This post is also available in: English (英語)
要約
Unit 42のリサーチャーは、Hangover脅威グループ(別名、Neon、Viceroy Tiger、MONSOON)による、南アジアの政府機関および軍事組織を標的とした、BackConfigマルウェア攻撃によって標的型サイバー攻撃を実行するアクティビティを先日、公開しました。その結果として、このHangoverグループのアクティビティに関する脅威評価レポートを作成しました。技法およびキャンペーンは、Unit 42 Playbook Viewerを使用して表示できます。
Hangoverグループはサイバースパイグループで、2013年12月にノルウェーの通信会社に対してサイバー攻撃を実行しているところを最初に確認されました。サイバーセキュリティ会社Normanの報告によると、サイバー攻撃はインドから発生しており、Hangoverグループはパキスタンや中国などの国益を標的として攻撃を実行しています。ただし、米国や欧州でもHangoverのアクティビティの兆候はあり、主として政府機関、軍事組織、民間組織に的を絞って行われています。Hangoverグループの最初の攻撃ベクトルは、スピアフィッシングキャンペーンを実行することです。Hangoverグループは、被害者がソーシャルエンジニアリング手法に引っかかりやすいように、南アジア地域の現地ニュースや時事的なニュースをルアーとして使用し、兵器化されたMicrosoft Office文書をダウンロードおよび実行させます。ユーザーが兵器化された文書を実行すると、BackConfigと脅威アクターとの間にバックドア通信が確立され、攻撃者はスパイ活動を実行し、侵害したシステムから機密データを引き出すことができます。
パロアルトネットワークスの脅威防御プラットフォームとWildFire、DNSセキュリティおよびCortex XDRは、この脅威グループに関連するアクティビティを検出します。お客様は、HangoverおよびBackConfigタグを付けてAutoFocusを使用することで、この脅威評価に関連するアクティビティをレビューすることもできます。
影響の評価
このアクティビティではいくつかの敵対的手法が確認されており、Hangoverグループおよび同じ手法を使用する他のグループに関連する脅威を軽減するために、パロアルトネットワークスの製品およびサービス内の次の手法が提案されています。
| 戦術 | 手法 (Mitre ATT&CK ID) |
製品/サービス | 行動指針 |
| 初期侵害 | スピアフィッシングリンク(T1192) | NGFW | 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します |
| トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| 信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
| 脅威防御† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します | |||
| ユーザー証明書送信がURLカテゴリで「ブロック」または「続行」アクションを使用することを確認します | |||
| DNSセキュリティ | アンチスパイウェアプロファイルでDNSセキュリティを有効にします | ||
| PAN-DB URLフィルタリングが使用されていることを確認します | |||
| URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギングオプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします | |||
| WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | ||
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| 実行 | クライアント実行の悪用(T1203) | 脅威防御† | 最高および高レベルの脆弱性に対する攻撃をブロックするように脆弱性防御プロファイルが設定され、デフォルトで中、低、および情報レベルの脆弱性に設定されていることを確認します |
| トラフィックを許可するすべてのセキュリティルールに対して、セキュアな脆弱性防御プロファイルが適用されていることを確認します | |||
| Cortex XDR | エクスプロイト防御とマルウェア防御を有効にします | ||
| ユーザーによる実行(T1204) | NGFW | User-IDを、内部の信頼できるインターフェイスに対してのみ有効にします | |
| User-IDが有効な場合、「包含/除外ネットワーク」が使用されていることを確認します | |||
| User-IDが有効な場合、User-IDエージェントは最低限の権限のみを持つようにします | |||
| User-IDサービスアカウントが対話型ログオン権限を持たないようにします | |||
| User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します | |||
| セキュリティポリシーで、User-IDエージェントトラフィックが信頼できないゾーンを通過することを制限します | |||
| 脅威防御† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します | |||
| すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが「enabled(有効)」に設定されていることを確認します | |||
| インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します | |||
| DNSセキュリティ | アンチスパイウェアプロファイルでDNSセキュリティを有効にします | ||
| PAN-DB URLフィルタリングが使用されていることを確認します | |||
| URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギングオプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします | |||
| WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | ||
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| Cortex XDR | エクスプロイト防御とマルウェア防御を有効にします | ||
| スクリプティング(T1064) | WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | |
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| Cortex XDR | エクスプロイト防御とマルウェア防御を有効にします | ||
| 防御回避 | BITSジョブ(T1197) | NGFW | User-IDを、内部の信頼できるインターフェイスに対してのみ有効にします |
| User-IDが有効な場合、「包含/除外ネットワーク」が使用されていることを確認します | |||
| User-IDが有効な場合、User-IDエージェントは最低限の権限のみを持つようにします | |||
| User-IDサービスアカウントが対話型ログオン権限を持たないようにします | |||
| User-IDサービスアカウントのリモートアクセス機能が禁止されていることを確認します | |||
| セキュリティポリシーで、User-IDエージェントトラフィックが信頼できないゾーンを通過することを制限します | |||
| 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します | |||
| トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| 信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
| Cortex XDR | ホスト ファイアウォール プロファイルを設定します | ||
| コード署名(T1116) | Cortex XDR | エクスプロイト防御とマルウェア防御を有効にします | |
| 隠しファイルとディレクトリ (T1158) | Cortex XDR | マルウェア セキュリティ プロファイルで振る舞いベースの脅威防御を設定します | |
| 難読化されたファイルまたは情報 (T1140) |
WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | |
