This post is also available in: English (英語)
エグゼクティブサマリー
Unit 42は6ヶ月かけて中国を拠点とするサイバー犯罪グループRockeの調査を行いました。Rockeはクラウドをターゲットとして暗号通貨マイニング処理を行っている最も悪名高い脅威攻撃グループです。調査から判明した内容をまとめたものは最近のクラウド脅威レポート(日本語版公開)からご覧いただけます。この調査レポートではRockeについて私たちが行った調査の結果を詳しく説明していますが、このなかで私たちは「このグループはほとんど邪魔されることなく、また検出リスクを抑えつつオペレーションを実行している」と結論づけています。
2018年12月から2019年6月16日までのNetFlowデータを分析することによって、調査したクラウド環境の28.1%が、少なくとも1つの既知のRocke Command and Control(C2)ドメインとの少なくとも1つの完全に確立されたネットワーク接続を持っていることがわかりました。これらの組織のいくつかは、ほぼ毎日の接続を維持していました。その間、組織の20%が1時間ごとのハートビートを維持しており、これはRockeの戦術・テクニック・手順(TTP)と一致するものでした。
このグループはまたGodluaと呼ばれる新しいツールをリリースしていました。このツールはエージェントとして機能するもので、これによりグループ内のアクターが追加のスクリプト処理を実行できるようになります。追加されるスクリプト処理には、サービス拒否(DoS)攻撃、ネットワーク プロキシ、2つのシェル機能などが含まれます。Unit 42はまた、NetFlowトラフィック内で同グループのネットワーク トラフィックを識別するための様々なパターンも発見しました。これにより、RockeのTTPに関する独自の洞察と、防御側が検出機能を開発する方法についての洞察を得ることができます。
Rocke攻撃グループとは
Ironグループ、SystemTen、Kerberods/Khugepageds、ex-Rockeなどの別名でも知られるRockeの活動が最初に報告されたのは2018年8月でした。それ以来リサーチャーたちはブログで同グループによるGolangプログラミング言語の利用や、新しいバックドアであるGodluaについて説明してきました。RockeによるオペレーションをMITRE ATT&CKフレームワークにマッピングしたオペレーション関連のブログもあります。Unit 42はまた、同グループのXbashランサムウェアツールとそのクラウドセキュリティ回避と暗号通貨マイニングのテクニックについてのブログを公開しています。
Rockeは当初、機能的にNotPetyaと類似したデータ破壊型マルウェアであるLinux特化型ツールXbashを使用をしていたことから、ランサムウェア キャンペーンと関連づけられていました 。NotPetyaは、EternalBlueエクスプロイトを使用し、ネットワーク経由で拡散するマルウェアで、Xbashも組織のパッチ未適用の脆弱性や弱いパスワードの使用を悪用した横展開を行いましたが、その効果はさほど高くなかったようです。またRockeは組織を侵害後、被害者に損失データ復元のための0.2ビットコイン、0.15ビットコイン、または0.02ビットコイン(BTC)の支払いを要求しましたが、Xbashは身代金の要求以前にデータベーステーブルを削除していることから、データは復元不能でした。Unit 42がレポートした時点でのRockeのBTCウォレットは、個別の48件の送金による0.964 BTC(今日の米国ドル価格で10,130ドル、日本円でおよそ100万円に相当)だけでした。
Rockeの暗号通貨マイニング オペレーション
Xbashマルウェア同様、Rockeグループ最初の暗号通貨マイニング オペレーションはPythonで書かれており、第1段階のペイロードをダウンロードするコードリポジトリとしてPastebinないしGitHubを使用していました。2019年3月12日時点で、RockeのアクターはこのほかにGolangも使いはじめました。第1段階のペイロードは、被害者のシステムに対し、ハードコードされたRockeのドメイン/IPアドレスへの接続を指示し、これが第2段階のペイロードのダウンロードをトリガーします。
Unit 42は、最初の報告以降、どうやら決まった12段階の手順に従ってRockeがオペレーションを実行している様子があることを観測しました。
- アクターが第1段階のペイロードをサードパーティのサイト(Pastebin、GitHubなど)にアップロードする
- 被害者がPastebin/GitHubに移動するよう仕向ける(スピアフィッシングなど)
- 既知の脆弱性(Oracle WebLogic、Adobe ColdFusion、Apache Strutsなど)を悪用する
- 被害者がバックドアをダウンロードする(シェルスクリプト、JavaScriptのバックドアなど)
- 被害者がPythonかGolangのスクリプトを介し第1段階のペイロードを実行しC2サーバーに接続する
