>
Insiktレポート

DarkSideアフィリエイト、TAG-21が標的とする追加のエンティティ。WellMess と Sliver インフラストラクチャへのリンク

投稿: 2021年6月28日
作成者 : Insikt Group®

プライマリ ロゴ - Insikt - デジタル (RGB).png

Executive Summary

2021年5月中旬、Insikt Groupは、Colonial Pipelineを侵害したのと同じDarkSide系列組織によって、さらに11の組織が標的にされた可能性が高いと報告しました。 4月27日には、これらの組織のうち9つからCobalt Strikeのコマンド&コントロール(C2)サーバー(176.123.2[.]216)は、コロニアルパイプラインを標的とする作戦で使用されました。 Insikt Groupは、このランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトとその活動をTAG-21として内部で追跡しています。

これらの組織が最初に標的にされてから2週間で、これら9つの組織のうち5つが、WellMessとSliver C2の疑いのある組織とも連絡を取り合っていました。 Recorded Future Network Traffic Analysis(NTA)によると、Fortune 500企業を含む複数の業種や地域にまたがる35以上のエンティティが、同じ疑わしいC2インフラストラクチャと通信していることが確認され、潜在的な侵害が示されています。 標的となった企業のほぼすべてが、 以前に SVR-nexusグループ やRaaS 関連会社 によって標的にされていたことが知られている、外部向けのCitrixアプライアンスとソフトウェアを提示していました。SVRはロシアの対外情報機関です。 この研究で提示されたデータに基づいて、次のシナリオが可能性の低い順に妥当であると考えています。 

  1. RaaS関連団体のTAG-21とSVR-nexusという2つの別々のグループは、企業内の脆弱なCitrixサーバーを大量に悪用することで世界中の組織を標的とし、重複する5つの標的組織に共存していました。
  2. WellMess C2sにリンクされた特定されたインフラストラクチャは、もはやSVR-nexusグループに限定されるものではなく、一部のRaaSアフィリエイトが利用できる可能性があります。
  3. 過去のWellMess C2にアクセスできるSVR-nexusグループは、RaaSエコシステムに関与しています。

Insikt Groupは、Recorded Futureの通知ポリシーに従って、この公開に先立って責任ある開示手続きを踏んだ。

影響を受ける組織および関連エンティティは、このレポートの付録Aに記載されている指標のいずれかに関する履歴または進行中の活動を確認し、DarkSideランサムウェア、Cobalt Strike、WellMess、およびSliverの感染を積極的に追跡することを強くお勧めします。 Recorded Futureのクライアントは、Recorded Future Platformの 高度なクエリビルダー 機能を介してCobaltまたはSilverを検出できます。 Recorded FutureのInsikt Groupが外部の敵対者のコマンド&コントロールサーバーをどのように特定しているかについては、 2020年Adversary Infrastructure Report をご覧ください。 

主な判断

  • 対象組織が4つの異なるC2で共有され、そのうち3つは同じマレーシアを拠点とするホスティングプロバイダーに属する同じ/16ネットブロックでホストされ、そのうち2つは互いに数日以内にプロビジョニングされていることから、このキャンペーンは1つのアクティビティグループ、または重複する権限を持つ2つのグループによって実施された可能性が高いことを示しています。
  • 影響を受けた組織とC2の間で最後に記録された活動は、2021年5月8日でした。 したがって、攻撃者は別のツールに切り替えたか、コロニアルパイプラインのインシデントに関する前例のないメディア報道を受けて、これらの組織を標的にすることから手を引いたのではないかと疑っています。
  • コロニアル・パイプラインの事件と同時期の11日間で、複数の業種や地域にわたってターゲティングの幅が広がったことは、金銭的な動機を持つ活動グループ、または活動に責任を持つ可能性が高いグループを示しています。 このターゲティングは、従来のSVRの情報収集要件と一致していません。

解析

WellMessは、APT29(別名:Cozy Bear、The Dukes、Blue Kitsune)がCOVID-19ワクチン開発を標的に使用していると 以前に報告 されたカスタムマルウェアファミリーです。 しかし、より最近の 報道では、英国の国家サイバーセキュリティセンター(NCSC)は、この活動をロシア連邦の対外情報局(SVR)に結びつけるために、その帰属表現の一部を再調整しました。 同じレポートで、NCSCは、特定のSVRサイバー作戦がオープンソースの攻撃的セキュリティツール(OST)Sliverを使用したと述べる一方で、グループが以前に開示されていた戦術、技術、手順(TTP)の使用から移行したと指摘しました。

