2022年アドバーサリーインフラストラクチャレポート

2022年アドバーサリーインフラストラクチャレポート

insikt-group-logo-updated-3-300x48.png
編集者注: ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

Recorded FutureのInsikt Group®は、2022年を通じて、プロアクティブなスキャンおよび収集方法を使用して特定された悪意のあるコマンドアンドコントロール(C2)インフラストラクチャの調査を実施しました。 すべてのデータはRecorded Future® Platformから提供され、2022年9月1日現在のものです。

Executive Summary

Recorded Futureは、多数のエクスプロイト後のツールキット、カスタムマルウェア、オープンソースのリモートアクセストロイの木馬(RAT)のための新しい悪意のあるインフラストラクチャの作成と変更を追跡します。 2017 年以降、RAT、APT(Advanced Persistent Threat)マルウェア、ボットネットファミリー、その他のコモディティツールを含む 108 のファミリーに対する検出を作成しています。2022年には、17,000台以上のユニークなC2サーバーを観測し、これは昨年から30%増加しました。 2021年と同様に、2022年のコレクションは、Cobalt Strikeチームのサーバー、IcedIDやQakBotなどのボットネットファミリー、PlugXなどの人気RATが占めていました。

主な判断

背景

間もなくアクティブ化される悪意のあるC2(C2)サーバーを特定する際の通知リードタイムを長くすることで、防御側はより積極的に脅威を中和することができます。 C2サーバーを稼働させるには、図1に示すように、脅威アクターがいくつかの手順を実行する必要があります。 まず、サーバーインフラストラクチャは、侵害または合法的な購入によって取得する必要があります。 次に、C2通信にドメイン名が必要な場合は、取得して登録する必要があります。 次に、ソフトウェアをインストールし、構成を調整し、トランスポート層セキュリティ (TLS) 証明書を登録し (該当する場合)、ファイルをサーバーに追加する必要があります。 攻撃者は、パネルログイン、セキュアシェル(SSH)、またはリモートデスクトッププロトコル(RDP)を介してアクセスし、マルウェアコントローラをポートに公開して、被害者からデータを転送し、感染にコマンドを管理できるようにする必要があります。 (操作によっては、追加のアクションも必要になる場合があります。 これらの手順が完了した後にのみ、サーバーを悪意を持って使用できます。

2022_adversary_infrastructure_report_figure_1.png

図1:C2兵器化のライフサイクル(出典:Recorded Future)

ただし、サーバーを立ち上げ、構成し、アクセスする際に、攻撃者は、フィッシングキャンペーンや悪意のあるツールでサーバーを使用する前に観察可能なアーティファクトを残します。 これらのアーティファクトは、防御者にとって検出の機会を生み出し、サーバーにデプロイされたソフトウェアバージョン、ログインパネル、TLS証明書パターン、または単純なプローブによって返されるデフォルトのメッセージが含まれます。

C2サーバーの作成から武器化までを検出することで、敵対者が悪意のあるキャンペーンをどのように行うかについての洞察を得ることができます。 これには以下が含まれます。

コレクションバイアスに関する注意

Recorded Futureは、主に既知のマルウェアファミリーとそのサーバー側ソフトウェアの特性に基づいて、C2サーバーに関する情報を収集します。 このコレクションの性質は、既知のコマンド&コントロールフレームワークとその派生物またはサポートインフラストラクチャの特定に焦点を当てており、パッシブおよびアクティブのインターネットスキャンデータが含まれています。 IPアドレスがC2サーバーであることは、C2からの悪意のある活動の証拠がある場合にのみ検証されます。 そのため、既知の脅威のサーバーを報告する際には偏りがあり、それらのサーバーに対して収集バイアスがかかります。 この方法論は、異常の特定やネットワーク内の奇妙なトラフィックの検出に代わるものではありません。

脅威分析

C2ファミリーの上位5つの観測結果は、1つのマルウェアカテゴリに支配されているわけではなく、エクスプロイト後のフレームワーク(Cobalt Strike)、リモートアクセスツール/バックドア(PlugX、DarkComet)、ボットネット(Emotet)が混在しています。

2022_adversary_infrastructure_report_figure_2.png

図2:Recorded Futureが観測した上位5つのC2の3年間の傾向(出典:Recorded Future)