- 第2段階のペイロードであるスクリプトをダウンロードして実行し、システムの管理者アクセス権限を取得する
- cronジョブ コマンドを使用して永続性を確立する
- すでにインストールされている暗号通貨マイニング プロセスを探してkillする
- それ以降の暗号通貨マイニングプロセスをブロックするためにiptablesにルールを追加する
- エージェントベースのクラウドセキュリティ対策ツール(Tencent Cloud、Alibaba Cloudなど)をアンインストールする
- Moneroのマイニングソフトウェアをダウンロードしてインストールする
- "libprocesshider"を使ってLinuxのpsからXMRigマイニング プロセスをルートキット化(隠蔽)する
Rockeのインフラ
本稿執筆時点では、8つのドメインが、ハードコードされたIPアドレス、URLアドレス、またはドメイン登録時のつながり(WHOIS登録者のEメールアドレスなど)を通じてRockeのC2オペレーションと紐付けられています。次表はそれらのドメインがRockeグループのインフラとどのように関係しているかを示したものです(表1参照)。
| ドメイン | Rockeとのつながり | 重複が見られた値 | 解決先IPアドレス |
| sowcar[.]com | ハードコードされたIOC | 4592248@gmail[.]com | 23.234.4[.]15123.234.4[.]153
27.221.28[.]231 27.221.54[.]252 36.103.236[.]221 36.103.247[.]121 36.248.26[.]205 42.202.141[.]230 42.236.125[.]84 42.56.76[.]104 43.242.166[.]88 59.83.204[.]14 60.167.222[.]122 61.140.13[.]251 104.31.68[.]79 104.31.69[.]79 113.142.51[.]219 113.200.16[.]234 116.211.184[.]212 118.213.118[.]94 118.25.145[.]24 122.246.6[.]183 125.74.45[.]101 150.138.184[.]119 182.118.11[.]126 182.118.11[.]193 182.247.250[.]251 182.247.254[.]83 183.224.33[.]79 211.91.160[.]159 211.91.160[.]238 218.75.176[.]126 219.147.231[.]79 221.204.60[.]69 |
| thyrsi[.]com | WHOIS 登録 | 4592248@gmail[.]com | 23.234.4[.]15123.234.4[.]153
103.52.216[.]35 104.27.138[.]223 104.27.139[.]223 205.185.122[.]229 209.141.41[.]204 |
| w2wz[.]cn | WHOIS 登録 | 4592248@gmail[.]com | 36.103.236[.]22136.103.247[.]121
42.202.141[.]230 58.215.145[.]137 58.216.107[.]77 58.218.208[.]13 60.167.222[.]122 61.140.13[.]251 113.142.51[.]219 113.96.98[.]113 116.211.184[.]212 118.213.118[.]94 118.25.145[.]241 121.207.229[.]203 122.246.20[.]201 125.74.45[.]101 140.249.61[.]134 150.138.184[.]119 182.118.11[.]193 182.247.250[.]251 218.75.176[.]126 219.147.231[.]79 222.186.49[.]224 |
| baocangwh[.]cn | WHOIS 登録 | 4592248@qq[.]com | 103.52.216[.]35104.18.38[.]253
104.18.39[.]253 104.31.92[.]26 104.31.93[.]26 119.28.48[.]240 205.185.122[.]229 |
| z9ls[.]com | WHOIS 登録 | 4592248@qq[.]com | 103.52.216[.]35104.27.134[.]168
104.27.135[.]168 104.31.80[.]164 104.31.81[.]164 172.64.104[.]10 172.64.105[.]10 205.185.122[.]229 |
| gwjyhs[.]com | ハードコードされたドメイン | gwjyhs[.]com | 103.52.216[.]35104.27.138[.]191
104.27.139[.]191 205.185.122[.]229 |
