高速でステルス型のマルウェアによる、政府機関から公共データを盗み出す試み

先日、EMEA(ヨーロッパ、中東、アフリカ)地域のある政府機関でCyber AIが導入され、個々のデバイスの「自己」に対する認識を学習して異常な動作を検知する手法により10,000台以上のデバイスが保護されました。Darktraceの試用開始からわずか1週間後のある日、AIはマルウェアに感染したデバイスがHTTPとSSL経由でC2エンドポイントにビーコニングし、その後疑わしいファイルをダウンロードしているところを検知しました。
攻撃者はGluptebaマルウェアの一種を用いて、ブラウザからパスワード、クレジットカード情報、メールアカウントの認証情報などの機密情報を盗もうとしていました。政府機関であることを考えると、攻撃者が従業員のアカウント認証情報にアクセスできてしまった場合には重大な結果が生じる可能性がありました。
Darktraceの自動対処テクノロジー、Antigenaであれば、脅威となる振る舞いを封じ込め、デバイスの「生活パターン」を5分間にわたって強制し、脅威の深刻度が増すに従って対応をエスカレートすることができたはずです。
攻撃は日曜日の1時間にわたって行われたため、セキュリティチームの対応には平日と比較して時間がかかったと思われます。

図1:イベントのタイムライン
攻撃の詳細
Darktraceは、この政府機関内で一度も認識されたことがない外部ドメインに対して暗号化された接続を開始している1台のデバイスを検知しました。このデバイスは、おそらくDarktraceが導入される前に、悪意のあるメール添付ファイルまたはリンクを通じて感染していた可能性があります。
また、さらに新しいGluptebaの亜種もマルバタイジング(偽の広告) を使い、ユーザーを未知のエンドポイントに誘導して異常なファイルをダウンロードさせます。
DarktraceのAIは、デバイスが実行形式ファイルatx777.exeをダウンロードしているところを検知しました。このファイルは、サイバー犯罪集団 ‘Predator the Thief’ が作成したとされるスティーラー(盗み出しツール)、Taurusに関連しているようでした。
ファイルのダウンロードに続き、このデバイスはさらに、疑わしいエンドポイントへの暗号化された通信を、通常とは異なる通信チャネルを経由して開始しました。また、デバイスは不審なユーザーエージェント ‘CertUtil URL Agent’ を使用して、あるドメインから別の実行形式ファイルをダウンロードしました。
ステルス型のスティーラー
悪意を持ったアクターは、従来型のセキュリティツールを回避するために、より巧妙な手法を用いるようになっています。ここ数か月間で復活を見せたGluptebaマルウェアフレームワークは、複数の防御回避手法を利用しており、その中にはサンドボックス検知も含まれています。
ペイロードを投下した直後、マルウェアは自身がインストールされた環境を観察し、ホストマシンがサンドボックスであることを検知した場合は、以降のプロセスを一切実行しません。またこのマルウェアは、GluptebaファイルをWindows Defenderの例外に設定する、コマンド&コントロールのトラフィックを許可するようにファイアウォールのルールを変更する、CertUtilのようにシステムにあらかじめインストールされたツールを使用して ‘Living off the Land’ (環境に寄生する)ことで、さらに自分自身を隠すことができます。
これらの回避の試みにもかかわらず、DarktraceのCyber AIは疑わしいアクティビティを容易に検知しました。それはこのデバイス、および組織全体における「生活パターン」から逸脱していたからです。Darktraceは攻撃の第一段階でアクティビティを疑わしいと特定し、Cyber AI Analystはインシデント全体を調査して、接続先エンドポイントを含むきわめて重要なメトリックのいくつかを明らかにしました。

図2:AI Analystによる検知と、コマンド&コントロールトラフィックのサマリー
Antigenaの対応
このケースでは、Darktraceが環境の監視を始める前にマルウェアがインストールされていましたが、Antigenaを有効にしておけば、攻撃のすべての段階で的確な対応をとっていたはずでした。攻撃の開始時には、疑わしいドメインzvwxstarserver17km[.]xyzへの2時間にわたる接続を遮断し、悪意あるファイルのさらなるダウンロードを防いでいたはずでした。

