Last Updated on 2024-06-01 16:03 by 荒木 啓介
LilacSquidという以前に文書化されていなかったサイバー諜報に焦点を当てた脅威アクターが、2021年以降、アメリカ合衆国、ヨーロッパ、アジアの様々なセクターを対象としたデータ盗難キャンペーンの一環として、標的型攻撃に関与していることが明らかになった。このキャンペーンは、被害組織に長期間アクセスを確立し、LilacSquidが興味を持つデータを攻撃者が制御するサーバーに送信することを目的としている。対象となるのは、アメリカで研究および産業セクター向けのソフトウェアを開発する情報技術組織、ヨーロッパのエネルギー会社、アジアの製薬セクターであり、広範な被害者の足跡を示している。攻撃チェーンは、インターネットに面したアプリケーションサーバーを侵害するために公に知られている脆弱性を悪用するか、リモートデスクトッププロトコル(RDP)の資格情報を侵害して、オープンソースツールとカスタムマルウェアの混合を配信することで知られている。キャンペーンの最も特徴的な機能は、MeshAgentというオープンソースのリモート管理ツールの使用であり、これはQuasar RATの特別バージョンであるPurpleInkを配信するための手段として機能する。RDP資格情報の侵害を利用する代替感染手順は、脅威アクターがMeshAgentを展開するか、InkLoaderと呼ばれる.NETベースのローダーをドロップしてPurpleInkをドロップするかを選択する点で、わずかに異なる手法を示している。成功したRDP経由のログインは、InkLoaderとPurpleInkのダウンロードにつながり、これらのアーティファクトをディスク上の望ましいディレクトリにコピーし、その後、InkLoaderをサービスとして登録して起動し、InkLoaderを展開し、それによってPurpleInkを展開する。PurpleInkは、2021年以降LilacSquidによって積極的に維持されており、高度に難読化されており、新しいアプリケーションの実行、ファイル操作の実行、システム情報の取得、ディレクトリとプロセスの列挙、リモートシェルの起動、およびコマンドアンドコントロール(C2)サーバーによって提供される特定のリモートアドレスへの接続を可能にする多機能性を備えている。Talosは、InkLoaderの前にPurpleInkを展開するために敵が使用したとされる別のカスタムツールであるInkBoxを特定した。MeshAgentを彼らの侵害後のプレイブックの一部として組み込むことは、これが以前に南朝鮮の企業を標的とした攻撃で北朝鮮の脅威アクターであるAndariel(悪名高いLazarus Group内のサブクラスター)によって採用された戦術であることを考慮すると注目に値する。別の重複点は、二次アクセスを維持するためのトンネリングツールの使用であり、LilacSquidはSecure Socket Funneling(SSF)を展開して、そのインフラストラクチャへの通信チャネルを作成する。このキャンペーンで使用される複数の戦術、技術、ツール、および手順(TTP)には、Andarielやその親の傘下グループであるLazarusなどの北朝鮮のAPTグループとのいくつかの重複がある。
【ニュース解説】
LilacSquidという新たに特定されたサイバー諜報に特化した脅威アクターが、2021年以降、アメリカ、ヨーロッパ、アジアの情報技術、エネルギー、製薬セクターを対象にデータ盗難キャンペーンを展開していることが報告されました。このキャンペーンは、被害組織に長期間アクセスを確立し、攻撃者が制御するサーバーにデータを送信することを目的としています。
攻撃手法には、公に知られている脆弱性を悪用する方法や、リモートデスクトッププロトコル(RDP)の資格情報を侵害してオープンソースツールとカスタムマルウェアを配信する方法が含まれています。特に注目されるのは、MeshAgentというオープンソースのリモート管理ツールと、PurpleInkと呼ばれるQuasar RATの特別バージョンの使用です。これらは、被害者のシステムに侵入し、データを盗み出すための重要なツールとして機能します。
PurpleInkは、新しいアプリケーションの実行、ファイル操作、システム情報の取得など、多様な機能を持つ高度に難読化されたマルウェアです。このマルウェアは、攻撃者が被害者のシステムを遠隔から制御し、重要な情報を盗み出すための手段を提供します。
このキャンペーンの特徴的な点は、北朝鮮の脅威アクターであるAndarielやLazarus Groupとの戦術や技術の重複が見られることです。これは、サイバー諜報活動の手法が国境を越えて共有され、模倣されていることを示唆しています。
このような脅威は、対象となるセクターにとって重大なセキュリティリスクをもたらします。特に、情報技術、エネルギー、製薬セクターは、社会の基盤となる重要な役割を担っているため、これらの攻撃は単に経済的損失を超えた影響を及ぼす可能性があります。例えば、エネルギーセクターへの攻撃は、広範囲にわたる停電を引き起こし、社会の安全と日常生活に直接的な影響を与える可能性があります。
この報告は、組織が自身のセキュリティ対策を見直し、特にインターネットに面したアプリケーションサーバーやリモートアクセスシステムのセキュリティを強化することの重要性を強調しています。また、脅威情報の共有と、セキュリティコミュニティ内での協力が、このような高度な脅威に対抗する上で不可欠であることを示しています。
長期的には、サイバー諜報活動の増加と進化は、国際的なサイバーセキュリティ規制や協力体制の強化を促す可能性があります。また、AIや機械学習などの先進技術を活用した防御策の開発が、今後のサイバーセキュリティ戦略の重要な要素となるでしょう。
from Cyber Espionage Alert: LilacSquid Targets IT, Energy, and Pharma Sectors.
