ダークハローAPTがSolarWindsハックとMalwarebytes侵害の背後に立つ

新しい高度なAPTグループ、Dark Halo（UNC2452, SolarStrom）は最近、サイバーセキュリティ界に登場し、過去数ヶ月間に主要メディアの見出しを集めています。研究者たちは、この高度な攻撃者が歴史的なSolarWindsハックやMalwarebytesセキュリティベンダーへの攻撃の背後にいる可能性があると信じています。

Dark Haloとは誰か？

Volexityのセキュリティ専門家 は推定しています Dark Haloは2019年末に悪意ある活動を開始したと推定されます。このグループは、米国のあるシンクタンクを標的にした複数の攻撃を行い、その上級役員のメールを盗むことを目的としていました。おそらく、Dark Haloは主な米国ベンダーや政府系組織に対するさらなる偵察活動を強化するために貴重なデータを探していました。注目すべきは、脅威アクターがRed Teamツールや高度なマルウェアサンプルを含む豊富な悪意あるツールセットを適用したことです。しかし、そのようなツールは時折、他の機会が阻止された場合にのみ使用されました。方法の選択性は、データ盗難活動中に目立たないようにするAPTの意図によって説明されます。

Volexityは、2019年第3四半期から2020年第2四半期にかけて発生した米国のシンクタンクに対する3つの連続した攻撃を説明しています。最初は、Dark Haloのメンバーが高度なインプラントとバックドアトロイの木馬を使用して組織に侵入し、目立たないようにする方法を取りました。発見されてブロックされた後、敵はMicrosoft Exchange Control Panel（CVE-2020-0688）のリモート実行の欠陥を悪用して組織の資産へのアクセスを復元しました。最終的に、Dark Haloは改変されたSolarWinds Orionの更新によってベンダーを3度目に妥協させました。

Volexityからの研究は、FireEyeの 結論と非常に近いものであり、研究者がDark HaloがSolarWinds攻撃を担う同じUNC2452グループであるとの推定に至りました。ハッカーの出自は依然として不明ですが、米国の情報機関は 疑っています Dark Haloがロシア政府の代理で活動していると。

Dark Halo攻撃ルーチン

セキュリティ研究者は、Dark Haloが目標を達成するために適用したいくつかの悪意ある方法を詳述しています。特に、敵はそのキャンペーンの過程でOutlook Web App（OWA）からメールデータを抽出する興味深い方法を使用しました。ターゲットとなったメールボックスはDuo多要素認証で保護されていたにも関わらず、サイバー犯罪者は単に盗まれたログイン情報を入力することでメールアカウントを侵害しました。二次認証はこの場合にはトリガーされず、Duo認証サーバーはいかなる認証の試行も記録していませんでした。調査により、Dark HaloがOWAサーバーからDuoの統合秘密鍵（akey）をうまく取得したことが明らかになりました。さらに、この鍵を使用してデュオ-sidクッキーを作成し、有効なインスタンスとしてサーバーに提示しました。

偵察活動に関しては、Dark Haloは明らかにExchangeサーバーに依存していました。具体的には、セキュリティ専門家は、ハッカーがExchangeを使用してサーバー上のユーザーリストを取得し、現在の役割を確認し、設定された仮想ディレクトリに関する有益なデータを得ていたと特定しました。また、ハッカーはAdFindコマンドラインツールを使用してActive Directoryからデータを取得しました。

セキュリティ専門家は、ハッカーが悪意ある行動を隠すことに多くの注意を払っていると指摘しています。報告によると、敵は対象アプリケーションから関係するすべてのログを削除し、コマンドの痕跡を消去しました。このような行動は再び、偵察の意図を持って破壊せずに貴重な情報を探していることを証明しています。

SolarWindsハック

研究者たちはDark Halo APTグループが SolarWinds 画期的な攻撃の責任を担っていると断言しています。このグループは、トロイの木馬化されたSolarWinds Orionのアップデートを介して、世界中の多数の公共および民間の機関を侵害しました。先に説明したキャンペーンと同様に、攻撃者は複数のツールを使用して活動を覆い隠しました。例えば、研究者たちは、Cobalt Strike Beaconを侵害された環境に配信し、ネットワークを横断して移動する攻撃者の能力を向上させたTeardropと Raindropという2つの悪意ある系統を特定しました。調査は依然として進行中であり、新しい詳細が常に明らかになっています。それでも、すべての専門家は、Dark Haloがおそらく国家支援を受けている高度な脅威グループであることで一致しています。ハッカーは、彼らの興味のある組織から機密データを盗むための複雑な攻撃ルーチンをサポートできます。

Malwarebytes侵害

2021年1月19日、他のセキュリティ会社MalwarebytesはDark Halo攻撃の犠牲になったと発表しました。 Malwarebytes CEOの 公式声明

Malwarebytesの侵害は、FireEye、Microsoft、CrowdStrikeがすでにリストにある、Dark Haloによって危殆化されたセキュリティベンダーの数を4に増やしています。

Dark Halo検出

可能性のあるDark Haloの活動を検出するために、脅威狩猟エンジニアのSOC Primeチームが専用のSigmaルールをリリースしました：

https://tdm.socprime.com/tdm/info/FYiZuTI6GcQ2/fyKSZHYBR-lx4sDxgRZ7/

このルールは次のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Carbon Black, Microsoft Defender ATP

MITRE ATT&CK:

戦術: 発見

技法: アカウント発見 (T1087)

さらに、ネットワーク内でDark Halo (UNC2452) の存在を検出するためのQRadar向けのリアルタイム相関ルールを含むルールパックをチームからダウンロードすることができます：

https://tdm.socprime.com/tdm/info/nDm8Ct8egXfC/gScmbHYBR-lx4sDxOBVC/

Dark Haloの悪意ある活動に関連するより多くのルールは、 FireEye 侵害、 SUNBURST バックドア分析、 Raindrop マルウェアの概要に専念した当社のブログ投稿で見つけることができます。SolarWinds事件に関する詳細は、 Golden SAML 攻撃と SUPERNOVA バックドアに専念した投稿で確認することができます。

脅威検出能力を強化するための最高のSOCコンテンツをお探しですか？業界をリードする脅威検出コンテンツ提供サービス（CaaS）プラットフォームである Threat Detection Marketplaceに登録してください。ご自身のSigmaルールを作成し、専用の検出コンテンツを作成したいですか？SOC Primeコミュニティと洞察を共有するために Threat Bountyプログラム に参加してください！