01. 2022年サイバーセキュリティ 脅威 動向
2021年末、発生したApache Log4j脆弱性であるLog4Shellは「コンピューターの歴史上、最悪の脆弱性」と呼ばれるほどIT環境のパーフェクトストームを誘発した。2022年初、Log4Shellと名前が類似したSpring4Shell, Follina、2021年中旬に発生したProxyShellと類似した脆弱性であるProxyNotShellまで発見された。当該の脆弱性のCVSS3.x点数は7~9点でいまだに破壊力が高い脆弱性が持続的に発見されている。
また、オープンソースの保存先(Repository)にマルウェアをアップロードしてダウンロードするように誘導する方法が持続的に発生していて、2022年初から始まったウクライナ・ロシアの戦争では、戦争の前からサイバー戦で政府・公共機関を含め、ウクライナをターゲットとした情報奪取、心理戦、システム破壊などの攻撃を行った。ランサムウェアも同様に持続的な進化によってサービス型ランサムウェア(RaaS)、特定のキー値を要求し、分析活動を妨害、多様なOSを対象に感染を試み、ダークウェブサイトに漏洩した情報を公開する方法も含めた二重脅迫戦略まで多様な方法で進化した。
従って、脆弱性を悪用したマルウェアの流布、オープンソース保存先(Repository)を利用したマルウェアの流布、ランサムウェア動向、ウクライナ・ロシア戦争に使用されたサイバー戦まで、4つの話題から2022年サイバー 脅威 の動向について調べてみよう。
02. 脆弱性を悪用したマルウェア流布
2022年も同じく2021年に発生したLog4Shellの脆弱性に劣らない脆弱性が多数発生した。過去にパッチを行った脆弱性の迂回脆弱性が発生して更に大きい脆弱性に変化したケースもあり、インシデント分析途中に確認された0-day脆弱性、特定の国を攻撃目標としたサンプルから確認された0-day脆弱性など波及力が高い0-day脆弱性が多く発見された2022年だと思う。
基本的に脆弱性を利用して攻撃者が望むコードが実行でき、追加にファイルダウンロードのコードを挿入する場合、マルウェアが実行され追加の被害が発生する。今年に発生した多様な脆弱性の中、破壊力が高かったSpring4Shell(CVE-2022-22965), Follina(CVE-2022-30190), Atlassian Confluence(CVE-2022-26134), MS Exchange Server(ProxyNotShell, CVE-2022-41040, CVE-2022-41082)脆弱性について調べてみよう。
1) Spring4Shell(CVE-2022-22965)
2022年3月30日、JAVAプラットフォームで幅広く使われているオープンソースフレームワークであるSpring FrameworkのCoreから0-day脆弱性に対する情報が公開された。既に2021年発生したLog4Shell脆弱性と類似性がある事から、Spring4Shellと名付けられ、2022年3月29日、サイバーセキュリティ研究院と推測される中国人のツイッターに「A Java Springcore [sic] RCE 0-day exploit has been leaked」の投稿と一緒にJAVA libraryであるSpring CoreをExploitしたPoC(Proof of Concept)のスクリーンショットが公開された。
Spring Core Frameworkに露出された「class」オブジェクトの子オブジェクトである「class.module.classLoader」のパラメータを利用してアクセス後、「AccessLogValue」オブジェクトにアクセスし、ウェブシェルのアップロードに成功した場合、リモートコード実行ができる脆弱性である。
Mirai Botnetがシンガポールの脆弱なサーバを対象にした感染試みにSpring4Shellを積極的に悪用して/tmpディレクトリにダウンロード後、スクリプト権限変更で武器化を既に行い、その後全世界のサーバを対象にした感染試みに繋がった。
【▲ Spring4Shell(CVE-2022-22965)脆弱性タイムライン】
2) Follina(CVE-2022-30190)
2022年5月30日、MicrosoftからMSDTリモートコード実行脆弱性(CVE-2022-30190, CVSS3.x:7.8)の注意勧告を発表した。MSDT(Microsoft Support Diagnostic Tool)はWindows環境に問題が発生時、情報を収集してMicrosoftサポート部署に送信するための目的で作られたツールで、脆弱性を悪用したWordファイルの場合外部のOLEオブジェクト参照のためのHTMLリンクが含まれていて、要請されたHTMLファイル内部に「ms-msdt:」を追加することでMSDTツール呼び出し後、攻撃者が望むペイロードのダウンロードができる。
サイバーセキュリティ研究チームであるnao_secが、ベラルーシで発見された悪意的なMS Word文書ファイルの内容をツイッターに投稿し、Kevin Beaumontによって初めて公開された。分析の途中0438(Follinaの地域コード)を参照するサンプルが存在したため「Follina」と名付けられた。
【▲ Follina(CVE-2022-30190)脆弱性タイムライン】
攻撃に使用されたサンプルの場合、Microsoft Wordファイルがほとんどであるが、MSDTがインストールされていてMSDT URLの要請ができるWindows基盤のプログラムであれば、攻撃手段として使用できるとみられる。
