Last Updated on 2024-06-01 12:59 by 荒木 啓介
Cisco Talosの研究者たちは、これまで未知の高度な持続的脅威(APT)アクターであるLilacSquidが、アメリカ、ヨーロッパの様々なセクターにわたるデータ流出攻撃に関与していることを特定した。LilacSquidの一部の戦術は、北朝鮮の脅威アクターであるAndarielと重なり、AndarielはLazarus Group内のサブクラスターとして活動している。LilacSquidは、公に知られている脆弱性を悪用してインターネットに面したアプリケーションサーバーに侵入する方法や、盗まれたリモートデスクトッププロトコルの資格情報を使用する方法で初期侵害を行う。
システムが侵害されると、LilacSquidは複数のオープンソースツールを使用して攻撃者が制御するコマンドアンドコントロールサーバーに接続し、偵察活動を行う。これには、オープンソースのリモート管理ツールMeshAgentや、ディスク上のハードコードされたファイルパスから読み取り、内容を復号化する.NETベースのローダーInkLoaderが含まれる。MeshAgentとInkLoaderは、QuasarRATトロイの木馬のカスタムバージョンであるPurpleInkなどのカスタムマルウェアをドロップするために使用される。PurpleInkは、高度に難読化されており、新しいアプリケーションの実行、ファイル操作、システム情報の収集、ディレクトリと実行中のプロセスの列挙、リモートシェルの起動、コマンドアンドコントロールサーバーによって指定された特定のリモートアドレスへの接続が可能である。
さらに、LilacSquidはSecure Socket Funneling (SSF)を使用してリモートサーバーへのトンネルを確立している。LilacSquidが使用する戦術、技術、手順は北朝鮮のAPTグループと類似している。Andarielは、侵害後のアクセスを維持するためにMeshAgentを使用しており、LazarusはSOCKsプロキシとトンネルツール、二次アクセスとデータ流出のためのカスタムマルウェアを広範囲に使用している。
LilacSquidは少なくとも2020年から活動しており、侵害した組織への長期アクセスを確立し、価値のあるデータを攻撃者が制御するサーバーに盗むことに焦点を当てている。対象とされた組織には、アメリカの研究および産業セクター向けのソフトウェアを開発する情報技術組織、ヨーロッパのエネルギー会社、アジアの製薬セクターが含まれる。
【ニュース解説】
Cisco Talosの研究者たちが、これまで未知だった高度な持続的脅威(APT)アクター、LilacSquidがアメリカやヨーロッパの様々なセクターでデータ流出攻撃に関与していることを明らかにしました。このグループは、北朝鮮のAPTグループであるAndarielと似た戦術を使用しており、公に知られている脆弱性の悪用や盗まれたリモートデスクトッププロトコルの資格情報を使って攻撃を行っています。
侵害されたシステムでは、LilacSquidはオープンソースのリモート管理ツールMeshAgentや、.NETベースのローダーInkLoaderを使用して攻撃者が制御するコマンドアンドコントロールサーバーに接続し、偵察活動を行います。これらのツールを利用して、PurpleInkというカスタムマルウェアを配布し、様々な操作を可能にしています。PurpleInkは、ファイル操作やシステム情報の収集、リモートシェルの起動など、多岐にわたる機能を持っています。
また、LilacSquidはSecure Socket Funneling (SSF)を用いてリモートサーバーへのトンネルを確立することもあります。このグループの戦術、技術、手順は、北朝鮮のAPTグループと類似しており、長期にわたるアクセスを確立して価値あるデータを盗み出すことに焦点を当てています。
このような攻撃は、情報技術組織、エネルギー会社、製薬セクターなど、幅広い業界に影響を及ぼしています。LilacSquidの活動は、サイバーセキュリティの脅威がいかに多様で、高度化しているかを示しており、組織は常に警戒し、防御策を更新し続ける必要があります。
このニュースから学べる重要な点は、攻撃者がオープンソースツールを利用して高度な攻撃を行うことが可能であるということです。これは、セキュリティ対策を講じる際に、オープンソースツールの使用状況を監視し、適切なセキュリティ対策を施すことの重要性を強調しています。また、公に知られている脆弱性を悪用されるケースが多いため、ソフトウェアの更新とパッチの適用を迅速に行うことが、攻撃を防ぐ上で非常に重要です。
長期的な視点では、APTグループによる攻撃の検出と対策の強化、特に重要なデータを扱う組織においては、継続的なセキュリティ教育と意識の向上が求められます。また、国際的な協力による情報共有も、こうした脅威に対抗する上で不可欠な要素となります。
