マイクロソフトとFireEye、新たなマルウェアサンプルをSolarWinds攻撃者に関連付けて発表

マイクロソフト脅威インテリジェンスセンターとMicrosoft 365 Defenderリサーチチームが行った最近の分析では、悪名高いNobelium APTが壊滅的なSolarWindsのサプライチェーン攻撃の際に適用した3つ以上の悪意のあるサンプルが明らかになりました。報告によると、新たに発見された第二段階のマルウェアは、敵対者が検出を回避し、持続性を獲得し、被害を受けたネットワークに追加のペイロードをロードするために使用されました。

GoldMax、GoldFinder、およびSibotバックドア

マイクロソフトの研究 詳細 3つの新しい株として命名された GoldMax, GoldFinder、および Sibot。FireEyeによる同時調査も 指摘しています 新しい悪意のあるサンプルとして呼ばれる Sunshuttle. 

NOBELIUM（GoldMax、GoldFinder、Sibot）は、SolarWinds攻撃者によって使用されました（マイクロソフトによって発見されました） GoldMax (Sunshuttle) は、サイバー諜報の目的で使用される高度で悪意のある後段階のコマンドアンドコントロール（C＆C）バックドアです。C＆Cトラフィックを混乱させ、合法的なウェブサイトからのものであるかのように偽装するために複雑な回避技術を適用します。マルウェアに使用されるAPT制御サーバーは、NameSilo経由で匿名で登録されました。このドメインプロバイダーは、ロシアやイランの国家支援APTアクターによって頻繁に使用されます。

最近特定された2番目の脅威 GoldFinderは、カスタムHTTPトレーサーツールとして機能します。侵害されたホストとサーバーの間のC＆C通信に関与するプロキシサーバーやネットワークセキュリティツールを特定できます。

最後のマルウェアサンプルは、呼ばれる SibotVBScript脅威であり、持続性を確保し、リモート攻撃者のサーバーから追加のマルウェアをロードするために機能します。レーダーから外れるために、悪意のあるVBScriptファイルは合法的なWindowsタスクを偽装し、スケジュールされたタスクとして実行されます。

マイクロソフトとFireEyeは、上記のカスタムマルウェア株が2020年6月から9月にかけて複数のベンダーに対するターゲット攻撃で使用されたと指摘しています。悪意のあるソフトウェアは、ダンプされた認証情報を介した初期アクセスを得た直後、正規の侵入段階で使用されました。 TearDrop マルウェア。注目すべきことに、悪意のある株は特定のネットワークに合わせてカスタマイズされ、異なるポストコンプロマイズタスクに適応しました。マイクロソフトによれば、新しいマルウェアは強化された能力を持ち、特異な攻撃パターンを使用しており、Nobeliumハッカーの進化する高度さを示しています。

Nobelium APT

SolarWindsサプライチェーン攻撃の徹底的な調査の後、マイクロソフトはNobelium APTと名付けられた新しい脅威アクターについて話し始めました。この新しいハッカー集団は、国家主体のアクターであり、検出を回避し、悪意のあるツールのコードを難読化する高度なスキルを持っていると信じられています。攻撃者の出所は現在不明ですが、マイクロソフトのセキュリティアナリストは、このグループがロシアに関連していると信じています。

サイバーセキュリティ分野で新しいプレイヤーであるにもかかわらず、Nobeliumはカスタムマルウェアを生産し、前例のないサイバー諜報オペレーションを開始する能力のある洗練されたアクターとして早くも評判を築いています。ハッカーがトロイ化されたSolarWinds Orionアップデートを通じて18,000以上の組織を見事に侵害した後、世界のコミュニティは新しい脅威に注目しました。被害者のリストには、Fortune 500リストから452以上のベンダー、米国連邦機関9つ、および世界をリードするセキュリティ企業が含まれています。特に、このグループの活動は、FireEyeを含むさまざまなセキュリティベンダーによって分析されました。 追跡しています UNC2452、Violexity 追跡しています 暗黒の天使とも呼ばれる集団として、マイクロソフト は Nobelium APTと呼んでいます。

2019年末に登場して以来、Nobeliumハッカーは侵入中に複数のカスタム悪意のある株を生産し利用してきました。セキュリティ専門家は以前4つの異なるサンプルを特定しており、その中には Sunburst, Sunspot, Raindrop、および Teardropが含まれています。そして最近発見された株は、この数を7に増やしています。 GoldMax、 GoldFinder、および Sibot リストに含まれています。

Nobelium APT攻撃の検出

可能なNobelium APTの悪意ある活動を検出し、 GoldMax, GoldFinder、および Sibot マルウェア

から守るために、鋭いThreat Bounty開発者たちは、Threat Detection Marketplaceで利用可能なコミュニティSigmaルールを公開しました。

Rundll32.exe .sys 画像ロードリファレンスで発動します。

ルールは、次のプラットフォームに翻訳されています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye Helix

MITRE ATT&CK：

戦術：実行、防御回避

技術：署名されたバイナリプロキシの実行（T1218）

Nobelium APT攻撃をカバーするさらなる検出コンテンツを見つけるには、FireEyeの侵害分析 、, Sunburst and Raindrop 分析、 Golden SAML攻撃、 暗黒の天使 の概要をチェックすることをお勧めします。 overview.

Get a free subscription to Threat Detection MarketplaceThreat Detection Marketplace に加入し、サイバー防御者のグローバルコミュニティとともに、独自の検出を作成し共有したいですか？!