| heheda[.]tk | ハードコードされたIPアドレスまたはドメイン | 104.238.151.101c.heheda[.]tk
d.heheda[.]tk dd.heheda[.]tk |
104.18.58[.]79104.18.59[.]79
104.238.151[.]101 195.20.40[.]95 198.204.231[.]250 |
| cloudappconfig[.]com | ハードコードされたIPアドレスまたはドメイン | 104.238.151.101c.cloudappconfig[.]com
img0.cloudappconfig[.]com Img1.cloudappconfig[.]com img2.cloudappconfig[.]com |
43.224.225[.]22067.21.64[.]34
104.238.151[.]101 198.204.231[.]250 |
| systemten[.]org | ハードコードされたドメイン | systemten[.]org | 104.248.53[.]213104.31.92[.]233
104.31.93[.]233 134.209.104[.]20 165.22.156[.]147 185.193.125[.]146 |
表1 既知のRockeドメイン
Rockeの新たな攻撃ベクター
前項で一覧化したTTPでは、Rockeのオペレーションにおける潜在的な第3段階は考慮していません。Godlua バックドアの分析報告が出る前まで、Rockeマルウェアは侵害先のクラウドシステム上でオペレーション上の特定機能を実行していた様子がありました。Godluaの報告でもこうしたRockeのオペレーション手順同様のTTPを含むマルウェア サンプルを引用していました。さらに調査した結果、Unit 42は、TTPが一致するだけでなく、以前に報告されたRockeマルウェアのハードコードされた値とつながるハードコードされたドメイン、URL、およびIPアドレスがあることを確認しました。このつながりは、reddit の r/LinuxMalware サブレディット(サブフォーラム)に掲載されたインシデント調査とGitHubにアップロードされたマルウェア サンプルのメタデータを含む調査結果から確認することができました。このRedditの投稿者は、インターネット上のマルウェア削減を目的としたホワイトハット組織の非営利団体MalwareMustDieの運営者です。Unit 42のリサーチャーは、Redditスレッドにリストされている4つのバイナリを分析し、Redditのスレッドに記載されたサンプルにハードコードされたRockeドメインのsystemten[.]orが含まれていることを確認しました。サンプルには、既知のRockeのレポートと重複する、次のPastebin URLへのハードコードされたリンクも含まれていました。
- hxxps://pastebin[.]com/raw/HWBVXK6H
- hxxps://pastebin[.]com/raw/60T3uCcb
- hxxps://pastebin[.]com/raw/rPB8eDpu
- hxxps://pastebin[.]com/raw/wR3ETdbi
- hxxps://pastebin[.]com/raw/Va86JYqw
- hxxps://pastebin[.]com/raw/Va86JYqw
Godluaブログからも確認できるとおり、IPアドレス104.238.151[.]101とURL d.heheda[.]tk、 c.heheda[.]tk、dd.heheda[.]tkは、レポートの調査結果でもハードコードされていることがわかっています。Rockeグループに関連してRedditに投稿されたインシデント レスポンス スレッドからは、heheda[.]tkの3つのドメインにC2接続が行われていることもわかりました。これらのドメインはIPアドレス104.238.151[.]101に解決されるもので、これもGodluaに関するレポートで引用されています。さらに、サンプルには既知のRockeドメインsowcar[.]com、z9ls[.]com、baocangwh[.]cn、gwjyhs[.]com、w2wz[.]cnのハードコードされた値が含まれています。特定された侵害の指標(IoC)が既知のRockeドメインとGodluaおよびRedditスレッドのIoCレポートから取得したIoCとをどのように結び付けているかについては、図1を参照してください。
図 1 Godluaのレポート、Redditのスレッドでの報告内容とRockeのドメインとのつながり
Godluaマルウェア サンプルが興味深いのは、RockeがDoSオペレーションも同グループのツールキットに追加した証拠が見られる点です。同レポートは、Rockeが第3段階のマルウェア コンポーネントを追加することにより、3番目のC2リクエストをc.heheda[.]tkないしc.cloudappconfig[.]comに対して実行し、そこからGodluaと呼ばれるLUAスクリプトをダウンロードするという証拠を提供しています。このマルウェアにより、Rockeのオペレーション プレイブックには、モジュ―ル化機能が追加されたようです。また、DoS機能のほかにGodluaマルウェアは次の新しい機能を加えています。
