フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
イランに関連するサイバー活動は、既存のAPTチームから離れ、起動キットスタイルのワイパーを使用するプロキシオペレーターに向かっており、幅広いCVEを悪用し、クラウドインフラの物理的な妨害とサイバー操作を組み合わせることさえしています。Rusty BootsやMoKhargoshのような新しく追跡されたクラスターは、起動キットレベルの持続性を示しており、HYDRO KITTENはRockwell PLCやインターネット向けネットワークデバイスを資格情報に基づく侵入方法で攻撃しています。湾岸地域のクラウドデータセンターへの物理的攻撃は、リスクをハイブリッドなサイバー・フィジカルドメインに拡大しています。この報告書は、OT環境におけるファームウェア整合性検証と行動ベースの検出の重要性を強調しています。
調査
報告書は3つの主要な進展を強調しています。第一に、Rusty BootsとMoKhargoshが起動キットスタイルの持続性を持つワイパーを展開する能力を示しています。第二に、HYDRO KITTENはRockwellシステム、FortiGate、SonicWall、Ivanti、PAN-OS、およびOpenSSHに影響を与える複数のCVEを悪用しました。第三に、UNC6446は、DUSTYPROXYやERIESNAKE.GOを含むカスタムのC#およびGolangマルウェアを使用し、443ポートを通じて暗号化されていないHTTP通信を行っています。報告書はバーレーンとドバイのクラウドインフラを標的にした物理的攻撃も言及しています。
緩和策
組織はファイアウォール、OT資産、SSHサービス全体で参照されたすべてのCVEを修正すると同時に、安全な起動を強制し、定期的にファームウェアの整合性をチェックする必要があります。防御チームは、未加工ディスクの書き込み活動やMBRまたはVBRへの変更を監視し、ポート443経由の暗号化されていないHTTPトラフィックをブロックし、不明な実行可能ファイルのためにレジストリRunキーを確認し、OTの行動監視を実施して承認されていないメンテナンス期間外のPLC設定変更を検出する必要があります。
対応
防御者はDNS、プロキシ、およびエンドポイントコントロール全体で開示されたすべてのIPアドレス、ドメイン、ファイルハッシュを直ちにブロックする必要があります。暗号化されていないHTTP over TCP/443、セキュアブートの整合性失敗、新しいレジストリRunキーエントリ、および疑わしいPLC認証行動の検出コンテンツを展開する必要があります。脅威ハンティングは、上記のマルウェアシグネチャと、長期間の非アクティブ化の後に突然発生するOT関連操作の兆候を重点的に行う必要があります。
graph TB %% クラス定義 classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% 技術ノード technique_valid_accounts[“<b>技術</b> – T1078 有効なアカウント<br/><b>説明</b>: 盗難または取得された認証情報を使用して初期アクセスを確立する。”] class technique_valid_accounts technique technique_exploit_remote[“<b>技術</b> – T1210 リモートサービスの悪用<br/><b>説明</b>: 脆弱なサービス(例: CVE-2021-26868, CVE-2024-0012, CVE-2024-5591)を悪用し、横展開および制御を行う。”] class technique_exploit_remote technique technique_persistence_registry[“<b>技術</b> – T1547.001 レジストリ実行キー / スタートアップフォルダ<br/><b>説明</b>: Runキー(HKCU/HKLM)やスタートアップフォルダにより永続化を確立する。”] class technique_persistence_registry technique technique_c2_external_proxy[“<b>技術</b> – T1090.002 外部プロキシ<br/><b>説明</b>: C2通信を外部プロキシ経由でルーティングし、インフラを隠蔽する。”] class technique_c2_external_proxy technique technique_c2_web[“<b>技術</b> – T1071.001 Webプロトコル (HTTP/S)<br/><b>説明</b>: HTTP/S (TCP/443) を用いたC2通信。”] class technique_c2_web technique technique_execution_ps[“<b>技術</b> – T1059.001 PowerShell<br/><b>説明</b>: PowerShellを使用してファイルのダウンロードや実行を行う。”] class technique_execution_ps technique technique_remote_access[“<b>技術</b> – T1219 リモートアクセスツール<br/><b>説明</b>: インタラクティブなリモートセッションを提供するバックドアを展開する。”] class technique_remote_access technique technique_credential_exploit[“<b>技術</b> – T1212 認証情報の悪用<br/><b>説明</b>: 盗まれた認証情報を使用して直接デバイスへ認証する。”] class technique_credential_exploit technique technique_impact_preos[“<b>技術</b> – T1542 プレOS起動<br/><b>説明</b>: OS起動前に影響を与えるためブートコンポーネントを改変する。”] class technique_impact_preos technique technique_impact_data_destruction[“<b>技術</b> – T1485 データ破壊<br/><b>説明</b>: 重要データを破壊または削除する。”] class technique_impact_data_destruction technique technique_impact_disk_wipe[“<b>技術</b> – T1561.001 ディスクワイプ<br/><b>説明</b>: ディスク領域を上書きしシステムを使用不能にする。”] class technique_impact_disk_wipe technique %% ツールとマルウェア tool_dustyproxy[“<b>ツール</b> – DUSTYPROXY<br/><b>説明</b>: レジストリRunキー経由でインストールされるC#プロキシクライアント。外部プロキシへ通信を中継する。”] class tool_dustyproxy tool malware_eriesnake_go[“<b>マルウェア</b> – ERIESNAKE.GO<br/><b>説明</b>: Go製バックドア。対話型セッション提供、PowerShell実行、HTTP/443通信を行う。”] class malware_eriesnake_go malware malware_rusty_boots[“<b>マルウェア</b> – Rusty Boots<br/><b>説明</b>: ブートキット型ワイパー。