タイムラインで見たSolarStormサプライチェーン攻撃

A conceptual image illustrating the concept of a cyberattack with widespread global effects, such as the suspected nation-state attack detailed in this SolarStorm timeline summary.

This post is also available in: English (英語)

概要

2020年12月13日、サイバーコミュニティは、世界中の商業組織と政府組織の両方に影響を与える同時代で最も重要なサイバーセキュリティイベントの1つに気づきました。同イベントは、SolarWindsのOrionソフトウェアに対するサプライチェーン攻撃で、これは私たち Unit 42が「SolarStorm」として追跡する国家の支援が疑われるオペレーターによって実施されたものでした。Unit 42は、同イベントを、今年の初めに防止に成功した攻撃に結び付けることができました。2020年12月18日、私たちはSolarStormの迅速評価プログラムを立ち上げました。この結果、最初の4日だけで600社以上のお客様から本サービスのリクエストをいただくことになりました。

本イベントは、ソフトウェアのサプライチェーン侵害の最初のものでこそありませんが、攻撃者が多数の重要ネットワークへの広範囲にわたる永続的アクセスを取得を試行したことから最も注目に値するイベントである可能性があります。同イベントの重要性に鑑み、今回は、現時点でUnit 42チームが入手できた情報と、本脅威に対し、私たちが直接防御したさいに得た経験に基づいて、攻撃のタイムラインを公開いたします。これは、同攻撃に対応しているサイバーセキュリティ業界の専門家や、同事例の詳細をまとめている研究者の皆さんにとって、かけがえのないものとなると私たちは考えています。また今回私たちは、同脅威アクターが追加の攻撃ベクトルを使用したことを把握しました。ですのでこれをお読みの方々にも、サイバーセキュリティコミュニティが一丸となり、可及的速やかに攻撃の全体像を把握できるよう、この攻撃についてご存知の内容を共有していただければと思います。

なお私たちに、同キャンペーンの計画・実行の開始時期に関する完全な知識はないという点についてはご承知おきください。しかしながら、SolarStormのコマンド&コントロール(C2)インフラストラクチャは、早ければ2019年8月にはセットアップされていたという証拠があります。最初の改変されたSolarWindsソフトウェアは、2019年10月にリリースされ、私たちが特定した最も初期の関連Cobalt Strikeペイロードは、2019年12月にビルドされたCobalt Strike4.0を使用して生成されていました。SolarStormがSolarWindsソフトウェアのサプライチェーンを最初に侵害したのはいつか、またはこの侵害をどのようにして実行したかについてはわかっていません。

さらに複数レポートが、侵害されたSolarWindsソフトウェア以外にも追加の初期アクセスベクトルをSolarStormが採用していたことを示唆しています。私たちもこれらのレポートを追いかけていますが、現時点ではネットワークへの初期アクセス取得に使われた他の手法は確認できていません。もちろん、これほどのキャンペーン実行能力を持つ敵対者は、目標達成のための追加手段を多数利用できたにちがいありません。

パロアルトネットワークスがこの脅威からお客様をどのように保護しているかについての詳細をお探しの皆さんは、『脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について』を参照してください。こちらは新しい情報が入り次第更新されています。

SolarStormのATOMについても詳細が入り次第更新しています。

SolarStormタイムライン概要

リサーチャーたちが世界中の組織に影響を与えるサプライチェーン攻撃について報告したのは、2020年12月13日でした。同インシデントは、SolarWindsの開発した正当なITパフォーマンス・統計監視用ソフトウェアであるOrion内に悪意のあるコードが含まれていることが特定された、というものでした。

それ以来、他のセキュリティベンダや組織から詳細がリリースされ、最初の開示に至るまでに何があったのかがさらにわかってきました。私たちUnit 42も、公開情報と内部情報から特定した内容に基づいて調査を行いました。