- HANDSHAKE
- HEARTBEAT
- LUA
- SHELL
- UPGRADE
- QUIT
- SHELL2
- PROXY
Godluaのレポートはまた、RockeがLUAのスイッチ機能を追加したという証拠も提供しています。同レポートによれば、アクターはドメインwww.liuxiaobei[.]comに対しDoS攻撃を行ったようです。本稿執筆時点では、同ドメインはどの既知のシステムにも解決されません。第3段階マルウェアのそのほかの機能が、どのような役割を果たすのかは現在のところ不明です。ただし、"Shell"、"Shell2"、"Upgrade"、"Proxy"といったオプションが存在することから、このマルウェアはモジュラー型システムエージェントのさきがけとなり、今後は暗号通貨のマイニングやデータ破壊以外のサイバーオペレーションを柔軟にこなせるようになりそうです。
NetFlow内のRocke探索
Unit 42のリサーチャーは、調査対象となったクラウド環境の28.1%が、既知のRocke C2ドメインと少なくとも1つのアクティブな通信セッションを行っていることを発見しています(本稿執筆時点)。これらの通信セッションは、少なくとも2018年12月から本稿執筆時点までは、複数の組織でほぼ日常的に発生していました。この識別は、組織とクラウドエッジでのNetFlow通信のキャプチャをすることで可能になりました。
Unit 42のリサーチャーは、RockeのTTPのパターンを分析し、特定期間中に利用されたIPアドレスと、そのIPアドレスに解決される既知のRockeドメインを使い、これら解決先IPアドレスとRocke関連ハードコード済みIPアドレスである104.238.151[.]101に対してネットワークトラフィックのクエリをかけるという方法で、Rockeの通信を発見しました。
ハードコードされたIPアドレスは、組織ネットワーク内部からの通信が、既知の悪意あるネットワークトラフィックに関連しているという強力な証拠になります。本稿執筆次点では、2019年1月1日以降、104.238.151[.]101を逆引きすると次のURLが取得されることが知られています。
- c.cloudappconfig[.]com
- d.cloudappconfig[.]com
- f.cloudappconfig[.]com
- img0.cloudappconfig[.]com
- img2.cloudappconfig[.]com
- v.cloudappconfig[.]com
- c.heheda[.]tk
- d.heheda[.]tk
- dd.heheda[.]tk
これらのURLは、GodluaとRedditの両方のレポートで報告されていたものと一致しているので、このIPアドレスへの接続はすべて悪意があると見なされるべきです。Unit 42のリサーチャーは、4つの監視対象組織から411回、一意な接続があった様子を特定しました。それらの組織は、8回またはそれ以上、当該IPアドレス104.238.151[.]101に対して完全に確立されたネットワーク接続を行っていました。各組織との接続はごく短い時間しか持続しません。最初の接続があってから最後に接続が行われるまでのデルタ(差分)の最長期間は、組織1で確認された5日間でした。逆にデルタの最短期間は、組織4で確認されたある単一のコネクションの1時間でした(表2を参照)。
| 組織 | 接続先IP | 総接続数 | 最初に見られた日時 | 最後に見られた日時 |
| 1 | 104.238.151[.]101 | 76 | 4/12/19 3:00 AM | 4/17/19 8:00 AM |
| 2 | 104.238.151[.]101 | 160 | 4/13/19 7:00 AM | 4/15/19 3:00 PM |
| 3 | 104.238.151[.]101 | 167 | 4/13/19 7:00 AM | 4/16/19 10:00 AM |
| 4 | 104.238.151[.]101 | 8 | 5/10/19 9:00 PM | 5/10/19 9:00 PM |
表2 ハードコードされたIPアドレス104.238.151[.]101への組織からの接続
この104.238.151[.]101から推定をすすめると、これら4つの組織は別の既知のRockeドメインにも接続していることが分かりました。組織1は2019年4月12日から5月31日にかけて3つのRockeドメインに接続していましたが、290回が一意のセッションでした。組織4は、2019年3月20日から5月15日にかけて7つのRockeドメインに接続していましたが、8,231回が一意のセッションでした。表3からも明らかなように、これら4つの組織は、ハードコードされたIPアドレス104.238.151[.]101に対する接続が確認されたのと同じ期間中、7つある既知のRockeドメインのうち1つまたはそれ以上のドメインに接続していました。 このことから、ドメインheheda[.]tkとcloudappcloudconfig[.]comがRockeに紐づくドメインであること、そしてRockeの第3段階マルウェアが同時期にはすでに利用可能になっていたことが強く示唆されます。