WellMess C2 111.90.150の疑い176:443

IPアドレス 111.90.150[.]176, マレーシアに拠点を置く「Shinjiru Technology Sdn Bhd」インフラストラクチャでホストされているこのマルウェアは、2020年4月3日にInsikt GroupによってWellMess C2の疑いとして最初に検出され、少なくとも2021年6月5日まで活動を続けていました。 この検出は、WellMess コントローラー用に設定された TLS 証明書の明確な特性に基づく署名キーイングに基づいていました。 この時間枠では、利用可能なデータに基づいてこのIPに解決されるホスト名はありませんでした。ただし、2020年11月6日頃にTCPポート22でOpenSSH v7.6を実行するようにサーバーは更新されましたが、WellMessにリンクされたTLS証明書はインストールされたままでした。 さらに、C2は歴史的に英国のNCSCによって、COVID-19ワクチン開発に関与する組織のターゲティングに使用されていると 報告 されています。 ネットワークトラフィックは、2021年5月8日に、以下を含む10の標的組織がC2と通信していたことを示しました。

  • 米国の保険会社
  • 米国のITサービス会社
  • オーストラリアの医療地区
  • オーストラリアの地区議会
  • 南アフリカの経営コンサルタント会社 
  • スイスの州政府機関
  • 韓国のLCDおよび半導体製造会社
  • ブラジルとアイルランドの大学
  • 国際的なビデオゲーム開発会社

111.90.150[.]176件のうち3件は、DarkSideに関連するColonial Pipelineランサムウェア攻撃に関する以前のInsiktの調査でターゲットとして特定されました。 この調査では、Cobalt Strike C2 (c2.websecurenetworks[.]xyz |176.123.2[.]216)は、コロニアルパイプラインの侵入で使用された と伝えられています 。 3つの組織は、111.90.150[.]176 そのわずか 11 日後の 5 月 8 日、Colonial Pipeline はランサムウェア攻撃を受けたと発表しました。

重複するターゲティングが、Cobalt Strikeと、WellMess C2の疑いとしてフィンガープリントされたインフラストラクチャの両方を使用する活動グループを指している場合、Colonial Pipelineへの侵入がDarkSide RaaSのアフィリエイト(InsiktはTAG-21として追跡)に帰属していると報告されていることを考えると、そのアフィリエイトも疑わしいWellMess C2にもアクセスしていた可能性が高いと推測できます。 別のもっともらしい説明は、同じ組織を標的とする2つの異なるグループの存在です。

WellMess C2 111.90.146の疑い143:443

C2 111.90.146[.]143:443 は、APT29がCOVID-19ワクチン開発のターゲティングにWellMessとWellMailを使用することを概説したアドバイザリーで、英国のNCSCによって歴史的に 報告 されました。 このセクションで概説した被害者学とC2インフラストラクチャの特性が密接に重複していることは、この調査でカバーされた疑わしいWellMess C2の両方が同じ活動グループによって展開されたという強力な証拠を提供します。 

111.90.146[.]143 IPは、2020年4月11日、ポート443で独自のWellMess TLS証明書をホストしていると最初に特定されました。これは、以前に説明した最初のWellMess C2がプロビジョニングされてからわずか8日後のことでした。 これは、同じ/16ネットブロック内の同じプロバイダーでホストされており、2021年6月7日現在もアクティブなままであり、利用可能なデータに基づいて、この期間中にこのIPに解決されるホスト名はありませんでした。 他のWellMess C2と同様に、このサーバーも2020年11月にOpenSSH v7.6p1を実行するように更新されましたが、WellMessにリンクされたTLS証明書もインストールされたままでした。 

Recorded Futureは、2021年5月4日から5月8日の間に、複数のフォーチュン500企業を含む少なくとも22の組織がC2と持続的なセッションで通信していたことを示すネットワークトラフィックを特定しました。 これらの組織のうち5つは、以前に同じCobalt Strike C2(c2.websecurenetworks[.]XYZの |176.123.2[.]216)コロニアル・パイプライン攻撃で使用された。

  • 南アフリカの経営コンサルタント会社
  • コロンビアの保険会社
  • ブラジルとアイルランドの大学
  • 国際的なビデオゲーム開発会社

さらに、このレポートの前のセクションで取り上げた疑わしいTAG-21 WellMess C2(111.90.150[.]176:

  • オーストラリアの医療地区
  • 南アフリカの経営コンサルタント会社
  • スイスの州政府機関
  • ブラジルとアイルランドの大学
  • 国際的なビデオゲーム開発会社

疑わしいスライバーC2 111.90.147[.]236:80

前述のWellMess C2の疑いと同様に、111.90.147[.]236 コロニアル・パイプライン事件で使用されたコバルト・ストライクC2(176.123.2[.]216). 共通のホスティングプロバイダーとネットブロック、および特定された3つのWellMessとSliver C2の被害者が重複していることは、共通のアクティビティグループがこのアクティビティに関与している可能性が高いことを強く示しています。