図1のタイムラインは、2019年8月に始まり、2020年12月まで続く、観測イベントの概要を示しています。

2019年8月に記録された最初のドメイン登録から2020年12月のSUNBURSTC2ドメインの差し押さえまでのイベントを含むSolarStormタイムラインの視覚的表現
図1 SolarStormを視覚的に表したタイムライン

SolarWindsソフトウェアの分析により、コードが早くも2019年10月には改変されていたことが明らかになりました。ただしSUNBURSTマルウェアと呼ばれる最初の兵器化されたソフトウェアアップデートは、2020年3月頃まではリリースされていませんでした。Unit 42では、早ければ2019年10月には登場していた、改変済みSolarWindsソフトウェアの2つのサンプルも観測しました。

このキャンペーンで観測されたインフラストラクチャの大部分は、2019年12月から2020年3月の間に取得されたものです。ただし表1に示すとおり、Cobalt Strike BEACONのアクティビティで言及された、少なくとも1つのドメインIncomeupdate[.]comは、2019年8月には登録されていました。SolarStormのオペレーターは、2020年2月から4月にかけて、関連ドメインの多くでSSL証明書を取得しており、このうち少なくとも1つの証明書が7月まで有効のものでした。

このタイムライン全体にわたる、広範囲におよぶインフラストラクチャ構築の様子を確認することは、最初の標的選定から目標の完遂まで、いかにオペレーションが持続的なものであったかを視覚化するのに役立ちます。SolarStormの脅威アクターには、そのオペレーションの取り回しに、高度なスキルと綿密さがうかがえます。

組織が悪意のあるSUNBURSTのアップデートをインストールしたタイミングをよりよく理解するため、私たちはこのアクティビティのドメイン生成アルゴリズム(DGA)で使われたドメインavsvmcloud[.]comへのリクエストを探して自社のDNSセキュリティログを見直しました。なお最終的には、業界のパートナーが2020年12月にこのドメインを差し押さえています。

検索の結果、2020年4月から11月までの応答が得られました。DNSセキュリティログで観測された月ごとのリクエスト数を以下の図2に示します。

DNSセキュリティログで月ごとに観測されたavsvmcloud[.]comへのリクエストの数。カウントのピークは7月となっている。
図2: avsvmcloud[.]comとそのサブドメインへのDNSクエリ数 (月別)
リクエストはSolarStormが悪意のあるアップデートの配布を始めてまもない4月に始まっています。そこからは、7月をピークにゆっくり上昇し減少し始めています。こうしたパターンが見られる理由は「リリース後数週間かけて組織が悪意のある更新のインストールをゆっくり進めたから」とすれば説明はつきますが、確実にそうだったとは言いきれません。Microsoftと業界パートナーは、12月15日に同ドメインを差し押さえています。彼らはこのドメインを一種の「killswitch」コマンドの送信に利用し、SUNBURSTに自身を終了してそれ以上の実行を停止するよう指示しました。

観測されたTEARDROPのアクティビティ

Unit 42はこのキャンペーンを継続的に調査することで、さらなる防御アクションにつなげられるよう、追加で詳細を特定しようとしています。

入手した情報の分析中、私たちはCobalt Strikev4.0を使って生成されたTEARDROPマルウェアの関与する関連アクティビティを特定しました。このサンプルにはこれまでに報告されたことのなかったドメインmobilnweb[.]comへのビーコン要求が含まれていました。

TEARDROP DLLのSHA256は118189f90da3788362fe85eafa555298423e21ec37f147f3bf88c61d4cd46c51で、

User-AgentとしてMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36.をもつURI/2019/Person-With-Parnters-Brands-Our/へのビーコン要求が含まれています。これと同じ構成のなかで、追加のURI設定で文字列/2019/This-Person-Two-Join-With/を含むものも観測されています。

次のウォーターマークとなる設定も存在しており、これはこのサンプル0x38383430(943207472)に固有のもののようです。このウォーターマークは、オペレーターがライセンス版のCobalt Strikeを使用したことを示している可能性があります。