| 組織 | Destination Domain | 接続先IP | 総接続数 | 最初に見られた日時 | 最後に見られた日時 |
| 1 | Heheda[.]tk |cloudappconfig[.]com | 104.238.151[.]101 | 76 | 4/12/19 3:00 AM | 4/17/19 8:00 AM |
| sowcar[.]com | 125.74.45[.]101 | 4 | 4/12/19 2:00 PM | 4/12/19 2:00 PM | |
| 27.221.54[.]252 | 2 | 4/13/19 4:00 AM | 4/13/19 4:00 AM | ||
| systemten[.]org | 104.248.53[.]213 | 202 | 4/10/19 12:00 PM | 5/31/19 6:00 PM | |
| w2wz[.]cn | 113.96.98[.]113 | 2 | 4/12/19 2:00 PM | 4/12/19 2:00 PM | |
| 125.74.45[.]101 | 4 | 4/12/19 2:00 PM | 4/12/19 2:00 PM | ||
| 1の合計 | 290 | ||||
| 2 | baocanwh[.]cn | 104.31.92[.]26 | 8 | 4/25/19 3:00 AM | 4/25/19 3:00 AM |
| heheda[.]tk | 104.18.58[.]79 | 26 | 4/14/19 6:00 AM | 4/15/19 3:00 PM | |
| heheda[.]tk | 104.18.59[.]79 | 22 | 4/14/19 6:00 AM | 4/15/19 2:00 PM | |
| Heheda[.]tk |cloudappconfig[.]com | 104.238.151[.]101 | 160 | 4/13/19 7:00 AM | 4/15/19 2:00 PM | |
| sowcar[.]com | 104.31.68[.]79 | 77 | 3/20/19 11:00 PM | 4/3/19 4:00 AM | |
| 104.31.69[.]79 | 70 | 3/20/19 7:00 AM | 4/10/19 9:00 AM | ||
| 125.74.45[.]101 | 6 | 4/12/19 1:00 PM | 4/12/19 2:00 PM | ||
| 27.221.54[.]252 | 6 | 4/13/19 4:00 AM | 4/13/19 4:00 AM | ||
| systemten[.]org | 104.248.53[.]213 | 92 | 4/11/19 5:00 PM | 4/15/19 3:00 PM | |
| w2wz[.]cn | 113.96.98[.]113 | 9 | 4/12/19 2:00 PM | 4/12/19 6:00 PM | |
| 122.246.20[.]201 | 8 | 4/22/19 7:00 AM | 4/22/19 8:00 AM | ||
| 125.74.45[.]101 | 6 | 4/12/19 1:00 PM | 4/12/19 2:00 PM | ||
| z9ls[.]com | 104.31.80[.]164 | 2 | 4/14/19 11:00 AM | 4/14/19 11:00 AM | |
| 104.31.81[.]164 | 4 | 4/15/19 3:00 AM | 4/15/19 1:00 PM | ||
| 2の合計 | 496 | ||||
| 3 | heheda[.]tk | 104.18.58[.]79 | 14 | 4/14/19 11:00 AM | 4/16/19 10:00 AM |
| heheda[.]tk | 104.18.59[.]79 | 14 | 4/14/19 11:00 AM | 4/16/19 10:00 AM | |
| Heheda[.]tk |cloudappconfig[.]com | 104.238.151[.]101 | 167 | 4/13/19 7:00 AM | 4/16/19 10:00 AM | |
| sowcar[.]com | 104.31.68[.]79 | 2 | 4/10/19 9:00 AM | 4/10/19 9:00 AM | |
| systemten[.]org | 104.248.53[.]213 | 214 | 4/10/19 9:00 AM | 4/19/19 9:00 AM | |
| z9ls[.]com | 104.31.80[.]164 | 106 | 4/14/19 9:00 AM | 4/18/19 3:00 AM | |
