This post is also available in: English (英語)

概要

Insidious Taurus (別名 Volt Typhoon) は、米国政府機関と政府の国際的な協力者らにより、中華人民共和国 (PRC) の国家支援型サイバー攻撃者であることが特定されています。このグループは、おそらくは重大な危機ないし米国との紛争発生時に崩壊的ないし破壊的に行うサイバー攻撃に備え、米国の重要インフラの IT ネットワーク内に事前に入り込むことに重点を置いています。2024 年 1 月 31 日の公聴会で、FBI の Christopher Wray 長官は、米国と中国共産党の戦略的競争に関する米国下院特別委員会に対し、Volt Typhoon (Insidious Taurus) は「我々の世代の決定的脅威」と語りました。

米国政府は国際的な政府の同盟国と協力し、同グループの活動に関する 2 つの合同サイバーセキュリティ勧告 (CSA) を発表しました。最初の合同サイバーセキュリティ勧告 (CSA) は 2023 年 5 月 24 日に発表されました。2 つめの合同サイバーセキュリティ勧告 (CSA) は 2024 年 2 月 7 日に発表されました。

1 つめの CSA は、同グループが中間インフラとしてスモールオフィス/ホームオフィス (SOHO) ネットワーク機器を使い、その活動がわかりづらいようにしていることについて論じています。また、自らの活動を隠蔽する手段として、「環境寄生型 (Living-off-the-land)」技術を使うことや目的遂行のために組み込みのネットワーク管理ツールを使う点にもふれています。活動関連データの提供により、弊社社名も 1 つめの勧告にクレジットされています。

2 つめの CSA は、同グループが使う幅広い技術を論じています。そのなかでは、侵害前の大規模な事前偵察の実施、インターネットに向いているネットワーク機器の既知ないしゼロデイ脆弱性の悪用による初期アクセスの獲得、被害環境内の管理者認証情報獲得への注力などが取り上げられています。 

米司法省は 1 月 31 日、裁判所公認の作戦により、KV-botnet に感染した米国国内の SOHO デバイス数百台からなるボットネットを破壊したとするプレスリリースを発表しました。KV-botnet は、Insidious Taurus を含む複数の異なる脅威アクターによって使用されています。 

このボットネットに含まれるデバイスの大半はルーターで、メーカーのセキュリティ パッチそのほかのソフトウェア アップデートによるサポートが終了していたことから脆弱な状態になっていました。脅威アクター グループは、このボットネット内の侵害されたデバイスを連鎖させ、秘密のデータ転送ネットワークを形成します。 

KV-botnet は破壊されたものの、Insidious Taurus は依然として現在進行形の脅威であり、重要インフラを標的にしたサイバー攻撃はとくに注意が必要です。Unit 42 はより詳細な情報が利用可能になるつど本概要を更新します。

パロアルトネットワークスのお客様は、以下の製品を通じて、Insidious Taurus の脅威からさらに強力に保護されています。

  • 次世代ファイアウォールAdvanced Threat Preventionセキュリティ サブスクリプションを有効にしている場合、Threat Prevention のシグネチャにより攻撃をブロックできます。
  • Advanced Threat Prevention はインライン機械学習ベースの検出機能を備えており、エクスプロイトをリアルタイムに検出できます。
  • Advanced URL FilteringDNS Security は同脅威グループに関連付けられた既知の IP アドレスとドメインを悪意のあるものとして識別します。
  • Cortex XSOAR は、データ エンリッチメント、侵害指標 (IoC) のハンティング、修復アクションのワークフローを自動化し、手作業を減らしてパッチ適用プロセスを迅速化できます。
  • Behavioral Threat Protection (BTP)と複数のセキュリティ モジュールを使う Cortex XDRXSIAMのエージェントは、同アクターの実行する技術からの保護に役立ちます。Cortex Analytics は本稿で解説する技術に対応する複数の検出モデルを備え、Identity Analyticsモジュールによる関連対策を追加で備えています。
  • Cortex Xpanse は、インターネットに露出した幅広い SOHO デバイスを検出できます。
  • Prisma Cloud エージェントは、WildFire のもつ既知の Insidious Taurus マルウェアの全サンプルに対する検出機能を備えています。
  • Prisma Access は、WildFire のもつ既知の Insidious Taurus マルウェアの全サンプルを検出し、関連するすべての脅威シグネチャをサービス開始時に検出できます。

