Billbug として知られる国家が支援するサイバー攻撃グループは、XNUMX 月にまでさかのぼる広範なスパイ活動の一環として、デジタル認証局 (CA) を侵害することに成功しました。
デジタル証明書は、ソフトウェアを有効なものとして署名し、デバイスまたはユーザーの身元を確認して暗号化された接続を有効にするために使用されるファイルです。 そのため、CA が侵害されると、大量のステルス攻撃が発生する可能性があります。
「認証局を標的にしたことは注目に値します。攻撃者が認証局を侵害して証明書にアクセスできた場合、それらを使用して有効な証明書でマルウェアに署名し、被害者のマシンでの検出を回避するのに役立つ可能性があるからです。」 レポート 今週はシマンテックから。 「また、侵害された証明書を使用して HTTPS トラフィックを傍受する可能性もあります。」
「これは潜在的に非常に危険です」と研究者は述べています。
進行中のサイバー侵害の相次ぐ
Billbug (別名 Lotus Blossom または Thrip) は、主に東南アジアの被害者を標的とする中国を拠点とするスパイ グループです。 大物狩りで知られています。つまり、軍事組織、政府機関、および通信プロバイダーが保持する秘密を追跡することです。 時には、より広範なネットを投げかけ、より暗い動機をほのめかします。過去のある例では、航空宇宙オペレーターに侵入して、衛星の動きを監視および制御するコンピューターに感染させました。
最近の一連の悪質な活動では、APT はアジア全体の政府および防衛機関のパンテオンを攻撃しました。あるケースでは、政府のネットワーク上の「多数のマシン」に独自のマルウェアを感染させました。
「このキャンペーンは、少なくとも 2022 年 2022 月から XNUMX 年 XNUMX 月まで続いており、この活動が続いている可能性があります」と、Symantec Threat Hunter Team のシニア インテリジェンス アナリストである Brigid O Gorman は述べています。 「Billbug は、長年にわたって複数のキャンペーンを実行してきた老舗の脅威グループです。 シマンテックは現時点でその証拠を持っていませんが、この活動は他の組織や地域に拡大する可能性があります。」
サイバー攻撃に対するおなじみのアプローチ
これらのターゲットと CA での最初のアクセス ベクトルは、脆弱な公開アプリケーションの悪用でした。 コードを実行する能力を獲得した後、攻撃者はネットワークに深く潜り込む前に、既知のカスタム Hannotog または Sagerunex バックドアをインストールし続けます。
後のキル チェーン ステージでは、Billbug の攻撃者は複数の Living Off The Land バイナリ (LoLBin)Symantec のレポートによると、AdFind、Certutil、NBTscan、Ping、Port Scanner、Route、Tracert、Winmail、WinRAR などです。
これらの正当なツールは、Active Directory にクエリを実行してネットワークをマッピングする、ファイルを圧縮して抽出する、エンドポイント間のパスを明らかにする、NetBIOS とポートをスキャンする、ブラウザのルート証明書をインストールするなど、さまざまなドッペルゲンガーの用途に悪用される可能性があります。追加のマルウェアのダウンロードは言うまでもありません.
二重用途のツールと組み合わせたカスタム バックドアは、過去に APT によって使用されていたおなじみのフットプリントです。 しかし、公衆への暴露に対する懸念の欠如は、 グループのコースのパー.
「Billbug は、過去にこのグループに関連付けられていたツールを再利用しているため、この活動が自分に起因する可能性があることを気に留めていないように見えることは注目に値します」と Gorman 氏は言います。
彼女は次のように付け加えています。 正当なツールが使用されている可能性があるかどうかも認識します 疑わしいまたは悪意のある方法で。」
シマンテックは、問題の無名の CA に活動を通知するよう通知しましたが、ゴーマンはその対応や修復の取り組みに関する詳細を提供することを拒否しました。
これまでのところ、このグループが実際のデジタル証明書を侵害できたという兆候はありませんが、研究者は、「企業は、脅威アクターが認証局へのアクセスを達成できる場合、マルウェアが有効な証明書で署名される可能性があることに注意する必要があります」とアドバイスしています。
一般に、組織は潜在的な攻撃チェーンの各ポイントでリスクを軽減するために、複数の検出、保護、および強化テクノロジを使用して、多層防御戦略を採用する必要があると彼女は言います。
「シマンテックは、管理者アカウントの使用について適切な監査と制御を実装することも推奨します」とゴーマン氏は述べています。 「管理ツールの使用状況のプロファイルを作成することもお勧めします。これらのツールの多くは、攻撃者がネットワークを介して検出されずに横方向に移動するために使用されるからです。 全体として、多要素認証 (MFA) は、侵害された資格情報の有用性を制限するのに役立ちます。」