過去3年間の上位5つのファミリーを詳しく見ると、Cobalt Strike、Meterpreter、PlugXのサーバーの数が、これらのツールの古さにもかかわらず、継続的に増加していることがわかります。 Emotetの検出は約1年前から行われており、観測された検出数に基づくと、Emotetは確かに完全に動作 しています 。 DarkCometは、前年比で~47%増加したことからも明らかなように、依然として関連性があります。 新しいマルウェアとレッドチームツールは毎年リリースされています。ただし、図2に示すように、前世代の定着ツールと比較して、それらの使用は少ないことがわかります。

2022_adversary_infrastructure_report_figure_3.png

図3:Recorded Futureが見たマルウェアファミリ別のC2検出総数(出典:Recorded Future)

対象を上位 20 件の C2 検出に拡大すると、Brute Ratel (BRc4) や BumbleBee などの新しいファミリーや、PlugX、AsyncRAT、IcedID、DarkComet などの主力製品を含む、より包括的な C2 環境が見られます。 2021年は「C2環境は今後も多様化していく」と予測しました。 新しいマルウェアファミリーやC2フレームワークがリリースされるにつれて、その一部がサーバーをスキャンして検出するための脅威インテリジェンス対策を認識するようになると予想しています。」 2022年には、昨年のトップ5とトップ20以外のツールで検出されたC2の数が大幅に増加したことは事実ですが、今年の増加のほとんどは、PlugX、Remcos、DarkComet、QuasarRATなどの「確立された」ツールを幅広いアクターが使用したことによるものです。 2021年と比較して2022年に使用が増加したデータセットの上位6つのツールは次のとおりです。

  1. PlugX(51%増)
  2. Remcos (51% 増)
  3. DarkComet(44%増)
  4. QuasarRAT (40%増)
  5. ミシック(33%増)
  6. AsyncRAT(24%増)

このコモディティツールの使用頻度が高いことは、脅威アクターが検出されないのではなく、紛れ込んで原因不明であることに関心を持つ割合が増えている、または単にターゲットがこれらのよく知られたツールでさえ検出する可能性が低いと判断したことを示していると考えています。 さらに、オーダーメイドのツールを開発するために必要なコストと専門知識を考慮すると、脅威アクターはコモディティツールを購入するか、無料のオープンソースツールを使用することを好むかもしれません。

たとえば、BRc4を使用すると、エンドポイント検出と応答(EDR)回避技術が増えますが、ユーザーベースが小さいため、アトリビューションのリスクが高くなりますが、DarkCometの使用はステルス性や回避性が低いかもしれませんが、多くの脅威アクターが使用するオープンソースのRATです。

2022 年の敵対者インフラストラクチャのテーマ

C2の観測結果全体を見ると、2022年の上位テーマを3つ特定しました。

  1. 後継者にもかかわらず、PlugXは成功を続けています:ShadowPadが「後継者」として宣伝されているにもかかわらず、PlugXは依然として広く使用されています。
  2. ボットに戻る(何度も何度も):2021年ほど普及していませんが、複数のボットネットはまだ非常に活発です。Emotet、IcedID、QakBot、Dridex、TrickBotはいずれも2022年にトップ20に入りました。
  3. ロシア、読書後に燃える:ロシアに起因するC2検出の限界。
PlugXは、後継者にもかかわらず、成功を続けています

2020年のAdversary Infrastructureレポートでは、ShadowPadがPlugXの後継であると 説明した Doctor Webの記事を参照しました。 2020年以降も、中国の複数の国家支援グループによるShadowPadの採用が増加しているにもかかわらず、PlugXの感染が観察されました(Recorded Futureは、ShadowPadコントローラーを管理するインフラストラクチャをAXIOMATICASYMPTOTEとして追跡しています)。 2022年もPlugXの利用は続いており、下のグラフのようにさらに増加しています。

2022_adversary_infrastructure_report_figure_4.png

図4:過去12ヶ月間に検出されたPlugXおよびAXIOMATICASYMPTOTE C2の数(出典:Recorded Future)

