センチュロンソフトウェアベンダーがSandwormAPTによる長期キャンペーンでハッキングされる
目次:
フランス国家情報システムセキュリティ局 (ANSSI) は、フランスの主要なITおよびウェブホスティングプロバイダーに対するSandworm APTによる3年間の作戦を明らかにしました。ANSSIの勧告は 詳細を示しています このキャンペーンは2017年に始まり、一連の次々と起こる侵害をもたらしました。その中には、フランスの政府機関で広く採用されている監視ソフトウェア企業であるCentreonの侵害も含まれています。
Centreon攻撃の概要
ANSSIによれば、Sandwormのハッカーはインターネットに公開されたCentreonサーバーに侵入しました。最初の侵入方法は不明ですが、研究者たちは対抗者がCentreon製品の脆弱性を利用したか、管理用アカウントの資格情報を盗んだ可能性があると指摘しています。
Centreonの侵害は、脅威のアクターが他のフランスの組織にハッキングし、ネットワークにバックドアマルウェアを植え込むための入口として機能しました。セキュリティ専門家は、Sandwormキャンペーン中に侵害されたすべての企業が、サーバーにCentOSオペレーティングシステムを実行していたと報告しています。
CentreonソフトウェアはSolarWinds Orion製品に似ており、Sandworm侵入は悪名高い SolarWindsサプライチェーン攻撃と多くの共通点を持っていますが、Centreonの関係者は 主張しています Sandwormキャンペーン中にそのユーザーはいずれも影響を受けなかったとしています。影響を受けた組織はメーカーがサポートを終了した2016年にリリースされたレガシーのオープンソースバージョン(v2.5.2)を使用していました。さらに、Centreonの声明は、Sandwormのハッカーが悪意のある更新を顧客に配布するために同社のITインフラを使用したことがないため、セキュリティ事件はサプライチェーン攻撃ではなかったと明確に述べています。
P.A.S WebshellとExaramel Backdoor
ANSSIによって分析された侵害されたCentreonサーバーは、P.A.SウェブシェルとExaramelバックドアの2つのマルウェアサンプルの存在を明らかにしました。これらの悪意のある汚点は、脅威のアクターによって隠密偵察のために使用されています。
研究者によると、SandwormハッカーはP.A.S(Fobushell)ウェブシェルバージョン3.1.4を使用して被害者を攻撃しました。この悪意のあるスタインはウクライナの学生によって開発され、さまざまな脅威のアクターによってその作戦で広く採用されています。たとえば、P.A.Sウェブシェルは複数の WordPressサイトに対する攻撃に利用されており 2016年の米国選挙に干渉することを目的としたロシアに関連するハッカーの悪意ある活動に使用されました。マルウェアの印象的な機能により、ハッカーはファイルの一覧、変更、作成、またはアップロード、SQLデータベースとの相互作用、妥協されたホスト内の特定の要素を検索、リスニングポートによるバインドシェルの作成、遠隔アドレスをパラメーターとしてリバースシェルの作成、マシン上の開いているポートやリスニングサービスの検索、ブルートフォース攻撃の実行、妥協されたシステムに関するデータの収集などを行うことができます。
Sandwormハッカーによって使用されたもう1つの悪意のあるサンプルはExaramelバックドアです。それは最初に 2018年にESETにより報告されました。既存する2つのバリアントが特定されています。一方はWindowsユーザーをターゲットに設計され、もう一方はLinuxシステムのみで使用されます。現在の悪意のある作戦では、Sandworm脅威アクターはバックドアのLinuxバージョンを使用して被害者に対する隠密監視を行いました。ExaramelはGoで書かれたリモート管理ツールです。マルウェアはHTTPS経由で攻撃者のコマンド&コントロール(C&C)サーバーと通信し、オペレーターが設定したさまざまなタスクを実行できます。具体的には、Exaramelは自己削除、自己更新、ファイルのアップロードと変更、シェルコマンドの実行、およびレポートの作成が可能です。 by ESET in 2018, with two existing variants identified. One variant is designed to target Windows users, and the other is used exclusively for Linux systems. In the current malicious operation, Sandworm threat actors relied on the Linux version of the backdoor to perform covert surveillance against their victims. Exaramel is a remote administration tool written in Go. The malware can communicate with the attackers’ command-and-control (C&C) server via HTTPS and perform various tasks set by its operators. Specifically, Exaramel is capable of self-deleting, self-updating, uploading and modifying files, running shell commands, and compiling reports.
Sandwormハッカーへの痕跡
ロシアの国家支援のSandworm APTグループ(別名BlackEnergy、Quedagh、Voodoo Bear、Iron Viking、Telebots)は、GRUの軍事部隊であると考えられ、少なくとも2009年以来活動しています。Sandwormの脅威アクターは、モスクワ政府のために行われた多くの主要なハッキング作戦に関与していました。たとえば、2015年から2016年にかけて、Sandwormはウクライナの電力網に対する一連の破壊的なサイバー攻撃を開始しました。2017年には、このグループは画期的なNotPetyaキャンペーンの背後に立ちました。同時に、2017年にかけてSandwormはフランスの地方政府機関、政治団体、およびフランス大統領エマニュエル・マクロンにつながるキャンペーンに対する一連のスピアフィッシング攻撃を開始しました。また、2018年には平昌オリンピックを妨害することを目的とした一連のサイバー攻撃を開始しました。
As 2018年にESETにより報告されました。既存する2つのバリアントが特定されています。一方はWindowsユーザーをターゲットに設計され、もう一方はLinuxシステムのみで使用されます。現在の悪意のある作戦では、Sandworm脅威アクターはバックドアのLinuxバージョンを使用して被害者に対する隠密監視を行いました。ExaramelはGoで書かれたリモート管理ツールです。マルウェアはHTTPS経由で攻撃者のコマンド&コントロール(C&C)サーバーと通信し、オペレーターが設定したさまざまなタスクを実行できます。具体的には、Exaramelは自己削除、自己更新、ファイルのアップロードと変更、シェルコマンドの実行、およびレポートの作成が可能です。 カスペルスキーラボのグローバルリサーチ&分析チーム(GReAT)ディレクター、コスティン・ライウによれば、Sandwormはその悪意のある作戦でExaramelバックドアを展開する唯一のグループであり、これによりロシアのAPTがCentreonのハッキングの背後に立つ直接の指標が示されています。
攻撃検出
Exaramelバックドアに関連する悪意のある活動を特定し、積極的に対応するためには、SOC Prime Teamから専用のSigmaルールをダウンロードすることができます。
https://tdm.socprime.com/tdm/info/eOaZhPfB6DRz/5v5Sq3cBR-lx4sDxOtA2/#rule-context
ルールは以下のプラットフォームに翻訳されています。
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
して、あなたの入力に対して報酬を得ましょう!
戦術: 初期アクセス
技術: 公開アプリケーションのエクスプロイト (T1190)
アクター: Sandwormチーム
脅威検出マーケットプレイスに登録 し、90,000以上のキュレーションされたSOCコンテンツライブラリにアクセスできます。このライブラリには、ルール、パーサー、検索クエリ、容易にさまざまな形式に変換可能で、MITRE ATT&CKマトリックスに対応したSigmaおよびYARA-Lルールが含まれています。 MITRE ATT&CKマトリックス。独自の Sigmaルール? を開発したいですか? 脅威バウンティープログラムに参加