このほかに関心を寄せるべき構成の詳細には次のものがあります。
SETTING_C2_POSTREQ:
Referer: https://yahoo[.]com/
Host: mobilnweb[.]com
Accept: */*
Accept-Language: en-US
Connection: close
name=”uploaded_1″;filename=”91018.png”
Content-Type: text/plain

SETTING_SPAWNTO_X86:
%windir%\syswow64\msinfo32.exe

SETTING_SPAWNTO_X64:
%windir%\sysnative\control.exe

上記の構成の詳細ではRefererをhttps://yahoo[.]comであると示していますが、Yahooが実際のビーコンで使用されたという証拠は確認されていません。

SolarStormがインフラストラクチャを確立したタイムライン

ここでは、アクターがドメインのコントロールを取得したと考えられるドメイン変更日を示しています。ですので、ここに示したドメインのなかには、示されている日付より登録日が古いものもあります。登録日とSolarStormによる取得日時が違っていることにより、使用されているドメインが正当なものという印象が強まっています。

ドメイン アクターが同ドメインを自身の管理下においたと考えられる日時 レジストラ
incomeupdate[.]com 8/6/19 NameCheap
zupertech[.]com 10/10/19 NameSilo
avsvmcloud[.]com 12/6/2019 GoDaddy
mobilnweb[.]com 12/19/19 NameCheap
highdatabase[.]com 12/26/19 NameSilo
solartrackingsystem[.]net 1/7/20 NameSilo
webcodez[.]com 1/15/20 NameCheap
panhardware[.]com 1/18/20 NameSilo
websitetheme[.]com 1/27/20 NameSilo
thedoccloud[.]com 2/5/20 NameSilo
seobundlekit[.]com 2/6/20 NameCheap
freescanonline[.]com 2/10/20 NameCheap
deftsecurity[.]com 2/12/20 NameSilo
virtualwebdata[.]com 2/13/20 NameSilo
digitalcollege[.]org 3/5/20 NameCheap
databasegalore[.]com 3/12/20 NameCheap
zupertech[.]com 3/15/20 NameSilo
lcomputers[.]com 6/22/20 NameSilo

表1 SolarStormによるドメイン取得のタイムライン

以下のSSL証明書は、SolarStormのインフラストラクチャに関連して観測されたものです。これらの証明書はすべて、Sectigo RSA Domain Validation Secure ServerCAにより発行されていました。

ドメイン SHA-1 有効期間
websitetheme[.]com 66576709A11544229E83B9B4724FAD485DF143AD 2/3/20 – 2/2/21
thedoccloud[.]com 849296c5f8a28c3da2abe79b82f99a99b40f62ce 2/6/20 – 2/5/21
seobundlekit[.]com E7F2EC0D868D84A331F2805DA0D989AD06B825A1 2/6/20 – 2/5/21
freescanonline[.]com 8296028C0EE55235A2C8BE8C65E10BF1EA9CE84F 2/11/20 – 2/10/21
solartrackingsystem[.]net 91B9991C10B1DB51ECAA1E097B160880F0169E0C 2/12/20 – 2/11/21
virtualwebdata[.]com AB93A66C401BE78A4098608D8186A13B27DB8E8D 2/13/20 – 2/13/21
deftsecurity[.]com 12D986A7F4A7D2F80AAF0883EC3231DB3E368480 2/13/20 – 2/12/21
digitalcollege[.]org FDB879A2CE7E2CDA26BEC8B37D2B9EC235FADE44 3/5/20 – 3/5/21
databasegalore[.]com D400021536D712CBE55CEAB7680E9868EB70DE4A 3/12/20 – 3/12/21
mobilnweb[.]com 2C2CE936DD512B70F6C3DE7C0F64F361319E9690 4/3/20 – 4/3/21
panhardware[.]com AF6268F675ED810D804745970927E36D12AC9B0A 4/10/20 – 4/10/21
incomeupdate[.]com B654148983439E28802166449A8F413B9C995547 4/14/20 – 4/14/21
highdatabase[.]com 35AEFF24DFA2F3E9250FC874C4E6C9F27C87C40A 4/16/20 – 4/17/21
zupertech[.]com B80B01AE313C106F70502142F2B2BCFFC7E15ABD 5/13/20 – 5/13/21
lcomputers[.]com 7F9EC0C7F7A23E565BF067509FBEF0CBF94DFBA6 6/23/20 – 6/24/21
webcodez[.]com 2667DB3592AC3955E409DE83F4B88FB2046386EB 7/8/20 – 7/8/21

