脅威の評価: Hangover脅威グループ

By and

Category: Unit 42

Tags: , ,

This post is also available in: English (英語)

要約

Unit 42のリサーチャーは、Hangover脅威グループ(別名、Neon、Viceroy Tiger、MONSOON)による、南アジアの政府機関および軍事組織を標的とした、BackConfigマルウェア攻撃によって標的型サイバー攻撃を実行するアクティビティを先日、公開しました。その結果として、このHangoverグループのアクティビティに関する脅威評価レポートを作成しました。技法およびキャンペーンは、Unit 42 Playbook Viewerを使用して表示できます。

Hangoverグループはサイバースパイグループで、2013年12月にノルウェーの通信会社に対してサイバー攻撃を実行しているところを最初に確認されました。サイバーセキュリティ会社Normanの報告によると、サイバー攻撃はインドから発生しており、Hangoverグループはパキスタンや中国などの国益を標的として攻撃を実行しています。ただし、米国や欧州でもHangoverのアクティビティの兆候はあり、主として政府機関、軍事組織、民間組織に的を絞って行われています。Hangoverグループの最初の攻撃ベクトルは、スピアフィッシングキャンペーンを実行することです。Hangoverグループは、被害者がソーシャルエンジニアリング手法に引っかかりやすいように、南アジア地域の現地ニュースや時事的なニュースをルアーとして使用し、兵器化されたMicrosoft Office文書をダウンロードおよび実行させます。ユーザーが兵器化された文書を実行すると、BackConfigと脅威アクターとの間にバックドア通信が確立され、攻撃者はスパイ活動を実行し、侵害したシステムから機密データを引き出すことができます。

パロアルトネットワークスの脅威防御プラットフォームとWildFireDNSセキュリティおよびCortex XDRは、この脅威グループに関連するアクティビティを検出します。お客様は、HangoverおよびBackConfigタグを付けてAutoFocusを使用することで、この脅威評価に関連するアクティビティをレビューすることもできます。

影響の評価

このアクティビティではいくつかの敵対的手法が確認されており、Hangoverグループおよび同じ手法を使用する他のグループに関連する脅威を軽減するために、パロアルトネットワークスの製品およびサービス内の次の手法が提案されています。