Unit 42 インシデント レスポンス チームは、本稿で取り上げた脅威をはじめ、さまざまな脅威への個別対応を提供しています。

本稿で扱う脅威アクターグループ名  別名
Insidious Taurus Volt Typhoon, Voltzite, BRONZE SILHOUETTE, Vanguard Panda, UNC3236, Dev-0391

敵対者の攻撃手法

2021 年後半、Unit 42 は、その当時は公表されていなかった Zoho ManageEngine ADSelfService Plus の脆弱性 (CVE-2021-40539) を初期アクセスとして使っていた脅威アクターを観測しました。インシデント対応活動をするなかで、Unit 42 は、FTP を実行しているネットワーク接続ストレージ (NAS) サーバーへの接続を特定しました。その NAS のゴミ箱からは、SockDetour のサンプルが見つかりました。

SockDetour は永続性維持のために使われるカスタム バックドアで、脅威アクターが使うメインのバックドアが削除された場合、予備のバックドアとして機能するよう設計されています。このイベントで使用された戦術と技術は、当時 Microsoft が DEV-0391 と呼んでいたものと一致していて、このグループが現在 Insidious Taurus (別名 Volt Typhoon) として知られています。 

Insidious Taurus は、めったに使われることのないマルウェア ファミリーの EarthWorm や、オープンソース ツールの Impacket や Fast Reverse Proxy のカスタム バージョンも使っています。これらのツールの使用は、攻撃者の技術力の高さと検出回避の重視という Unit 42 チームの評価をさらに補強するものとなっています。 

インターネットに面したデバイスの脆弱性悪用は、Insidious Taurus の初期アクセス ベクトルとして知られています。彼らは公開された脆弱性やエクスプロイトを利用する一方で、独自のゼロデイ エクスプロイトを特定・開発する能力を持っていると考えられています。 

初期アクセス達成後の攻撃には「できるだけ悪意のあるアクティビティを発生させず対策ソフトウェアによる検出やブロックを回避する」という共通特性が見られます。一度でも検出されれば作戦は成功しません。検出が早ければなおさらです。 

Insidious Taurus のアクターらは検出回避に複数の手順を講じるなど、高度な攻撃者でしか見られない総合的技術力を示していました。その方法のひとつが危殆化した SOHO デバイスを使うことです。一般家庭や中小企業から攻撃を仕掛けるのは攻撃者にとって好都合です。 

手動でのソフトウェア更新が必要なことに加え、SOHO デバイスはベストプラクティスに従って設定されることがめったになく、そのネットワーク管理インターフェイスがインターネットに直接公開されてしまっています。これらの理由から、ボットネットを含め、あらゆる動機をもつ攻撃者の多くが SOHO デバイスを意識的に悪意のあるアクティビティに利用しています。これと同じことが、2021 年後半に Unit 42 が対応した、ある 1 つの接続が危殆化された NAS サーバーの特定につながった事例でも起きていました。

また Insidious Taurus は「living off the land (環境寄生型)」と呼ばれる技術を多用して検出を回避します。この技術は以前なら高度な攻撃者の間だけで見られたものですが、今は一般的な検出回避用技術として広く使われるようになっています。この技術は、正規のツール (多くの場合システム管理者が正当な目的で使用するもの) を攻撃者が悪意のある用途に転用することを指します。