表2 SolarStormのドメインアクティビティに関連付けられたSSL証明書

追加ツールおよびテクニック

SolarStormがこのインシデントで追加のテクニックやツールを使用したことを示す多くの報告があります。これらの使用に関する現在の知識の要約は次のとおりです。

VMware

最近の報告によると、VMwareは以下の2点でこの攻撃と関連付けられています。

1点目は、国家安全保障局がアドバイザリを今月初めに公開し、そのなかでロシアが国家的に支援するアクターがコマンドインジェクション脆弱性CVE-2020-4006を積極的に悪用していると述べ、米国政府機関に直ちにパッチを適用するよう提案したという点です。本脆弱性は、IDおよびアクセス管理(IAM)に重点を置く5つのVMwareソフトウェア製品に存在します。これが悪用されると、攻撃者はシステムにWebシェルを設置して、保護されたデータにアクセスできるようになります。この脆弱性はすでにシステムへのアクセスを認証されたユーザーによってのみ悪用可能で、悪用された場合、攻撃者がすでにネットワーク内にいるのであれば、追加のアクセス取得に使用される可能性が高いことを示しています。CVE-2020-4006の詳細については、以前にリリースされた脅威に関する情報: VMwareコマンドインジェクションの脆弱性(CVE-2020-4006)を参照してください。

2点目は、VMwareが「SolarWindsのOrionシステムを自社環境内に保持しているがエクスプロイトされた証拠は見つかっていない」と述べている点です。Unit 42では、VMwareのソフトウェアがSolarStorm攻撃で感染ベクトルやTTPとして使用された痕跡は何も観測していません

Microsoft / SAML

Microsoftはこの攻撃キャンペーンの関連アクティビティについて複数のレポートを公開し、そのなかにSolarWinds Orionに仕込まれた(MicrosoftではSolorigateと呼ばれている)バックドアの概要と同社顧客保護のためのガイダンスを含めています。Microsoftはこの攻撃の標的にされた40社以上と協力していることを公にしています。

同社が詳細に論じた攻撃のある特定コンポーネントは、IDインフラストラクチャ周りを侵害されたネットワークで観察されたものです。具体的にいうと、攻撃者はSAMLトークンの署名用証明書を窃取後、トークンを偽造し、それら証明書によって信頼されたリソースにアクセスできるようにしていました。Microsoftは同社の顧客にかわり、Microsoftクラウドに対して提示されるこれら偽造トークンを監視してきました。

これら証明書の侵害による影響は、攻撃者がネットワーク内で最高レベルの特権を奪取し、それらを使用してネットワークへの長期アクセスを確立していたことを意味しています。

SUPERNOVA Webシェル

SolarWindsの侵害に関するFireEyeの最初のレポートにはSUPERNOVAと呼ばれるWebシェルのインジケータが含まれていましたが、同レポート公開後、同社は「私たちはもうこれらがSolarWindsソフトウェアの侵害の結果使用されたものとは考えていない」としてこれらのインジケータを削除しています。ですが、このWebシェル自体に関連はなくとも、それに対する防御はいぜん重要です。Unit 42はSUPERNOVA Webシェルに関する分析を公開済みです。

