositories
  • T1560.001: Archive via Utility

Command and Control

  • T1071: Application Layer Protocol
  • T1071.004: DNS
  • T1090.003: Multi-hop Proxy
  • T1568.002: Domain Generation Algorithms
  • T1571: Non-Standard Port
  • T1573.001: Symmetric Cryptography

Exfiltration

  • T1030: Data Transfer Size Limits
  • T1567: Exfiltration Over Web Service
  • T1567.001: Exfiltration to Code Repository

 

※本ブログは、4月27日に公開されたブログ「Assembling the Russian Nesting Doll: UNC2452 Merged into APT29」の日本語抄訳版です。