【▲ Follina(CVE-2022-30190)脆弱性分析に使用されたサンプル】
サンプルファイルである「VIP Invitation to Doha Expo 2023.docx」を最初に実行した時、攻撃者が設定したC2にアクセスを試みる。
【▲ Follina脆弱性が含まれているサンプルの最初実行画面】
Word文書はDoha Expo 2023のVIP招待内容とみられ、マクロ実行試みはないと確認される。
【▲ サンプル内部のMS Word文書内容】
Folina脆弱性を悪用したWordファイルの場合外部のOLEオブジェクト参照のためのHTMLリンクを含めて以下の流れで動作する。
- 「word_rels\document.xml.rels」から1次C2(hxxps://files.attend-doha-expo.com/inv[.]html)からファイル要請
- 要請されたHTMLファイル内部に「ms-msdt:」を追加してMSDTツールを呼び出す
- MSDT呼び出しに成功した場合、MSDTを利用してPowershellコード実行
- Powershellコード実行結果、2次C2(5[.]206.224.233)からファイル要請
【▲ document.xml.relsから確認できるFollina脆弱性の悪用方法】
最終にダウンロードしたosdupdate.exeファイルを確認した結果、Cobalt Strike Beaconとみられ、Beaconをインストールさせるため流布しているサンプルだと確認される。
【▲ Virustotal検索結果】
3) Atlassian Confluence(CVE-2022-26134)
2022年6月2日、Atlassian社がConfluence Server及びConfluence Data Centerの認証されていないリモートコード実行脆弱性(CVE-2022-26134, CVSS3.x:9.8)に関するセキュリティ勧告を発表した。攻撃者は別のクレデンシャル情報及びユーザーの特定行為及び誘導がなくてもOGNL Injection攻撃方法を使ってリモートで任意のコマンドが実行できる脆弱性だと確認される。
セキュリティ専門企業であるVolexityはHafniumから作られたと思われるChina ChopperウェブシェルがアップロードされたConfluence Serverのインシデントを調査している間に0-day脆弱性が発見されてAtlassian社に通報したことが確認できた。
攻撃者はApache Struts2のOGNL表現式を利用した不正ペイロードをGET, POST, PUTなどの方法で送信し、任意のコマンドが実行でき、攻撃時に別のクレデンシャル情報及び認証情報が不要のため、万が一外部からAtlassian Confluence Serverにアクセスできるのであれば簡単にExploitができる。
【▲ Atlassian Confluence(CVE-2022-26134)脆弱性タイムライン】
4) MS Exchange Server(ProxyNotShell, CVE-2022-41040, CVE-2022-41082)
2022年8月、ベトナムセキュリティ業者の「GTSC」からMicrosoft Exchange Server 2013, Exchange Server 2016及びExchange Server 2019に影響を及ぼす0-day脆弱性2種が発見された。発見された脆弱性は2021年発表されたProxyShell脆弱性と類似な攻撃コード(SSRF)を使用してウェブシェルダウンロード、Certutil連携、DLL Injectionなどの攻撃ができる特徴を持っている。
攻撃の前提条件として脆弱なバージョンのExchange Serverを使用している環境からサーバにユーザー権限(資格証明)を持っている環境のみ脆弱性の悪用が可能のため、Kevin Beaumontはこの脆弱性を以前Exchange脆弱性であるProxyShellの名前を参考してProxyNotShellと名付けた。
【▲ MS Exchange Server脆弱性】
【▲ MS Exchange Server脆弱性タイムライン】
03. オープンソース保存先(Repository)を利用したマルウェア流布
オープンソース保存先(Repository)はアーティファクトとメタデータ、ライブラリ、パッケージを保存して管理する場所を意味し、パッケージ管理者がパッケージをダウンロードしてアップロードできる機能を提供する。依存性があるライブラリのみ、インストール/更新/削除を簡単に行うためでもあるが、外部オープンソースの保存先の場合、特別な制約がなく、ユーザーがアップロードしたパッケージのダウンロードができるメリットも存在する。
これを悪用する場合、攻撃者がアップロードした不正パッケージをユーザーがダウンロードして実行する可能性があり、これのためにTyposquatting攻撃を利用する。リポジトリで使用されるTyposquatting攻撃は正常パッケージ名と類似なパッケージ名でマルウェアをアップロード後、ユーザーの誤字や誤りによってマルウェアをダウンロードさせる攻撃である。Typosquatting攻撃で被害を受けたPyPI, NPM, GitHub, Docker Hubから発生したサイバー 脅威 動向について調べてみよう。
1) PyPI