PlugXは、過去10年間、主に中国を拠点とする脅威アクターによって使用されてきました。 2015年にエアバスが 報じ たように、以前のPlugXバリアントのビルダーが公開されました。 これは、PlugXの使用が、中国の国家支援を受けた一部の脅威アクターに非公開で販売されている 可能性が高い ShadowPadと比較して、管理が厳しくない可能性が高いことを示しています。 私たちは、RedDeltaおよびRedFoxtrot脅威アクターグループに起因するPlugXの亜種を積極的に追跡しています。

ボットに戻る(何度も何度も)

2021年には、Emotetのテイクダウン後、ボットネットの活動が急増し、検出したC2の大部分はTrickBot、QakBot、Bazar、IcedID、Dridexでした。 2022年、ボットネットはC2データを支配していませんでしたが、それでもトップ5とトップ20のリストに存在していました。 図5に示すように、Dridex、Emotet、IcedID、QakBot、TrickBotは、今年最も多くのC2検出が観測されたボットネットファミリーです。

2022_adversary_infrastructure_report_figure_5.png

図5:検出されたDridex、Emotet、IcedID、QakBot、TrickBot C2の比較(出典:Recorded Future)

TrickBotとDridex
2021年10月に検出されたTrickBot C2の数(アクティブなC2の数は194)が急増し、その数か月後にマルウェアが休眠状態になることが確認されました。同様に、Dridexの活性は安定しており、2022年6月に急上昇(150の活性C2)が発生するまで、月に45〜80の活性C2が変動し、休眠状態になりました。

TrickBotの活動は、TrickBotのオペレーターがTrickBotマルウェアの使用を段階的に廃止しているという 今年の初 めの報告と一致しています。 Dridex の場合、3 月から 6 月の急増までの使用が増加したことは、RIG エクスプロイト キットで Dridex が使用されているという 報告 と相関しています。 Dridexの突然の休眠状態は、IcedIDとQakBotの普及、 およびEmotetの復活により、ボットネットが全体的に上回っていることを示している可能性もあります。

QakBotの
観察されたQakBot C2の数は、昨年末から今年にかけて比較的少なく、月平均10のアクティブなC2でした。2022年3月以降、検出されたQakBot C2の数が大幅に増加し、2022年9月には90のアクティブなC2が最も多かったことが観察されています。最近では、SentinelOne が QakBot を使用して Black Basta ランサムウェアを 配信 しているのを確認しました。

アイスID
2022年5月まで、IcedIDは月に30〜60個のアクティブなC2を持っていることが確認されています。 5月からは102機まで増加し、2022年9月にはさらに着実に178機のアクティブなC2が稼働しています。 これらの増加には、以下の重要なイベントが要因となっている可能性があります。

エモテット
2021年初頭にEmotetのインフラストラクチャが停止し、活動が長期間中断された後、Emotetは永久に運用を停止するかもしれないという憶測がありました。これは正しくないことが判明しました。Emotetは2021年後半に戻ってきました。伝えられるところによると、Contiのランサムウェア作戦と連携していました。Emotetの初期の復活は、TrickBotのインフラストラクチャの再利用であると報告されました。偶然にも、図5では、TrickBotが動作を停止する直前に追跡したのと同じ数のアクティブなC2でEmotetが起動していることがわかります。

2021年後半から2022年初頭にかけてはEmotet C2の量は比較的少なかったものの、2022年5月には1,200台以上のC2が稼働し、大きな急増が見られました。 Netskope Threat Labsからの報告では、この期間に LNK ファイルと Microsoft Officeドキュメント を使用してEmotetを広めていた2つのアクティブなキャンペーンが言及されています。

6月には、2022年7月まで低い範囲に戻り、その後、Emotetの数字は再び上昇し始めました。 現在観測されているアクティブなEmotetのC2の数は、2022年9月に1,000件をわずかに超えるアクティブなC2で、5月に見られた急増のレベルにほぼ達しています。 2022年7月以降、EmotetのアクティブC2が最近増加していることは、Emotetに関する最新のレポートを裏付けています。