疑わしいスライバーC2 111.90.147[.]236, HTTPヘッダーフィールドのユニークな組み合わせを使用して検出され、以前に文書化されたWellMess C2sと同じ「Shinjiru Technology Sdn Bhd」に属する/16ネットブロックでもホストされていました。 しかし、Sliver C2は、2020年10月26日(2台のWellMess C2が最初にプロビジョニングされてから6か月後)に初めて検出され、2021年6月11日現在もアクティブです。 5月7日に 公開されたアドバイザリ で、英国のNCSCは、APT29がCOVID-19ワクチン開発を標的にしていたことを強調した前回の発表に対して、SVRのサイバーアクターが反応し、TTPを変更し、Sliverなどのツールの使用を採用したことを強調しました。

2021年5月4日から8日にかけて、フォーチュン500企業を含む複数の業種に分散した合計21の異なる組織が、Sliver C2とコミュニケーションを取っていることが観察されました。

Citrixデバイスの悪用の可能性

侵入が疑われた最初の感染経路は確認できませんが、標的組織のリストにCitrixアプライアンスが集中していることから、TAG-21は十分に文書化されたCitrixエクスプロイトを使用したと考えています。 Recorded Futureによると、TAG-21が対象としたWellMess、Sliver、Cobalt Strikeを使用した組織の圧倒的多数は、Citrix Gateway、Citrix NetScaler(現在のCitrix Application Delivery Controller(ADC))、Citrix Receiverなどの露出したCitrixアプライアンスとソフトウェアを実行していました。 以下の図1は、特定されたIPでホストされているCitrix Gatewayログインポータルを示しており、疑わしいWellMess C2 11.90.150[.]176.

darkside-affiliate-tag-21-wellmess-sliver-1-1.png _Figure 1:_対象エンティティの1つに対するCitrix Gatewayログイン。 このホスト名をホストしているIPは、疑わしいWellMess C2 111.90.150[.]2021年5月8日の176:443。 (出典:URLScan Pro)

2020年7月、NCSCは、WellMessとWellMailを使用したCOVID-19ワクチン研究のSVRリンクターゲティングについて 報告 し、SVRがCVE-2019-19781に対して脆弱なCitrixデバイスの悪用に成功し、「[SVR]...公表されたら、さまざまな新しいエクスプロイトを最大限に活用しようとする可能性が高い」と述べている。 この脆弱性やその他の脆弱性がSVRによって悪用され続けるリスクは、2021年4月15日にNSA、CISA、FBIが 共同 で発表したサイバーセキュリティアドバイザリーでさらに強調されました。

さらに、2021年6月8日に公開されたCitrix ADCとCitrix Gatewayに影響を与える CVE-2020-8300は、攻撃者がフィッシング攻撃を実行してSAML認証を乗っ取ることで、有効なユーザーセッションにアクセスできることを強調しています。

アトリビューションに関する考慮事項

この研究で提示された証拠に基づいて、被害者学とC2インフラストラクチャの重複を説明できる3つのシナリオがあります。 尤度が小さい順に:

  1. 2 つの別々のグループ。 RaaSの関連会社であるTAG-21と、別の無関係のグループは、公開されているエクスプロイトを使用して脆弱なCitrixアプライアンスを広く標的にすることで、同じ組織の一部を侵害しました。 

2021年4月27日から5月8日にかけて、WellMessとSliverの疑いのあるインフラストラクチャにアクセスできるSVRとリンクするオペレーターは、Cobalt StrikeとDarkSideランサムウェアを使用して、TAG-21の標的にもなった5つの組織を標的にしました。 同じCobalt StrikeサーバーがColonial Pipelineを標的にするために使用されました。 SVRにリンクされたグループは、WellMessとSliverにリンクされた特定されたインフラストラクチャを使用する他の組織を標的にした可能性があります。 さらに、SVRにリンクされた攻撃者は、脆弱なデバイスの広範なスキャンを実施し、最近ではCVE-2019-19781を悪用したことが知られており、これはランサムウェアのアフィリエイトが悪用可能なターゲットを特定するために使用する一般的な手法でもあり、デュアルグループ仮説を支持しています。

  1. 1つのグループ。 WellMessにリンクされた特定されたインフラストラクチャは、もはやSVR-nexusグループに限定されるものではなく、TAG-21を含む一部のRaaSアフィリエイトが利用できます。 