2022年11月、PyPIにアップロードされたパッケージの中、約30個のパッケージからTyposquatting攻撃でマルウェアを含めてアップロードされていることが確認できた。マルウェアが含まれているパッケージは主にsetup.py, init.py内部に攻撃者がアップロードしたマルウェアをダウンロードするリンクをrequests-httpx, requestsを利用してダウンロードすることが確認できて、パッケージインストール時、他のパッケージをこっそりとインストールする方法も使っていることが確認できた。Base64でエンコーディングされたデータをデコーディング後、特定のURLにW4SP InfoStealerをダウンロードして最終的に実行することになる。
【▲ W4SP InfoStealerが含まれている悪性パッケージリスト (参考:Phylum blog)】
2) npm
2022年2月、公式NPMパッケージレジストリに、Discordトークン及び環境変数を含めた情報奪取型不正JavaScriptライブラリ総25個がアップロードされた。初心者的なマルウェア作成者から作られたとみられ、Typosquattingを利用してcolors.js, crypto-js, discord.js, marked及びnoblox.jsなど正常パッケージに偽装してアップロードされたことが確認できた。Discordチャンネルに不正リンクを広げるためにDiscordトークンを奪取し、不正行為のためのAPIアクセストークン、認証キー、API URL及びアカウント名奪取を試みることが確認できた。
【▲ 情報奪取型悪性JavaScriptリスト】
3) GitHub
2022年8月、ソフトウェア開発者であるStephen Lacyが、GitHubにアップロードされた約35,000個以上のファイルが不正行為に使用されるとツイッターに投稿した。正常のリポジトリに被害はないが、正常のリポジトリのデータをコピーして、不正URLを挿入してからアップロードしていることが確認できた。マルウェアが一番多く発見された「redhat-operator-ecosystem」リポジトリの場合は約13,000個以上のファイルが存在しているが、現在は使用していない(404エラー)と確認された。不正行為を行うファイルは共通的に「hxxp://ovz1.j19544519.pr46m.vps.myjino[.]ru」URLが含まれていて、APIキー、トークン、Amazon AWS資格証明及び暗号化キーを含めた敏感な情報が攻撃者に奪取される可能性がある。
【▲ 特定C2が含まれている悪性リポジトリリスト (参考:Bleeping Computer)】
4) Docker Hub
2022年11月、Sysdig 脅威 研究チームからDocker Hub内に存在する25万個以上のLinux Dockerイメージを分析した結果、約1,600個のLinux Dockerイメージが不正行為動作を行うことが確認できた。アカウント情報奪取の場合SSHキー、AWS認証情報、GitHub及びNPMトークンを奪取する試みがほとんどであった。大体のコインマイナー流布の試みは、Typosquatting攻撃を利用して正常に配布されているサービスに文字を変える方法で、XMRigコインマイナーが含まれた不正イメージを流布したことが確認できた。
【▲ 正常ソフトウェアに偽装した悪性イメージリスト (参考:Sysdig blog)】
04. ランサムウェアの動向
1) Hive
Hiveランサムウェアは、サービス型ランサムウェア(RaaS)でランサムウェアに感染するとデータを漏洩し、指定された時間内に交渉されないとダークウェブに存在するHiveLeaksサイトに漏洩されたデータを公開するランサムウェアである。
2021年6月最初に発見されて、当時はゴー(GO)言語で作成されていたが、新たなHiveランサムウェアの変種はRust言語に変更し、安定性と並列処理メカニズム、リバースエンジニアリングの複雑性を高めたことが確認できた。ランサムウェアを感染した後、被害者にアクセスできるアドレスと、ログイン情報があるランサムノートを残す。最新Hiveランサムウェアは多様なパラメータを使うことができ、特に「-u ID:PW」がないとランサムウェアが実行できないようにしてマルウェアの分析を難しくしている。
【▲ Hiveランサムウェアを実行する際に確認が必要な必須パラメータ要求内容】
HiveランサムウェアはフィッシングメールまたはExchange Server脆弱性(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)、外部にオープンされたRDPを活用して対象システムに進入する。内部システムを乗っ取ってからCobalt Strike Beaconを使ってシステムを制御し、ランサムウェアを流布する。
【▲ Hiveランサムウェアの情報漏洩に使用されるHiveLeaksページ】
2) LockBit
2019年9月初めて登場したと知られているLockBitランサムウェアはサービス型ランサムウェア(RaaS)でアメリカ、中国、インド、インドネシア、ウクライナ及び複数のヨーロッパの国に基盤を置いている組織を対象にランサムウェア感染を試みた。最初登場したLockBitランサムウェアは暗号化した拡張子を「abcd」に変えたので
「ABCDランサムウェア」という名前で話題になった。
2021年6月、バージョン2.0にアップデートし流布されて、当時攻撃者は「全世界で最も早い暗号化ソフトウェア」と主張し、比較データを見せたことが有名になった。専門サービス、建設、卸売り及び小売り、製造業を中心にランサムウェア攻撃を試みて暗号化している間に漏洩したデータを公開するダークウェブサイトも持っている。
【▲ LockBit 2.0の情報漏洩に使用されたページ】