ロシア、読書後に燃やす

私たちの観察に基づくと、ロシアの国家に起因する攻撃者は、他の国家が支援する作戦と比較して、C2インフラストラクチャの運用セキュリティを向上させることがよくあります。 たとえば、C2サーバーを1対1で操作するなどの方法を使用することが多く、したがって、単一のターゲット組織のインプラントとのみ対話します。 また、同社のC2インフラストラクチャが公に報告されると、すぐに省かれることが多いことも観察しています。 ロシアの国家支援を受けた一部のアクターは、国家のアクターが コモディティマルウェア 一般的なC2フレームワーク の使用に移行する全体的な傾向の 最前線にも立 っています。脅威アクターが一般的な既製のソフトウェアをスパイ活動に利用すると、研究者や研究者にとってアトリビューションがより困難になる可能性があります。

対照的に、中国、イラン、およびその他の一部の国に起因する作戦は、マルウェアやインフラストラクチャの運用セキュリティに不注意であることが多く、多数のターゲットや公開後に特定のC2を使用したり、本質的に同じマルウェア(PlugXなど)を何年も使用しながら、それを複数の運用チーム間で共有したりしています。

ロシア政府が支援するC2インフラの頻繁なシフトは、特定の作戦の追跡をより困難にする可能性があります。 GRAVITYWELLは、ロシア対外情報局(SVR)にリンクされたWellMessバックドアをホストするために一般的に使用されるサーバー技術とTLS証明書構成のRecorded Future指定であり、そのような一時的なインフラストラクチャの一例を示しています。

私たちは、GRAVITYWELLを複数のフェーズで追跡してきました。 これらのフェーズ間で、GRAVITYWELLの活動が公開された直後のインフラストラクチャに明確な変化が見られました。

2020年7月、英国のNational Cyber Security Centre(NCSC)は、WellMessを使用したAPT29の運用に関する レポート を発表しました。 このレポートには、キャンペーンで使用されていることが知られているC2インフラストラクチャが含まれていました。 2020年8月、そのインフラストラクチャは、キャンペーンの前のフェーズとは異なるTLS証明書パターンによって識別可能な新しいC2のセットに置き換えられました。 2021年7月、 RiskIQレポート がリリースされ、TLS証明書の詳細を提供する30を超えるC2サーバーを特定しました。 1年前に起こったように、これらのC2の変化は、レポートのリリースから1か月以内に観察されました。

2022_adversary_infrastructure_report_figure_6.png

図6:GRAVITYWELLの公開報告とインフラの変更のタイムライン(出典:Recorded Future)

エクスプロイト後のフレームワーク

私たちが検出したエクスプロイト後のフレームワークのうち、合法的なレッドチーム作戦で使用され、犯罪者やスパイ分子によって使用されているものの割合を推定することは困難です。 全体として、ボリュームの変更は、さまざまな操作での採用に加えて、署名の改善と収集努力の増加にも関連している可能性があります。

2022_adversary_infrastructure_report_figure_7.png

図7:過去3年間の攻撃的セキュリティツールのC2観測結果(出典:Recorded Future)

昨年観察された攻撃的なセキュリティツールのトップ10を過去2年間と比較すると、Cobalt Strike C2の活動が急速に増加し続けていることが非常に明確になります。 Cobalt Strikeは、さまざまなアクターにとって好まれる攻撃型セキュリティツールであることは明らかで、Cobalt Strikeの検出量は昨年大幅に増加しました。 この 2 倍の増加は、検出の数、検出が実行されている時間の長さ、Cobalt Strike を使用しているアクターの量によるものと考えています。

トップ10にランクインした他のフレームワークでボリュームが増加したのは、Covenant、Mythic、Metasploit/Meterpreter(これら2つは今年統合されました)です。しかし、どれもコバルトストライクほど大きく跳んだことはありませんでした。 Covenant のオープンソース プロジェクトは2021年以降更新されていませんが、利用は増え続けています。 Mythicは、コードベースの 更新 を引き続き受け取っています。 一部のMythicインフラストラクチャは、Conti Leaksでも 言及 されている Botleggers Club という名前を参照しており、少なくとも一部のランサムウェアオペレーターがそれを使用していたことを示唆しています。