TAG-21は、2021年4月27日から5月8日にかけて、コロニアル・パイプラインを含む35以上の組織を標的にした侵入作戦を実施しました。 このグループは、広く知られているCitrixの脆弱性を悪用し、WellMess、Sliver、Cobalt Strikeに関連するC2インフラストラクチャにアクセスした可能性があります。 また、TAG-21 は DarkSide ランサムウェアをレンタルして、選択した標的ネットワーク上のファイルを暗号化しました。 TAG-21が、予想されるWellMess C2のプロファイルと一致するサーバーへのアクセスを許可されたのか、徴発されたのか、または販売されたのかは確認できませんが、NCSCによると、C2が最初にプロビジョニングされ、COVID-19ワクチン開発関連のターゲティングに使用された数か月後の2020年11月にOpenSSHを実行するように更新されたことは明らかです。

  1. **1つのグループ。 **仮説(2)と似ていますが、TAG-21はSVRにリンクされたグループであり、過去のWellMess C2へのアクセスを維持し、RaaSエコシステムに関与しています。 これは最も可能性の低いシナリオであると評価しています。

2020年7月16日に 公開 されたNCSC、CSE、NSA、CISAの共同アドバイザリでは、APT29がCVE-2019-19781に対して脆弱なCitrixデバイスを含む多くの注目度の高いVPNおよび電子メールアプライアンスの脆弱性を悪用したこと、およびグループがWellMessおよびWellMailを使用してCOVID-19ワクチン開発に関与する組織内での永続性を獲得したことが詳述されています。 WellMessの帰属が公にされたのはこれが初めてでしたが、 JPCERTLACがカバーした2018年のキャンペーンで最初に報告されました。

それ以来、WellMessの使用に関する公開報告は、同じAPT29の帰属に引き寄せられています。 2021年4月、NCSCとNSAは、SolarWindsとそれに関連する侵入をSVRの せいに することを公に発表しました。 その直後の5月7日、NCSCはFBIとCISAとともに、SVRオペレーターがサイバー作戦で使用しているさらなるTTPに焦点を当てたフォローアップアドバイザリ ーを発表しました 。 これには、次のような重要なステートメントが含まれていました。

NCSC、NSA、CISA、CSE は以前、2020 年を通じて WellMess および WellMail マルウェアを使用して COVID-19 ワクチン開発に関与した組織を標的にしていたことに関する共同報告書を発表しました。 SVRのサイバーオペレーターは、この報告に対して、ネットワーク防御者によるさらなる検出と修復の努力を避けるために、TTPを変更することで対応したようです。 これらの変更には、アクセスを維持するためのオープンソースツール Sliver のデプロイが含まれていました。

このレポートで詳述されている2つのWellMess C2の疑いのあるC2は、COVID-19アドバイザリが発表される前の2020年4月に1週間間隔でプロビジョニングされました。 2021年6月11日現在も同じC2が活動しているように見えますが、強調されているように、彼らの最近の活動は、主に政府、外交、シンクタンク、ヘルスケア、エネルギーなど、世界中のターゲットを絞った一般的なSVRインテリジェンス要件よりもはるかに広範です。 2020年10月からの疑わしいSliver C2のプロビジョニングも注目に値します。これは、SVR TTPがSliverの使用に移行したと報告されているのと一致しています。 ただし、これは無料で入手できるオープンソースのOSTであり、ほぼ確実にRaaSアフィリエイトを含む他の活動グループでも使用されています。

標的となった組織が複数の業種や地域に分散していることは、特にCobalt Strike C2がColonial Pipelineランサムウェア攻撃と重複していることを考えると、スパイ活動のみではなく、潜在的な金銭的動機を示唆しています。

本稿執筆時点では、TAG-21とDarkSideやAPT29などのグループとの提携は不明ですが、TAG-21は、Colonial Pipelineを標的とし、他の35以上の組織を標的にすることで広範な混乱を引き起こすための実証可能な運用サイバー能力を維持しています。 2021年5月8日以降、この調査に含まれる対象組織から4つのC2に対する活動は観察されておらず、TAG-21または別の重複するグループが、DarkSideとその活動がメディアで広く取り上げられた後、別のツールに移行したか、解散したのではないかと疑っています。 しかし、TAG-21がWellMess、Sliver、Cobalt Strikeにリンクされたインフラストラクチャを使用することの潜在的な影響は、将来の運用で効果的であることが証明される可能性のある機能へのアクセスを示しています。

付録A — 指標

c2.websecurenetworks[.]xyz|176.123.2[.]216 – Google Malleable profile68e7bd3cf41bbc3df1159a3481e911d2d4fd588dfdbedcfe5a96dee3777eb920 – 176.123.2[.]216 8dafde4809fae1db6c2de051de9a005c43c4b0218af4e3c1f30fa6a0f65316fc – 176.123.2[.]216 111.90.150[.]176 – WellMess C2 111.90.146の疑い143 – WellMess C2 111.90.147の疑い236 – スライバーC2の疑い

関連