OS再インストール後も残存しブート領域を破壊する。”] class malware_rusty_boots malware malware_mokhargosh[“<b>マルウェア</b> – MoKhargosh<br/><b>説明</b>: 産業システムを無効化するためのブートキット型ワイパー。”] class malware_mokhargosh malware %% フロー technique_valid_accounts –>|次へ| technique_exploit_remote technique_exploit_remote –>|可能化| technique_persistence_registry technique_persistence_registry –>|使用| tool_dustyproxy tool_dustyproxy –>|インストール| technique_persistence_registry tool_dustyproxy –>|プロキシ転送| technique_c2_external_proxy technique_c2_external_proxy –>|通信| technique_c2_web technique_c2_web –>|実行支援| technique_execution_ps technique_execution_ps –>|起動| malware_eriesnake_go malware_eriesnake_go –>|提供| technique_remote_access technique_remote_access –>|悪用| technique_credential_exploit technique_credential_exploit –>|到達| technique_impact_preos technique_impact_preos –>|有効化| technique_impact_data_destruction technique_impact_data_destruction –>|破壊| technique_impact_disk_wipe technique_impact_preos –>|実装| malware_rusty_boots technique_impact_preos –>|実装| malware_mokhargosh %% スタイル class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
攻撃フロー
検知
可能な持続性ポイント [ASEPs – ソフトウェア/NTUSERハイブ](経由: registry_event)
表示
可能なシステム列挙(経由: cmdline)
表示
システムプロセスの模倣をする疑わしいプロセスが実行された(経由: cmdline)
表示
Wmi PowerShellモジュールを使用した可能なシステム情報発見(経由: powershell)
表示
IOC(HashMd5)を検出: イランのサイバーパラドックス: 劣化したAPT、権限を持つプロキシ、ブートキットワイパーの台頭
表示
IOC(SourceIP)を検出: イランのサイバーパラドックス: 劣化したAPT、権限を持つプロキシ、ブートキットワイパーの台頭
表示
IOC(DestinationIP)を検出: イランのサイバーパラドックス: 劣化したAPT、権限を持つプロキシ、ブートキットワイパーの台頭
表示
HYDRO KITTENのRockwell RSLogix 5000の悪用 [Firewall]
表示
ERIESNAKE.GOとDUSTYPROXYアクティビティを示唆する異常なHTTPトラフィックとプロキシリレー行動を検出 [Proxy]
表示
特定のプロセスによるERIESNAKE.GOのPowerShell実行の検出 [Windows PowerShell]
表示
DUSTYPROXYのレジストリRunキーを用いた持続性 [Windowsレジストリイベント]
表示
シミュレーション実行
前提条件: テレメトリーおよびベースラインのプレフライトチェックが合格している必要があります。
理由: このセクションは、検出ルールをトリガーすることを目的とした、敵対的技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは直接TTPを反映し、検出ロジックによって予想されるテレメトリーを正確に生成する必要があります。抽象的または無関係な例は誤診に繋がります。
-
攻撃のナラティブとコマンド:
- 資格情報を取得する (T1078) – 低権限のサービスアカウントを侵害した攻撃者は、安全でない資格情報ストアから「Rockwell」サービス資格情報を取得します。
- リモート・インタラクティブ・ログオン (T1078, LogonType 10) – それらの資格情報を使用して、攻撃者はRDPを介してターゲットのPLC管理ワークステーションに接続し、規則に一致する成功したログオンイベント(EventID 4624, LogonType 10)を生成します。
selection1. - エクスプロイトの試み (T1190 / T1542.003) – ログイン時、攻撃者はRSLogix 5000ウェブサービスに対して作成したHTTPリクエストを実行し、認証バイパスをトリガーします(CVE‑2021‑22681)。サービスは失敗した認証イベント(EventID 4625)をログし、失敗理由文字列に「CVE‑2021‑22681」が含まれ、規則を満たします。
selection2. - 事後エクスプロイト (T1059.001, T1071.001, T1090.002) – 外部プロキシを通じてPowerShellリバースシェルが確立され、悪意のあるペイロードがダウンロードされますが、これらのステップは規則が発効するために必要ではありません。
-
回帰テストスクリプト: 以下のスクリプトは、ステップ2と3を自動化し、正確なテレメトリーを生成します。
# ============================== # Hydro Kitten 悪用テスト # ============================== # 1️⃣ 変数 - 環境値に置き換えてください $targetHost = "10.0.0.50" # RSLogixサーバのIP $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # 既知(または取得した)パスワード $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Rockwellの資格情報を使用してリモートインタラクティブセッション(RDP)を確立する $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] $targetHostへのRDPセッションを$rockwellUserで開始しています..." # Start-Processは新しいログオンセッションを作成します - これがEventID 4624、LogonType 10を生成します Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # ログオンが記録される時間を許可します # 3️⃣ CVE-2021-22681認証バイパス試みをトリガーする $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] CVE検出をトリガーするための不正なリクエストを送信しています..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] エクスプロイトリクエストが送信されました。SIEMでEventID 4625が『CVE-2021-22681』を含むか確認してください。" -
クリーンアップコマンド: RDPセッションと一時的なアーティファクトを削除してください。
# RDPクライアントプロセスを終了する Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (オプション)フォレンジックフットプリントを削減するためのPowerShell履歴のクリア Clear-History