多要素認証のバイパス

上記のSAMLトークン偽造攻撃により、攻撃者は多要素認証システムを回避することができます。というのは、認証システム自体が危険にさらされるからです。VolexityはDark Haloと呼ばれる脅威グループに関するレポートを公開し、同脅威グループをSolarStormと紐付けました。彼らのレポートによれば、攻撃者は、Outlook WebAccessサーバーにCiscoのDuo Multi-Factor Authentication(MFA)ソリューションを接続するために使用される「インテグレーション用秘密鍵」を標的にしました。そのキーを使用すれば、認証に必要なトークンコードを事前に計算することができました。

繰り返しになりますが、SAMLトークン偽造攻撃同様、このMFAバイパスの実行には、事前にユーザー認証に使用されるシステムを大幅に侵害しておく必要があります。おそらくは侵害後にネットワークアクセス拡張を狙ってMFAバイパスを実行したものと思われます。

その他の初期アクセスベクトル

2020年12月19日、CISAはこの脅威に関するアラートに以下のメモを含めて更新しました。

CISA has evidence that there are initial access vectors other than the SolarWinds Orion platform.
(CISAは、SolarWinds Orionプラットフォーム以外にも初期アクセスベクトルがあるという証拠を持っています)。

Specifically, we are investigating incidents in which activity indicating abuse of Security Assertion Markup Language (SAML) tokens consistent with this adversary’s behavior is present, yet where impacted SolarWinds instances have not been identified.
(具体的にいうと私たちは、この攻撃者の振る舞いと一致するSecurity Assertion Markup Language(SAML)トークンの悪用を示すアクティビティが存在しているものの、そこに影響を受けるSolarWindsインスタンスが特定されていないインシデントについて調査しています。)

CISA is working to confirm initial access vectors and identify any changes to the TTPs.
(CISAは初期アクセスベクトルを確認し、TTPの変更の特定に取り組んでいます。)

CISA will update this Alert as new information becomes available.
(新しい情報が入り次第CISAはこのアラートを更新します。)

Unit 42ではこの攻撃で使用された可能性があるという追加の初期アクセスベクトルについて確認していません。偽造SAMLトークンの検出は侵害があったことを明確に示すことから、SolarWinds Orionサーバーのない環境でもそれが発生しているのであれば、別のルートが存在していたに違いないと考えるのは理にかなっています。これだけのキャンペーンをやってのける敵対者なら、目標達成のために多数の追加手段を使用できたと考えるべきでしょう。

ソフトウェアサプライチェーン攻撃

SolarWindsは、ソフトウェアのサプライチェーン処理を誤った初めての開発者というわけではありません。2017年の終わりに私たちは「The Era of Software Supply-Chain Attacks Has Begun (ソフトウェアサプライチェーン攻撃の時代が始まる)」というブログを公開し、それまでに行われたソフトウェアサプライチェーン攻撃を示して、信頼された開発者への攻撃への注目が高まるだろうと予測しました。以下がこれら重要イベントの要約です。

  • 2015年9月XcodeGhost: ある攻撃者がAppleのXcodeソフトウェア (iOSアプリとmacOSアプリケーションのビルドに使われる) の1バージョンを配布しました。このバージョンでビルドしたiOSアプリには追加でコードがインジェクトされるようになっていました。この攻撃によりApple App Storeでは何千もの侵害されたアプリが特定されました。
  • 2016年3月KeRanger: 人気オープンソースBitTorrentクライアントのTransmissionが侵害され、macOS用のランサムウェアがインストーラに含まれていました。攻撃者は、Transmissionの配布に使用される正規のサーバーを侵害したため、プログラムをダウンロードしてインストールしたユーザーは身代金目的でファイルを人質にとるマルウェアに感染することになりました。
  • 2017年6月NotPetya: 攻撃者は、ウクライナのソフトウェア会社を侵害し、「MeDoc」という金融ソフトウェアのアップデートを通じ、ネットワークワーム機能を備えた破壊的ペイロードを配布しました。ソフトウェアを使用してシステムに感染後、マルウェアはネットワーク内の他のホストに広がって多くの組織に影響を与え、世界的混乱を引き起こしました。
  • 2017年9月CCleaner: 攻撃者は、PCの正常動作を維持するために何百万人ものユーザーが使用しているAvastのCCleanerツールを侵害しました。この侵害では、第2段階のペイロードが、世界中の大規模テクノロジ会社、電気通信会社をターゲットにするために使用されました。