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| 難読化されたファイルまたは情報(T1027) | WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | |
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| Cortex XDR | エクスプロイト防御とマルウェア防御を有効にします | ||
| コマンドとコントロール | 使用頻度の高いポート(T1043) | NGFW | 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します |
| トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| 信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
| URLフィルタリング | PAN-DB URLフィルタリングが使用されていることを確認します | ||
| URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギングオプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします | |||
| 標準暗号化プロトコル(T1032) | NGFW | インターネットへのトラフィックに対して「SSLフォワード プロキシ ポリシー」が設定されていることを確認します | |
| SSLまたはTLSを使用する、サーバーへの信頼できないすべてのトラフィックに対して、「SSLインバウンドインスペクション」が要求されることを確認します | |||
| 復号化に使用される証明書が信頼できることを確認します | |||
| 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します | |||
| トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| 信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
| 脅威防御† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します | |||
| すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが「enabled(有効)」に設定されていることを確認します | |||
| インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します | |||
| DNSセキュリティ | アンチスパイウェアプロファイルでDNSセキュリティを有効にします | ||
| URL フィルタリング | PAN-DB URLフィルタリングが使用されていることを確認します | ||
| URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギングオプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします | |||
| WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | ||
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| リモート ファイル コピー(T1105) | NGFW | 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します | |
| トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| 信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
| WildFire | WildFireファイル サイズ アップロード制限が最大になっていることを確認します | ||
| WildFireへの復号化されたコンテンツの転送を有効にします | |||
| すべてのWildFireセッション情報設定を有効にします | |||
| WildFireで検出された悪意のあるファイルに対して、アラートが有効になっていることを確認します | |||
| 更新を1分ごとにダウンロードしてインストールするように、「WildFireの更新スケジュール」を設定します | |||
| 標準アプリケーション層プロトコル(T1071) | NGFW | 信頼できないゾーンからより信頼できるゾーンへのトラフィックを許可する場合は、アプリケーションのセキュリティポリシーが存在することを確認します | |
| トラフィックを許可するセキュリティポリシーに「すべてのサービス設定」が存在しないことを確認します | |||
| 信頼できる脅威インテリジェンスソース上のIPアドレスとの間のすべてのトラフィックを拒否する「セキュリティポリシー」が存在することを確認します | |||
| 脅威防御† | すべてのデコーダで「imap」および「pop3」以外をブロックするように、アンチウィルスプロファイルが設定されていることを確認します | ||
| 関連するすべてのセキュリティポリシーにセキュアなアンチウィルスプロファイルが適用されていることを確認します | |||
| すべてのスパイウェア重大度レベル、カテゴリ、脅威をブロックするようにアンチスパイウェアプロファイルが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェアプロファイルで、DNSシンクホールが設定されていることを確認します | |||
| 使用中のすべてのアンチスパイウェアプロファイルで、パッシブDNSモニタリングが「enabled(有効)」に設定されていることを確認します | |||
| インターネットへのトラフィックを許可するすべてのセキュリティポリシーに、セキュアなアンチスパイウェアプロファイルを適用します | |||
| DNSセキュリティ | アンチスパイウェアプロファイルでDNSセキュリティを有効にします | ||
| URL フィルタリング | PAN-DB URLフィルタリングが使用されていることを確認します | ||
| URLフィルタリングがURLカテゴリで「ブロック」または「オーバーライド」アクションを使用することを確認します | |||
| すべてのURLへのアクセスを記録します | |||
| すべてのHTTPヘッダのロギングオプションを有効にします | |||
| セキュアなURLフィルタリングを、インターネットへのトラフィックを許可するすべてのセキュリティポリシーに対して有効にします |
表1: Hangoverグループに対する行動指針
†これらの機能は、NGFWセキュリティ サブスクリプション サービスに含まれます
結論
Hangoverグループは活動中であり、Unit 42によると、南アジアの政府機関と軍事組織を標的としています。
当グループは侵害されたサードパーティのインフラストラクチャを利用し、サイトへのリンクを含むスピアフィッシングメールを使用して、兵器化された文書を配信し続けています。
配信文書は進化し続けており、年を重ねるにつれてプレーン テキスト コードおよびURLからエンコード済みのものに移行しています。文書内へのエンコード済み実行可能ファイルの格納から、ZIPファイルの使用(ファイルのパッケージを含む)、そして最終的にコマンドおよびコントロールサーバーからの実行可能ファイルのダウンロードへと移行しています。
配信文書によるBackConfigマルウェアのインストールは、複数のステージおよびコンポーネントを使用して実行され、ほとんどの場合、サンドボックスやその他の自動分析および検出システムを免れます。これには、仮想化ベースのセキュリティ(VBS)、バッチコード、スケジュールが設定されたタスク、および条件付きトリガーファイルの使用が含まれます。
インストールが完了すると、BackConfigマルウェアはHTTPSを使用して可視性および検出を困難にし、他の似たようなトラフィックに紛れ込んで、脅威アクターとやり取りします。
感染したシステムがアクターの制御下に入った後の目標は、デプロイされたプラグイン、および侵害されたシステムまたは組織のタイプによって異なります。
その他の資料
- 南アジアの政府機関と軍事施設を標的とする、更新されたBackConfigマルウェア
- Best Practices from Palo Alto Networks (パロアルトネットワークスのベストプラクティス)
- MITRE ATT&CK Matrix for Enterprise (MITRE ATT&CKのエンタープライズマトリクス): Hangover脅威グループ
このレポート内の推奨される行動指針は、パロアルトネットワークスで現在入手可能な情報およびパロアルトネットワークスの製品およびサービスの機能に基づきます。
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us