| 104.31.81[.]164 | 108 | 4/14/19 9:00 AM | 4/18/19 3:00 AM | ||
| 3の合計 | 625 | ||||
| 4 | baocanwh[.]cn | 104.18.38[.]253 | 136 | 4/26/19 9:00 PM | 4/27/19 3:00 PM |
| 104.18.39[.]253 | 152 | 4/26/19 10:00 PM | 4/28/19 3:00 AM | ||
| 104.31.92[.]26 | 184 | 4/22/19 9:00 AM | 4/26/19 6:00 PM | ||
| 104.31.93[.]26 | 170 | 4/22/19 9:00 AM | 4/26/19 6:00 PM | ||
| 119.28.48[.]240 | 176 | 4/27/19 1:00 PM | 4/28/19 10:00 AM | ||
| gwjyhs[.]com | 104.27.138[.]191 | 256 | 4/28/19 11:00 AM | 5/9/19 10:00 AM | |
| 104.27.139[.]191 | 256 | 4/28/19 10:00 AM | 5/12/19 5:00 PM | ||
| Heheda[.]tk |cloudappconfig[.]com | 104.238.151[.]101 | 8 | 5/10/19 9:00 PM | 5/10/19 9:00 PM | |
| sowcar[.]com | 104.31.68[.]79 | 437 | 3/20/19 7:00 AM | 4/10/19 2:00 AM | |
| 104.31.69[.]79 | 441 | 3/20/19 2:00 PM | 4/10/19 2:00 AM | ||
| 27.221.54[.]252 | 8 | 4/13/19 4:00 AM | 4/13/19 4:00 AM | ||
| systemten[.]org | 104.31.93[.]233 | 4 | 4/5/19 2:00 AM | 4/5/19 3:00 AM | |
| 104.31.92[.]233 | 4 | 4/5/19 2:00 AM | 4/5/19 3:00 AM | ||
| 104.248.53[.]213 | 4761 | 4/3/19 4:00 AM | 5/15/19 1:00 AM | ||
| thyrsi[.]com | 103.52.216[.]35 | 178 | 4/27/19 8:00 AM | 5/10/19 1:00 PM | |
| w2wz[.]cn | 118.25.145[.]241 | 12 | 4/13/19 5:00 AM | 4/13/19 9:00 AM | |
| z9ls[.]com | 104.31.80[.]164 | 522 | 4/13/19 9:00 AM | 4/21/19 2:00 PM | |
| 104.31.81[.]164 | 526 | 4/13/19 6:00 AM | 4/21/19 2:00 PM | ||
| 4の合計 | 8231 | ||||
| 総計 | 9642 |
表3 全Rockeドメインへの接続とIPアドレス104.238.151[.]101への接続との比較
Unit 42のリサーチャーはこの調査内容からさらに次の段階に推定を進め、すべての監視対象組織から、すべての既知Rockeドメインに対する、すべての可視の接続を特定しました。リサーチャーは、クラウド環境の28.1%が、既知のRockeドメインとの少なくとも1つの完全に確立されたネットワーク接続を持っていることを発見しました。最も早期に観測された接続は2018年12月4日に行われたもので、これは少なくとも2019年6月10日まで継続し、その期間中、ドメインsowcar[.]comとw2wz[.]cnに対し、146回の一意な接続を行っていました。
Rockeのネットワーク トラフィック パターン
最後にUnit 42のリサーチャーは、Pastebinからダウンロードした第1段階のペイロードをNetFlowデータと突き合わせて特定できるかどうかを試しました。この結果、合計50の組織がPastebinにネットワーク接続していることを発見しました。これら50の組織のうち8つは、Rockeドメインへの接続と同じ時間内にPastebinへのネットワーク接続を行っていたことが判明しました。NetFlowトラフィックは1時間単位までしか細分化できないこと、それらネットワーク接続がどのような性質のものだったか確認するための完全なパケットキャプチャが存在していないこと、これらの理由から、各組織が侵害を受けた時間を正確に特定することはできません。ただし、これらのネットワーク接続が発生した時間帯を指標として使えば、仮に手元に完全なパケットキャプチャがあった場合、継続して調査すべき主な時間帯が分かります。