たとえログに記録が残っても、このアクティビティは多くの場合、ネットワーク管理上の正当な利用に似たものになります。この技術には、ネットワークの列挙、アカウントに付与された権限の識別、さらにはパスワード回復ツールまでもが含まれます。これらのツールは正当な目的でも広く使用されているのでダウンロードの許可リストに記載されているケースが多く、悪意のあるアクティビティに使用された場合、検出が困難になることがあります。 

このほかに攻撃者が被害者のネットワークとやりとりするさいに自らのアクティビティを隠す方法としては、当該アクティビティを自動化するスクリプトは使わず、直接実際にキーボードを使って作業を実行することが挙げられます。そうやって検出やブロックの対象となるスクリプト化されたコマンド連打を避け、予期されている人間の作業に見せかければ、攻撃者はさらに検出対策を妨害することができます。求められる知識と技術の高さから、当面はこの技術が高度な攻撃者にしかうまく扱えない手段であることに変わりはありません。

中間ガイダンス

Unit 42 は、CISA の最新の CSA が提供するガイダンスに従うことを推奨します。このガイダンスには次のものが含まれます。

  • アタックサーフェス (攻撃対象領域) のハードニング (強化)
  • 認証情報やアカウントの保護
  • リモート アクセス サービスの使用の保護および制限
  • ネットワーク セグメンテーションの実装
  • クラウド資産の保護
  • ロギング、脅威モデリング、トレーニングを通じた事前の態勢づくり

さらに、Unit 42 では、検出機会の強化により環境寄生型攻撃を特定しやすくしておくことも推奨します。

Unit 42マネージド スレット ハンティング チームによるクエリー

以下のようなクエリーを使うことで、組織は Insidious Taurus に関連する可能性のあるアクティビティをハントできるようになります。ただし、ここでハントさている技術や IoC は Insidious Taurus に固有のものではない可能性がありますので、得られた結果はほかに特定されたアクティビティのコンテキストに照らして検討する必要があります。

結論

Unit 42は、入手可能な公開情報にもとづき、Insidious Taurus (Volt Typhoon) を「トップクラスの高度標的型攻撃者 (APT)」と評価しています。私たちは、このアクティビティが中華人民共和国の国家支援型アクターと関連しているという合同サイバーセキュリティ勧告による帰属に同意します。 

Insidious Taurus によるアクティビティ検出は困難なため、いくつかの重要エリアに焦点を当てるという CSA の勧告に私たちは同意します。この勧告には、インターネットに接続された SOHO 機器や仮想プライベート ネットワーク (VPN) の更新などの緩和対策が含まれています。ボットネットの一部または最初のアクセス ベクトルとして、こうしたデバイスが脅威アクターらに使われるためです。 

これらの勧告には、多要素認証の使用強化も含まれています。さらに、十分なロギングの実施を優先して行うとも含まれています。これは環境寄生型技術の利用を示しうる環境内アクティビティの検出にとってとくに重要です。取るべき行動に関する追加の詳細なガイダンスは、最新の合同セキュリティ勧告に記載されています。

パロアルトネットワークスのお客様は、次の各製品によってこの脅威からより確実に保護されています。詳細な情報が利用可能になりしだい本脅威に関する情報を更新します。

パロアルトネットワークス製品による Insidious Taurus からの保護

パロアルトネットワークスのお客様は、この脅威を特定・防御するために設計されたさまざまな製品保護とアップデートを活用できます。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、下記の電話番号までお問い合わせください (ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • EMEA: +31.20.299.3130
  • APAC: +65.6983.8730
  • 日本: (+81) 50-1790-0200

パロアルトネットワークスは、さまざまなネットワーク機器の脆弱性を標的とする Insidious Taurus によるエクスプロイト利用へのエクスポージャー特定・緩和の支援に向け、アタック サーフェス (攻撃対象領域) の評価と Prisma Access の 90 日間ライセンスを含む、無償で義務を伴わない緊急バンドルを提供しています。

なお、本オファーはプロモーション用であり、希望多数の場合はご利用になれないことがあります。本脆弱性は非常に変化が早いため、パロアルトネットワークスは同オファーを更新する権利を留保します。