2022年7月、バージョン3.0にアップデートされて、ランサムウェア初バグバウンティプログラムを導入してバグを報告する、と補償を支給するページをオープンした。2022年9月21日、GitHubにLockBitランサムウェアバージョン3.0ビルドが流出されて実際にLockBitランサムウェアの作成/変更が可能である。現在、ビルドが公開されたGitHubページは非公開になっていると確認できた。
【▲ GitHubに流出されたLockBitランサムウェアビルド】
05. ウクライナ・ロシア戦争に使用されたサイバー戦
ロシアはウクライナとの全面戦争の前からサイバー戦を開始し、長期間ウクライナ及びその他の目標に対する戦術的な攻撃を行ってきた。戦争が始まってから4カ月の間、ロシアが攻撃背後として推定される攻撃グループが、約50個以上のウクライナ機関及び企業に対する破壊的なサイバー攻撃及びスパイ活動を中心に行ったとみられる。このような攻撃で全面戦争初期にバランスを崩して優位を占めるためだとみられる。
Microsoftから発刊した「Microsoft Digital Defense Report 2022」ではロシアはウクライナの軍事的・人道的支援の妨害、大衆メディア及びサービスの妨害、経済的な価値がある情報の奪取など多方面の攻撃を試みた。2022年2月~6月までウクライナ以外の42ヵ国を対象にしたネットワーク侵入試みを検知して最大の目標はアメリカであってポーランド、デンマーク、ノルウェー、フィンランド、スウェーデンのネットワーク侵入試みを確認した。
従って、全面戦争前・全面戦争後のウクライナを対象にしたサイバー戦の攻撃概要、攻撃ツール、攻撃行為及び機能、攻撃背後を整理して攻撃内容を調べてみよう。
【▲ ロシアのウクライナ侵攻後、最も多く標的されたウクライナの産業部門】
ロシアがウクライナに行ったサイバー戦は、実開戦日である2022年2月24日から持続的に発生したことが確認できた。ウクライナを対象にしたシステム破壊、心理戦活用、情報奪取目的の攻撃試みで分類を分けて整理してみた。
1) システム破壊
【▲ ロシア側のシステム破壊攻撃の形態 (参考:Cyber Peace Instituteの一部再構成)】
2) 心理戦活用
【▲ ロシア側の心理的な攻撃の形態 (参考:Cyber Peace Instituteの一部再構成)】
3) 情報奪取
【▲ ロシア側の情報奪取攻撃の形態 (参考:Cyber Peace Instituteの一部再構成)】
06. 最後に
今まで脆弱性を悪用したマルウェア流布、オープンソースの保存先(Repository)を利用したマルウェア流布、ランサムウェア動向、ウクライナ・ロシア戦争に使用されたサイバー戦まで4つの話題について調べてみた。
過去に利用された脆弱性を再発見して新たな0-day脆弱性を作ったりユーザーが信頼するリポジトリを利用した流布試み、サービス型ランサムウェア(RaaS)の精密なターゲット型攻撃で攻撃方法の多変化が目立つ。特に現在まで戦争中であるウクライナ・ロシアの戦争に使用されたサイバー戦の場合、実際戦争時に部分的
07. 参考資料
1) 35,000 code repos not hacked—but clones flood GitHub to serve malware
https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/
2) Analysis on Docker Hub malicious images: Attacks through public container images
https://sysdig.com/blog/analysis-of-supply-chain-attacks-through-public-docker-images/
3) Phylum Discovers Dozens More PyPI Packages Attempting to Deliver W4SP Stealer in Ongoing Supply-Chain Attack
https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack
4) CVE-2022-30190: Microsoft Support Diagnostic Tool (MSDT) RCE Vulnerability “Follina”
https://www.fortinet.com/blog/threat-research/analysis-of-follina-zero-day
5) GwisinLocker ransomware targets South Korean industrial and pharma firms
https://blog.reversinglabs.com/blog/gwisinlocker-ransomware-targets-south-korean-industrial-and-pharmaceutical-companies
6) Hive ransomware gets upgrades in Rust
https://www.microsoft.com/en-us/security/blog/2022/07/05/hive-ransomware-gets-upgrades-in-rust/
7) LockBit ransomware — What You Need to Know
https://www.kaspersky.com/resource-center/threats/lockbit-ransomware
8) Microsoft Digital Defense Report 2022
https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