NetFlowデータ内でRockeネットワーク トラフィックがどのように見えるかを確認すると、そこには明確なパターンがあります(図2参照)。最初にPastebinとの接続が確立され、続いてRockeドメインへの接続が確立されます。図2からわかるように、このパターンは1時間ごとに繰り返されます。これが、クラウド システムにすでにインストールされている第3段階のRockeペイロードによるビーコン機能とその存在とを示すもう1つの指標となります。さらに図2からは、接続元のシステムがPastebinに接続した後、既知のRockeドメインであるz9ls[.]comとsystemten[.]orgに接続し、同じ時間帯にハードコードされたIPアドレス104.238.151[.]101に接続する、という特徴のあるパターンが確認できます。このパターンは第3段階のマルウェアがその機能としてもつビーコンの性能ないしハートビート型の活動を示唆しています。
図 2 特徴的なRockeのNetFlowパターン
回避・緩和策
クラウド環境内でのRockeの活動を抑えるには次の対策をお勧めします。
- すべてのクラウド システムのテンプレートについて最新パッチを適用し、バージョンを更新します。
- すべてのクラウド システムに最新パッチが適用され、更新済みのクラウド テンプレートを使用できるような運用サイクルを組みます。
- コンプライアンス、ネットワーク トラフィック、ユーザーのふるまいについてのチェック機能を持つクラウド監視製品を購入・構成します。
- クラウド ネットワーク構成、セキュリティ ポリシー、グループをレビューし、それらが現在のコンプライアンス要件を満たしていることを確認します。
- クラウド コンテナの脆弱性スキャナを使用します。
- ドメインやIPブラックリストの指標を提供してくれる脅威インテリジェンス関連のフィードをすべて更新します。
- パロアルトネットワークス製品で対策を行う場合は、MineMeldによる脅威インテリジェンスフィードを購入・購読するか、次世代ファイアウォールを使用します。これらの製品では既知のRockeドメイン、IPアドレスへの接続をブロックするように設定されています。
- 既知の悪意のあるドメイン・IPアドレスへの接続がないかどうか、クラウド ネットワーク トラフィックを調査します。
- 組織のクラウド環境から外部に出ていくネットワーク トラフィックを調べ、ビーコン型のものがないかどうかを確認します。
結論
Rockeは主にパブリックなクラウド インフラを対象としてサイバー犯罪を行う攻撃グループです。同グループのツールは進化しつづけており、2016年や2017年に公開された脆弱性を使って、構成が不適切なクラウド インフラを悪用しています。同グループはひととおりの調査では見つからないようなマルウェアを使用し、クラウド システムの管理アクセスを取得することができます。侵害されたシステムはその後Rockeのハードコードされた既知のIPアドレスないしRocke所有のドメインに対し、予測と検出が可能なネットワーク活動を開始します。
パロアルトネットワークスのお客様は、次の方法でこの脅威から保護されています。
- 本稿で説明したすべてのC2ドメインはPAN-DBのURL Filteringにより悪意のあるものとして適切に分類されます。
- webシェルにアップロードされたすべての違法なツールは、WildFireとTrapsによって悪意のあるものとして識別されます。
- ELF形式、PE形式のマルウェア シグネチャは、アンチウイルス機能を通じて提供されています。
AutoFocusをお使いのお客様は、当該グループを次のタグでさらに詳しく調査できます。
パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org
IOC
ドメイン
- sowcar[.]com
- thyrsi[.]com
- w2wz[.]cn
- baocangwh[.]cn
- z9ls[.]com
- gwjyhs[.]com
- heheda[.]tk
- cloudappconfig[.]com
- systemten[.]org
IP アドレス
- 43.224.225[.]220
- 67.21.64[.]34
- 103.52.216[.]35
- 104.248.53[.]213
- 104.238.151[.]101
- 198.204.231[.]250
- 205.185.122[.]229
ハッシュ値
- 1608899ff3bd9983df375fd836464500f160f6305fcc35cfb64abbe94643c962
- 28f92f36883b69e281882f19fec1d89190e913a4e301bfc5d80242b74fcba6fe
- a84283095e0c400c3c4fe61283eca6c13dd0a6157a57adf95ae1dcec491ec519
- 6797018a6f29ce3d447bd3503372f78f9513d4648e5cd3ab5ab194a50c72b9c4
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us