Advanced Threat Prevention を有効にした次世代ファイアウォールと Prisma Access

Advanced Threat Preventionセキュリティサブスクリプションを有効にした次世代ファイアウォールは、Threat Preventionのシグネチャー(9167692734 91362908299136386360909269095290972908518320285739)を通じて攻撃の防止を支援します。

Advanced Threat Prevention はインライン機械学習ベース検出機能を備えており、脆弱性のエクスプロイトのリアルタイム検出を支援します。

Prisma Access

Prisma Access は、WildFire のもつ既知の Insidious Taurus のマルウェアの全サンプルを検出し、関連するすべての脅威シグネチャーをサービス開始時に検出できます。

Prisma Accessは、ゼロトラスト戦略を採用した、クラウドで提供される集中管理型のセキュリティ サービスです。最小特権の原則と継続的信頼性検証をエンフォースし、必要にもとづいたユーザーへのアクセス制限を行うほか、アプリケーション ワークロードの変化を継続的に監視することができます。また、最先端の機械学習とAIによりユーザーの振る舞いを監視し、業界最高クラスのアラートと緩和策を提供します。これにより初期アクセス防止にとどまらない保護を確立し、侵害試行時の業務への影響を制限・防止できます。

組織の環境は、WildFireやAdvanced URL Filtering、Advanced Threat Preventionなどの機械学習を駆使した最新のインライン型脅威対策技術で自動的に更新・保護されます。Prisma Accessはゼロデイ脅威をも阻止できる継続的かつ動的なセキュリティ検査エコシステムを提供します。

Prisma Accessは機械学習ベースの検出を用いることでゼロデイ脅威に対する検出・対応をリアルタイムで提供し、今日のサイバーセキュリティ情勢におけるもっとも複雑な攻撃の一部も防ぐことができます。

Prisma Accessは高度なDLP保護機能も備えており、顧客組織全体でアプリケーションとデータベースのワークロードへのアクセスとデータの整合性を保護します。

Cortex XSOAR

Cortex XSOARは、データ エンリッチメント、IoCハンティング、修復アクションのワークフローを自動化し、手作業を減らしてパッチ適用プロセスを迅速化できます。

Cortex XDR / XSIAM

Behavioral Threat Protection (BTP)と複数のセキュリティ モジュールを使う Cortex XDRXSIAM エージェントは、同アクターの実行する技術からの保護に役立ちます。

Cortex Analyticsは本稿で解説する技術に対応する複数の検出モデルを備え、Identity Analyticsモジュールによる関連対策を追加で備えています。

Cortex Xpanse

Cortex Xpanse は、Cisco、NETGEAR、D-Link、ASUS、H3C、Xiaomi、MikroTik などが製造したデバイスをはじめ、インターネットに露出した幅広い SOHO デバイスを、用意された 20 種類を超える個別のルールにより検出できます。

次世代ファイアウォールのクラウド配信型セキュリティサービス

Advanced URL Filtering と DNS Security は同脅威グループに関連付けられた既知の IP アドレスとドメインを悪意のあるものとして識別します。

Prisma Cloud

Prisma Cloud エージェントは、WildFire のもつ既知の Insidious Taurus マルウェアの全サンプルを検出します。

Prisma Cloudは、悪意のあるトラフィックを継続的に監視しています。WildFireの脅威インテリジェンス データを統合することで、Prisma Cloudエージェントはお客様のクラウド環境から発信される悪意のあるランタイム オペレーションの実行からクラウド仮想マシンやコンテナー、サーバーレスのランタイム環境を検出・保護できます。

追加リソース

2023-05-29 13:30 JST 英語版更新日 2023-05-26 15:27 PDT の内容を反映

2024-02-15 15:00 JST 英語版更新日 2024-02-14 14:25 PST の内容を反映  

2024-02-21 10:00 JST 英語版更新日 2024-02-20 11:27 PST の内容を反映しプロモーション提供内容を追記

Enlarged Image