2019年9月には、攻撃者が一時VPNプロファイル経由でAvastのネットワークにアクセスし、再び同社のCCleanerツールを標的にした可能性があります。ただし2017年のオペレータと同じオペレーターがこの事件に関与したかどうかは明らかになっていません。

いずれのケースでも、最近のSolarStormアクティビティを含めた攻撃者たちは、他のネットワークにアクセスするために、フィッシングや脆弱性悪用で組織を直接標的にするのではなく、ソフトウェア開発者を直接侵害し、私たちが彼らによせる信頼を利用することを選択しています。こうした手段を使えば、知っているプログラムを信頼するように設定された特定の予防・検出コントロールは効果的に回避できます。

このようなソフトウェアサプライチェーンの侵害パターンは今後も続くでしょう。セキュリティチームには、これを無視している余裕はありません。これらの攻撃からの保護はどの企業にとってもやさしいことではなく、ソフトウェアの開発やデプロイを担当する人は、そのコードの完全性に責任を負う必要があります。

結論

SolarWindsサプライチェーン攻撃イベントの発生以降、Unit 42は、公開情報にくわえ、FireEyeが報告したイベント詳細に合致する自社ネットワークへの攻撃について、内部で行った分析も使って、完全なイベントの詳細を収集するよう積極的に取り組んできました。

このキャンペーン全体の計画・実行に関する知識は完全とはいきませんが、これまでの分析からは、SolarStormの活動は、早ければ2019年8月のオペレーションインフラストラクチャ構築フェーズ中には開始されていたものと結論付けることができます。SolarStormのオペレーターは、攻撃サイクル全体を通じ、戦術的で執拗なオペレーション手法を示してきました。

SolarStormにはさまざまなテクニックを駆使して目標を達成する能力がありますが、侵害されたSolarStormソフトウェア以外の初期アクセスベクトルの詳細はまだ確認されていません。

パロアルトネットワークスがこの脅威からお客様をどのように保護しているかについての詳細をお探しの方は、『脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について』を参照してください。こちらは新しい情報が入り次第更新されています。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA members use this intelligence to rapidly deploy protections to their customers and systematically disrupt malicious cyber actors. Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

追加資料

脅威に関する情報: SolarStormとSUNBURSTからのお客様保護について – パロアルトネットワークス Unit 42
脅威に関する情報: VMwareコマンドインジェクションの脆弱性(CVE-2020-4006) – パロアルトネットワークス Unit 42
SUPERNOVA: SolarStormの斬新な .NET Webシェル – パロアルトネットワークス Unit 42
Software Supply-Chain Attack Predictions – Palo Alto Networks
SolarWinds Rapid Response – Palo Alto Networks
VMware Vulnerability Report – Krebs on Security
Dark Halo SolarWinds Compromise – Volexity
Updates on SolarWinds Compromise – Cybersecurity & Infrastructure Security Agency
VMware Vulnerability Cybersecurity Advisory – National Security Agency
SUNBURST Malware Countermeasures – FireEye
SolarWinds Compromise Research – FireEye
Cyber Attack against FireEye – FireEye
SolarWinds Supply Chain Attack – ReversingLabs
CCleaner Targeting 2019 – Avast
Solorigate Analysis – Microsoft
Guidance on SolarWinds Activity – Microsoft
DGA Domain Takedown – ZDNet
SolarWinds Compromise Initial Timing – SecurityScorecard

SolarStorm ATOM