オペレーション・トンネルスネーク：Moriyaルートキットの検出

カスペルスキーラボのセキュリティ研究者は、以前は知られていなかったWindowsルートキットが中国系APTアクターによって何年もの間、感染したインスタンスにバックドアをインストールするために密かに利用されていたことを明らかにしました。このルートキットはMoriyaと呼ばれ、攻撃者にネットワークトラフィックの取得と、セキュリティ製品のレーダーに引っかからずに侵害されたデバイス上でコマンドを密かに実行する能力を提供します。研究者は、Moriyaがオペレーション・トンネルスネークという長期的なサイバーエスピオナージ作戦の悪意あるツールセットを補完していると考えており、この作戦はアジアとアフリカの地域的な外交資産を標的にしています。

Moriyaルートキット

詳細な 調査 カスペルスキーによると、Moriyaは高度な悪意あるツールであり、組織の公開サーバーにパッシブバックドアを設置できるものです。これらのバックドアは、侵害されたインスタンスを通過するすべてのトラフィックを監視し、悪意のある目的に指定されたパケットをフィルタリングするための攻撃者のコマンド・アンド・コントロール（C&C）サーバーと秘密裏に接続を確立します。注目すべきは、Moriyaはサーバー接続を設置するのではなく、着信トラフィックを待つことです。さらに、このルートキットはWindowsドライバーを利用してカーネルモードでトラフィックを検査し、必要なパケットを密かに削除します。このアプローチにより、攻撃者は数か月にわたって侵害されたネットワーク内部で監視されず、シェルコマンドを実行するための秘密のチャネルを得ることができます。

ルートキットの構造は、カーネルモードドライバーとその展開と制御を担当するユーザーモードエージェントで構成されています。最初のタスクを達成するために、エージェントはVirtualBoxドライバーを悪用する一般的なテクニックを使用してドライバー署名強制メカニズムをバイパスし、署名されていないMoriyaのドライバーをカーネルメモリ空間にロードします。また、このコンポーネントはC&Cサーバーからのコマンドをフィルタリングする役割を果たし、秘密のチャネルを通じて送信されるすべての悪意のあるパケットに一意の値を生成して追加します。さらに、Moriyaは明示的なチャネルを使用して逆シェルセッションを確立することもできます。

カーネルモードドライバーコンポーネントは、隠された通信を強化するためにWindows Filtering Platform（WFP）を利用します。特に、WFPはカーネルスペースAPIを作成し、悪意のあるドライバーコードに興味のあるパケットをフィルターし、Windows TCP/IPスタックによる処理を管理することを可能にします。ドライバーはフィルタリングエンジンを使用してMoriya関連のトラフィックを取得し、検査を回避するためにパケットをブロックします。同時に、関連しないトラフィックは通常通り処理され、システムからのセキュリティアラートを避けます。

オペレーション・トンネルスネーク

Moriyaルートキットは、カスペルスキーがオペレーション・トンネルスネークと名付けた長期間にわたるサイバーエスピオナージキャンペーンを支援しています。このルートキットは2019年から2020年にかけて侵害されたネットワークで確認されましたが、専門家は脅威アクターが2018年から活動していた可能性があると考えています。このキャンペーンは非常にターゲットが狭く、アフリカとアジアの10の主要な外交機関のみが標的リストに入っています。

研究者によると、未知のAPTグループが脆弱なウェブサーバーを悪用して最初のアクセスを得て、ネットワークにMoriyaを他の攻撃後ツールとともに配置しました。ツールセットにはChina Chopperウェブシェル、BOUNCER、TRAN、Termite、Earthworm、その他の主にネットワーク探索、横移動、ペイロード展開用に使用される高度なマルウェアサンプルが含まれています。ほとんどのツールはカスタムメイドですが、中国語を話すAPTアクターによって以前に使用されたオープンソースのマルウェアの一部も発見されました。この事実は攻撃者の潜在的な出自を示していますが、現在のところ正確な帰属は不明です。

注目すべきは、Moriyaがオペレーション・トンネルスネークとは無関係に2018年の攻撃で観察された古いIISSpyルートキットの後継である可能性があることです。さらに、カスペルスキーの専門家は、Moriyaを通常、アンチウイルス保護をバイパスするために使用されるProcessKillerマルウェアと関連付けています。

Moriyaルートキット検出

組織ネットワーク内の可能性のある悪意のある活動を検出するために、当社の精力的なThreat Bounty開発者 Osman Demir: https://tdm.socprime.com/tdm/info/ihN3d0opmHAn/#sigma

このルールは、次の言語に翻訳があります：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye

MITRE ATT&CK：

戦術：持続、対策回避

技術：新サービス（T1050）、ルートキット（T1014）

Threat Detection Marketplaceの無料サブスクリプションを取得し、業界初のSOCコンテンツライブラリを使用してサイバー防御能力を強化します。このライブラリは、CVEおよびMITRE ATT&CK®フレームワークにマッピングされた100K＋のクエリ、パーサー、SOC対応ダッシュボード、YARAおよびSnortルール、機械学習モデル、インシデントレスポンスプレイブックを集約しています。脅威ハンティングのイニシアチブに参加し、自分自身のSigmaルールを作成したいですか？私たちのThreat Bountyプログラムに参加してより安全な未来を目指しましょう！

プラットフォームへ移動 Threat Bountyに参加