Brute Ratel(BRc4)とBeEFはどちらも、検出率がまだトップ10に入るほど高くなかったため、今年は佳作です。 BRc4の開発者は、 EDR開発のバックグラウンドを持ち、EDRが検出を回避する方法に特化して、ツールの検出を困難にするよう努めています。 BRc4 のバージョンが クラック され、犯罪者の地下にも広がっており、ランサムウェア ギャングの Black Basta によって使用されている ことが確認 されています。

グローバルスケール

2022年には、2021年(13,268台)と比較して30%多くのC2サーバーを検出しました(17,233台)。既存のマルウェアファミリの検出の改善。また、Cobalt Strike、Meterpreter、PlugXなど、検出されているツールの使用も増加しています。

私たちは、116カ国の1,419のホスティングプロバイダーでC2インフラストラクチャの作成を観察しました。 これは世界の地理的な部分の大部分を占めていますが、悪用されたサーバーは、70,000を超える自律システム(AS)オペレーター全体のごく一部しか占めていません。

2022_adversary_infrastructure_report_figure_8.png

図8:国別のC2観測値(自律システム番号[ASN]のロケーションで識別)(出典:Recorded Future)

ランキング順には若干の変化がありましたが、C2ホスティングプロバイダーの上位10社のボリューム別構成は2021年以降、ほとんど変わっていません。シンガポールを拠点とするBGPNET Global(AS64050)のみが181から147C2に減少したため脱落し、Alibaba (US) Technology Co., Ltd.に取って代わられました。 全体として、上位10社のC2ホスティングプロバイダーはすべて、検出されたC2サーバーの数が大幅に増加したことを記録し、そのうち4社は2021年から2022年の間に50%以上の増加を記録しました。

ボリュームでトップ10C2ホスティングプロバイダー
ホスティングプロバイダー
ASN (英語)
C2の合計(2021年)
C2の合計(2022年)
前年比増加率
深センテンセントコンピュータシステムズ
AS45090
中国
571
2297
3.02
デジタルオーシャン、LLC
AS14061
米国
968
1421
0.48
Amazon.com 株式会社
AS16509
米国
624
1156
0.85
杭州アリババ広告有限公司
AS37963
中国
574
1126
0.96
ザ・コンスタント・カンパニーLLC
AS20473
米国
700
834
0.19
マイクロソフト株式会社
AS8075の
米国
205
411
1
OVHのSAS
AS16276
フランス
267
338
0.27
Linode, LLCについて
AS63949
米国
208
291
0.4
M247株式会社
AS9009の
米国
171
228
0.33
アリババ(米国)テクノロジー(株)
AS45102
米国
95
192
1.02

表1:2022年に観測されたC2サーバーの量と2021年と比較した上位のC2ホスティングプロバイダー

表2は、上位5つのマルウェアファミリが、上位10のホスティングプロバイダーのC2サーバーの大部分を占めていることを示しています。上位5つのマルウェアファミリーは、上位10のホスティングプロバイダーの半数で検出されたすべてのC2サーバーの少なくとも80%を占めていました。 「上位マルウェア %」列には、ホスティング プロバイダの合計 C2 に占める上位 5 つのマルウェア ファミリが寄与した C2 検出の割合が反映されています。

トップ5マルウェアファミリ:C2ホスティングプロバイダー別
ホスティングプロバイダー
トップファミリー
合計 C2
上位マルウェア率
深センテンセントコンピュータシステムズ
コバルトストライク、メータプレーター、AXIOMATICASYMPTOTE、Metasploit、PlugX
2178
95%
杭州アリババ広告有限公司
コバルトストライク、メータープレーター、スライバー、PupyRAT、XtremeRAT
1041
92%
デジタルオーシャン、LLC
コバルトストライク、YerLoader、IcedID、Meterpreter、Mythic
935
66%
Amazon.com 株式会社
コバルトストライク、メータープレター、コアディック、スライバー、GH0st RAT
668
58%
ザ・コンスタント・カンパニーLLC
Cobalt Strike、PlugX、AXIOMATICASYMPTOTE、Meterpreter、QakBot
669
80%
マイクロソフト株式会社
コバルトストライク、ケルベロス、メータープレーター、ダークコメット、エンパイア PowerShell
290
71%
M247株式会社
コバルトストライク、バンブルビー、IcedID、メータープレーター、プラグX
200
88%
OVHのSAS
Cobalt Strike、BumbleBee、IcedID、Meterpreter、NanoCore RAT
178
53%
アリババ(米国)テクノロジー(株)
コバルトストライク、メータープレター、XtremeRAT、AXIOMATICASYMPTOTE、横断歩道
159
83%
Linode, LLCについて
コバルトストライク、メータプレーター、AXIOMATICASYMPTOTE、Mythic、PlugX
125
43%