戦術 手法
(Mitre ATT&CK ID)
製品/サービス 行動指針
初期侵害 スピアフィッシングリンク(T1192) NGFW 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御† すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します
関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します
ユーザー証明書送信がURLカテゴリで「ブロック」または「続行」アクションを使用することを確認します
DNSセキュリティ アンチスパイウェアプロファイルでDNSセキュリティを有効にします
PAN-DB URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
すべてのURLへのアクセスを記録します
すべてのHTTPヘッダのロギングオプションを有効にします
セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします
WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
実行 クライアント実行の悪用(T1203) 脅威防御† 最高および高レベルの脆弱性に対する攻撃をブロックするように脆弱性防御プロファイルが設定され、デフォルトで中、低、および情報レベルの脆弱性に設定されていることを確認します
トラフィックを許可するすべてのセキュリティルールに対して、セキュアな脆弱性防御プロファイルが適用されていることを確認します
Cortex XDR エクスプロイト防御とマルウェア防御を有効にします
ユーザーによる実行(T1204) NGFW User-IDを、内部の信頼できるインターフェイスに対してのみ有効にします
User-IDが有効な場合、「包含/除外ネットワーク」が使用されていることを確認します
User-IDが有効な場合、User-IDエージェントは最低限の権限のみを持つようにします
User-IDサービスアカウントが対話型ログオン権限を持たないようにします
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
セキュリティポリシーで、User-IDエージェントトラフィックが信頼できないゾーンを通過することを制限します
脅威防御† すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します
関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します
すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが「enabled(有効)」に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します
DNSセキュリティ アンチスパイウェアプロファイルでDNSセキュリティを有効にします
PAN-DB URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
すべてのURLへのアクセスを記録します
すべてのHTTPヘッダのロギングオプションを有効にします
セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします
WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
Cortex XDR エクスプロイト防御とマルウェア防御を有効にします
スクリプティング(T1064) WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
Cortex XDR エクスプロイト防御とマルウェア防御を有効にします
防御回避 BITSジョブ(T1197) NGFW User-IDを、内部の信頼できるインターフェイスに対してのみ有効にします
User-IDが有効な場合、「包含/除外ネットワーク」が使用されていることを確認します
User-IDが有効な場合、User-IDエージェントは最低限の権限のみを持つようにします
User-IDサービスアカウントが対話型ログオン権限を持たないようにします
User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します
セキュリティポリシーで、User-IDエージェントトラフィックが信頼できないゾーンを通過することを制限します
信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
Cortex XDR ホスト ファイアウォール プロファイルを設定します
コード署名(T1116) Cortex XDR エクスプロイト防御とマルウェア防御を有効にします
隠しファイルとディレクトリ (T1158) Cortex XDR マルウェア セキュリティ プロファイルで振る舞いベースの脅威防御を設定します
難読化されたファイルまたは情報
(T1140)
WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
難読化されたファイルまたは情報(T1027) WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
Cortex XDR エクスプロイト防御とマルウェア防御を有効にします
コマンドとコントロール 使用頻度の高いポート(T1043) NGFW 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
URLフィルタリング PAN-DB URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
すべてのURLへのアクセスを記録します
すべてのHTTPヘッダのロギングオプションを有効にします
セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします
標準暗号化プロトコル(T1032) NGFW インターネットへのトラフィックに対して「SSLフォワード プロキシ ポリシー」が設定されていることを確認します
SSLまたはTLSを使用する、サーバーへの信頼できないすべてのトラフィックに対して、「SSLインバウンドインスペクション」が要求されることを確認します
復号化に使用される証明書が信頼できることを確認します
信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御 すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します
関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します
すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが「enabled(有効)」に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します
DNSセキュリティ アンチスパイウェアプロファイルでDNSセキュリティを有効にします
URL フィルタリング PAN-DB URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
すべてのURLへのアクセスを記録します
すべてのHTTPヘッダのロギングオプションを有効にします
セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします
WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
リモート ファイル コピー(T1105) NGFW 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
WildFire WildFireファイル サイズ アップロード制限が最大になっていることを確認します
WildFireへの復号化されたコンテンツの転送を有効にします
すべてのWildFireセッション情報設定を有効にします
WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します
更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します
標準アプリケーション層プロトコル(T1071) NGFW 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します
トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します
信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します
脅威防御† すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します
関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します
すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します
使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが「enabled(有効)」に設定されていることを確認します
インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します
DNSセキュリティ アンチスパイウェアプロファイルでDNSセキュリティを有効にします
URL フィルタリング PAN-DB URLフィルタリングが使用されていることを確認します
URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します
すべてのURLへのアクセスを記録します
すべてのHTTPヘッダのロギングオプションを有効にします
セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします

表1: Hangoverグループに対する行動指針
†これらの機能は、NGFWセキュリティ サブスクリプション サービスに含まれます

結論

Hangoverグループは活動中であり、Unit 42によると、南アジアの政府機関と軍事組織を標的としています。

当グループは侵害されたサードパーティのインフラストラクチャを利用し、サイトへのリンクを含むスピアフィッシングメールを使用して、兵器化された文書を配信し続けています。

配信文書は進化し続けており、年を重ねるにつれてプレーン テキスト コードおよびURLからエンコード済みのものに移行しています。文書内へのエンコード済み実行可能ファイルの格納から、ZIPファイルの使用(ファイルのパッケージを含む)、そして最終的にコマンドおよびコントロールサーバーからの実行可能ファイルのダウンロードへと移行しています。

配信文書によるBackConfigマルウェアのインストールは、複数のステージおよびコンポーネントを使用して実行され、ほとんどの場合、サンドボックスやその他の自動分析および検出システムを免れます。これには、仮想化ベースのセキュリティ(VBS)、バッチコード、スケジュールが設定されたタスク、および条件付きトリガーファイルの使用が含まれます。

インストールが完了すると、BackConfigマルウェアはHTTPSを使用して可視性および検出を困難にし、他の似たようなトラフィックに紛れ込んで、脅威アクターとやり取りします。

感染したシステムがアクターの制御下に入った後の目標は、デプロイされたプラグイン、および侵害されたシステムまたは組織のタイプによって異なります。

その他の資料

このレポート内の推奨される行動指針は、パロアルトネットワークスで現在入手可能な情報およびパロアルトネットワークスの製品およびサービスの機能に基づきます。