イランの支援を受けたとみられる脅威グループが中東の重要国家インフラに侵入

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「FortiGuardインシデントレスポンスチーム、中東の重要国家インフラへの侵入を検知」を再編集したものです。

はじめに

 FortiGuardインシデントレスポンス(FGIR)チームは先日、中東の重要国家インフラ(CNI)を標的とし、イランの支援を受けた脅威グループによると見られる長期間のサイバー侵害を調査しました。この攻撃は大規模な諜報活動が関係しており、ネットワークに事前に仕込まれていたもの(事前配置)と思われます。事前配置は、将来の戦略的優位を得るため永続的アクセスを確保する戦術としてよく使用されています。

レポート全文:本ブログでは主な調査結果をお伝えしますが、こちらからこの侵害に関するレポート全文をご覧いただけます。同レポートでは、侵入時に展開された新型マルウェア、攻撃の各段階におけるTTPの詳細、防御者に役立つIOC(Indicators of Compromise:侵害指標)、犯人特定における検討材料などが解説されており、より深い洞察を得ることができます。

主な調査結果

 今回の侵入は少なくとも2023年5月から2025年2月まで続き、侵害の痕跡は2021年5月にまで遡ります。攻撃者はまず、窃取したVPN認証情報を使ってアクセス権を取得し、Havoc、HanifNet、HXLibrary、NeoExpressRATなど複数のWebシェルやバックドアを介して永続性を確保しました。その際、plink、Ngrok、glider proxy、ReverseSocks5など、オープンソースのプロキシツールを使用してネットワークセグメンテーションを回避していました。

 今回の調査で以下のような情報が得られました。

・攻撃は段階的に展開され、攻撃者は時間をかけて新型のマルウェアとインフラストラクチャを配信していました。メモリ内でHavocとSystemBCを実行するために、カスタムローダーが使用されました。
・攻撃者は市販のツールに加えて、HanifNet、HXLibrary、NeoExpressRATといった新しいバックドアを配置し、コマンドの実行、ファイル操作、システムの検知などを可能にしていました。
・攻撃者は米国のインフラストラクチャを避け、米国以外のVPSプロバイダーを利用していました。
・正当なWindowsプロセスに紛れ込むことを目的としたスケジュール済みタスクによって、永続性が確保されていました。
・仮想化インフラストラクチャが積極的に狙われ、攻撃者はネットワーク構成を把握するための偵察を行っていました。
・封じ込め対策が実施されると、攻撃者はZKTeco ZKBioTimeソフトウェアの脆弱性を悪用して再度アクセスを試みました。この脆弱性はそれまで公表されていなかったものです。さらに攻撃者は、感染した第三者のEメールを使用して管理者の認証情報を窃取し、標的型フィッシング攻撃も仕掛けました。

侵入の各段階

 攻撃は以下の4段階に分けて実行されました。

1. 足場の確保と初期活動(2023年5月~2024年4月)
 攻撃者は盗んだ認証情報を使って被害者のSSL VPNにアクセスし、公開されているサーバーにWebシェルを配信し、Havoc、HanifNet、HXLibraryの各バックドアを設置しました。その後、認証情報を窃取し、RDPとPsExecを使用してラテラルムーブメントを行いました。

2. 足場の強化(2024年4月~2024年11月)
 NeoExpressRATなど、さらに別の永続化メカニズムが投入されました。攻撃者はプロキシ(plink、Ngrok)を連携させてセグメンテーションを回避しつつ、標的のEメールデータを不正入手し、仮想化インフラストラクチャとの対話を開始しました。

3. 初回の修復と攻撃者の反応(2024年11月~2024年12月)
 被害者が最初の封じ込め策を講じると、攻撃者の活動が急に活発化しました。アクセスを維持するためにWebシェル、SystemBC、MeshCentralが追加配備され、CNIネットワークの深部にあるセグメントが標的になりました。

4.侵入の封じ込めと攻撃者の最終対応(2024年12月~現在)
 被害者は攻撃者のアクセスを排除することができました。それに対し、攻撃者はWebアプリケーションの脆弱性を利用して再度侵入を試み、認証情報を窃取するために標的型フィッシング攻撃を仕掛けました。アクセスに複数回失敗したことが検知されています。

侵入時に攻撃者が使用したツールセットの変化を示す全体的タイムライン

被害者のネットワークと攻撃の経路

 被害を受けた組織は高度にセグメント化されたネットワークを保持しており、その中には厳しく制限されたオペレーショナルテクノロジー(OT)環境も含まれていました。OTシステムへの損害は確認されませんでしたが、FGIRは標的を絞り込んだ偵察活動と認証情報の収集を観測しました。これは、標的システムに対する攻撃者の強い関心を示しています。攻撃者は、プロキシツールとインプラントを連鎖的に使用してセグメンテーションを回避し、IT環境から制限の厳しいセグメメントへと移動していました。

攻撃者のツールとインフラストラクチャ

 攻撃者は米国のプロバイダーを避け、VPSでホストされているインフラストラクチャを利用していました。以下のような有名なマルウェア亜種が使用されました。

HanifNet:.NETベースのバックドア。永続的アクセスを確保します。
HXLibrary:悪意のあるIISモジュール。広範囲なシステム制御を可能にします。
NeoExpressRAT:Golangベースのバックドア。C2通信がハードコードされています。
RemoteInjector:スケジュール済みタスクを介してHavocバックドアを実行するためのローダー。

攻撃の教訓と推奨される防御策

 国家の支援を受けたサイバー攻撃者は、永続的アクセスを確保しようと、重要インフラのネットワークに対する攻撃と侵入を続けています。組織が優先すべき防御策を以下に示します。

認証情報のセキュリティを向上させる:VPNや特権アカウントの多要素認証(MFA)を強化し、厳格なパスワードポリシーを適用すると共に、認証情報を定期的に更新します。
ネットワークセグメントテーションと監視を強化する:これにより、ラテラルムーブメントを制限し、多層的アクセス制御を用いたゼロトラストアーキテクチャを実装します。
エンドポイントとWebのセキュリティを改善する:Web対応のサービスについて定期的に整合性チェックを行い、アプリケーションの許可リストを実装することで不正利用を防止します。
振る舞い分析とEDRソリューションを導入する:リアルタイムで異常を検知するほか、定期的侵入テストやサードパーティによるセキュリティ検査を実施できます。
インシデントレスポンスの準備態勢を整える:国家支援型の攻撃に対応したサイバーセキュリティのプレイブックを作成およびテストし、迅速な検知と封じ込めが可能な機能を導入します。

結論および戦略的示唆

 今回の調査によって、中東のCNIを標的とする国家支援型サイバー攻撃の持続的で日々進化する性質が明らかになりました。攻撃者は高度な戦術を用いてシステムの深部に侵入し、検知を回避し、長期にわたるアクセスを確保することが判明しました。

 封じ込め策が実施されても、攻撃者はアクセスを再度確保する試みを継続しました。これは、この環境に対する長期間の戦略的関心を示すものです。組織は常に警戒を怠らないようにし、国家が支援する高度なサイバー攻撃を阻止するために、検知およびレスポンス戦略を定期的に改善する必要があります。
 
攻撃者のTTP、新型マルウェア、IOC(Indicators of Compromise:侵害指標)の詳細についてはこちらからレポート全文をご確認ください。

■関連サイト

Fortinet トップへ