表2:2022年に観測されたC2ホスティングプロバイダー別の上位マルウェアファミリー

表2では、Cobalt Strikeがすべてのホスティングプロバイダーでトップのマルウェアファミリーであり、次いでMeterpreterが多くなっています。 AXIOMATICASYMPTOTE と PlugX は、通常、同じホスティングプロバイダーにあります。 Recorded FutureのBumbleBeeの検出の26%はM247 LtdとOVH SASで、Cerberusの検出の57%はMicrosoft Corporationのインフラストラクチャで検出されました。

これらのホスティングプロバイダーはC2サーバーの最大数を占めていましたが、C2サーバーはその管轄下にあるサーバーの総数に占める割合はごくわずかでした。 表3は、総保有量と比較してC2サーバーの割合が最も高い10のプロバイダーを示しています。 この推定値は、2022 年に観測された確認済みの C2 サーバーと比較した、AS が発表した IPv4 プレフィックスの数に基づいています。

ホストされているC2の割合が最も高いホスティングプロバイダー
ホスティングプロバイダー
ASN (英語)
トップ検出
ホストされているサーバーの割合はC2です
UAB Cherryサーバー
AS59642
リトアニア
コバルトストライク
3.91%
スチームVPS SRL
AS50578
ルーマニア
アイスID
2.73%
KURUN CLOUD株式会社
AS395886
米国
コバルトストライク
2.34%
フライサーバーS.A.
AS48721
パナマ
コバルトストライク
1.56%
HDTIDC LIMITEDの
AS136038
香港
ローミングカマキリ
1.20%
インターナショナルホスティングソリューションズLLP
AS213354
英国
ヤーローダー
1.17%
フライサーバーS.A.
AS209588
パナマ
コバルトストライク
0.95%
Chang Way Technologies Co.、Limited(チャンウェイテクノロジーズ株式会社)
AS57523
香港
コバルトストライク
0.91%
BLネットワーク
AS399629
米国
コバルトストライク
0.80%
BlueVPSのOU
AS62005
エストニア
アイスID
0.78%

表3:2022年に全サーバー数と比較してC2サーバーをホストしたホスティングプロバイダー

今後の展望

2023年になっても、Cobalt StrikeとボットネットがC2観測の大部分を占めると予測されるでしょう。 Cobalt Strike は来年も検出数のトップ 5 に留まると予想していますが、さらに 2 倍に増加するとは予想していません。 Cobalt Strikeの使用はBRc4の使用によって共食いされると考えています。 その結果、脅威アクターが EDR エージェントによる検出を難しくし、Cobalt Strike の有能な代替手段として機能する BRc4 の使用に移行しているため、BRc4 の使用と C2 の検出が増加すると予測しています。 また、Sliver、DeimosC2、Alchimist、ManjusakaなどのニッチなC2ツールに関連するC2観測が増加することも考えられます。

Redline Stealer、QakBot、Nanocoreなどのマルウェアファミリーは、ランダムで非標準のポートを使用しているにもかかわらず、すでに成功しています。 これにより、IPv4空間全体で可能なすべての非標準ポートをスキャンすることは不可能であるため、従来の完全なインターネットスキャンが禁止されます。 かつてはハイポートの使用の方が検出しやすいと考えられていましたが、依然として適切なC2通信チャネルであるように思われ、より多くのC2オペレーターがC2通信にハイポートを利用すると予測しています。

2022年6月、ShadowServerはIPv6インターネット空間をスキャンする ための方法論 を詳しく説明しました。 私たちは、Recorded Futureを含むより多くの組織がIPv6スキャンを増やし、その結果、より多くのIPv6 C2検出結果が得られると予測しています。 広く報道されていませんが、Mandiantが 報じている VirtualPieのように、IPv6接続で通信するマルウェアは存在します。