アクティビティがエスカレートするのに対応し、Antigenaは感染したデバイスに「生活パターン」を強制し、すべての送信トラフィックを1時間遮断することで、悪意のあるコマンド&コントロール通信を停止していたはずです。


まとめの考察
サイバー犯罪者とセキュリティアナリストの間のいたちごっこが続く中で、マルウェア作成者は検知を避けるためにますます精巧な手法を採用しています。Taurusスティーラーはこうした回避手法を何種類も利用していましたが、DarktraceのAIテクノロジーは、ビジネス継続性を中断せずに悪意のあるアクティビティについて警告し、対応をとることができました。顧客がDarktraceをサイバー防御に活用し始める前にデバイス上にマルウェアが存在していたにもかかわらずです。
このインシデント発生中にAntigenaがアクティブモードで運用されていれば、初期段階でマルウェアをただちに停止し、政府系ネットワークから機密データが削除されるのを防いでいたはずでした。重要な点は、Antigenaが進行中のアクティビティを踏まえて自身の対応を更新しエスカレートさせたにもかかわらず、その対応は精密に的を絞ったものであり通常の業務を継続することができたことです。
Antigenaがパッシブモードであったにもかかわらず、このケーススタディは、人間のセキュリティリソースが限られている、あるいはチームが外出しているときにも、サイバー攻撃を阻止するべくインテリジェントに対応するAutonomous Responseの力を実証しています。公的機関と私企業のどちらもが、ランサムウェアその他の高速ステルス型脅威の標的となり続ける中で、自動対処の必要性はこれまでになく高まっています。
この脅威事例についての考察はDarktraceアナリストTom Priestが協力しました。
IoC
悪意のあるファイルのダウンロード
IoC | コメント |
zvwxstarserver17km[.]xyz 185.193.38[.]201 | atx777.exe |
gfixprice[.]space 62.0.58[.]94 | CertUtilの使用 |
コマンド&コントロール(TCPポート)
192.64.119.50 (4044) | adxspace147.xyz |
185.141.63.172 (80) | efkmprb.ua |
104.27.128.210 (443) | c5b43e04-4c58-4361-92ac-3d71444840c1.server2.sndvoices.com |
144.76.8.48 (8000) | ed1382a7-7176-4cd3-876e-88a165e5bed9.server-34.servicegame.net |
185.141.63.172 (80) | ayuli gmba.ru |
193.242.211.141 (80) | kxzzjba0.ua |
91.121.144.14 (8000) | ed1382a7-7176-4cd3-876e-88a165e5bed9.server-53.brandgame.org |
5.196.70.233 (80) | xsbcvaa.net |
109.230.199.181 (80) | rbbtkba.com |
172.105.207.42 (443) | |
64.225.39.188 (2000) | |
128.31.0.34 (9131) | |
199.58.81.140 (80) | |
171.25.193.9 (443) |
Darktrace によるモデル検知結果
- Device / New Failed External Connections
- Device / New User Agent and New IP
- Antigena / Network::External Threat::Antigena Suspicious File Block
- Anomalous File / EXE from Rare External Location
- Antigena / Network::Significant Anomaly::Antigena Controlled and Model Breach
- Antigena / Network::External Threat::Antigena File then New Outbound Block
- Anomalous Connection / Application Protocol on Uncommon Port
- Device / Long Agent Connection to New Endpoint
- Antigena / Network::Significant Anomaly::Antigena Breaches Over Time Block
- Anomalous Connection / Lots of New Connections
- Device / Large Number of Model Breaches
- Antigena / Network::Significant Anomaly::Antigena Significant Anomaly from Client Block
- Device / Initial Breach Chain Compromise
- Antigena / Network::External Threat::Antigena Suspicious Activity Block
- Compliance / CertUtil External Connection