This post is also available in: English (英語)
概要
2023年5月24日、複数の情報機関が民間セクターのパートナーと協力して「合同サイバーセキュリティ勧告」を公開しました。本勧告は国民国家が支援する脅威アクターからの複数のサイバー攻撃について開示したものです。これらの攻撃に関与したのはVolt Typhoonの名で知られる中華人民共和国(PRC)に帰属するグループ(Unit 42での追跡名は「Insidious Taurus」)で、スパイ活動を動機とするオペレーションを遂行していました。
Unit 42は同グループのアクティビティを追跡しています。より詳細な情報が利用可能になりしだい、本概要は更新されます。アクティビティに関するデータの提供により弊社社名も同勧告にクレジットされています。
現在の地政学的状況から重要インフラを狙うサイバー攻撃にはとくに注意が必要です。このアクティビティは攻撃者が検出防止に細心の注意を払っているという点でとくに注目されます。同グループは侵害した小規模事業やホーム オフィス(SOHO)のデバイスを悪用し、侵害先に元からあるツールを攻撃に転用する「環境寄生型(living off the land)」と呼ばれる技術を使い、侵害したデバイスと手動でやりとりすることにより、検出を防いでいました。
パロアルトネットワークスのお客様は、次の一連の対策によりVolt Typhoonからの保護を受けています。
- Advanced Threat Preventionセキュリティ サブスクリプションを有効にした次世代ファイアウォール製品は攻撃の防止に役立ちます。
- Advanced Threat Preventionはインライン機械学習ベースの検出機能を備えており、エクスプロイトをリアルタイムに検出できます。
- Cortex XSOARは、データ エンリッチメント、IoCハンティング、修復アクションのワークフローを自動化し、手作業を減らしてパッチ適用プロセスを迅速化できます。
- Behavioral Threat Protection (BTP)と複数のセキュリティ モジュールを使うCortex XDRおよびCortex XSIAMエージェントは、同アクターの実行する技術からの保護に役立ちます。
- Cortex Analyticsは本稿で解説する技術に対応する複数の検出モデルを備え、Identity Analyticsモジュールによる関連対策を追加で備えています。
- Prisma Cloudエージェントは、WildFireのもつ既知のVolt Typhoonマルウェアの全サンプルに対する検出機能を備えています。
- Prisma Accessは、Wildfireのもつ既知のVolt Typhoonマルウェアの全サンプルを検出し、関連するすべての脅威シグネチャーをサービス開始時に検出できます。
同脅威を含むさまざまな脅威に対し個別の支援を必要とされる場合はUnit 42のインシデントレスポンスチームをご用命いただけます。
弊社はまた、インターネットに直接公開されているSOHOデバイスの更新を推奨します。加えて組織の皆さまには、自社のアクティビティを調査し、「とくに悪質ではないバイナリーが連鎖的に実行されている」といった平時に見られない挙動がないかどうかを確認することをお勧めします。
| 本稿で扱う脅威アクターグループ名 | Volt Typhoon, Insidious Taurus |
目次
現在の攻撃スコープ
中間ガイダンス
Unit 42マネージド スレット ハンティング チームによるクエリー
結論
パロアルトネットワークス製品によるVolt Typhoonからの保護
Advanced Threat Preventionを有効にした次世代ファイアウォールとPrisma Access
Prisma Access
Cortex XSOAR
Cortex XDRとCortex XSIAM
Prisma Cloud
追加リソース
現在の攻撃スコープ
スパイ活動を動機とする攻撃には「できるだけ悪意のあるアクティビティを発生させず対策ソフトウェアによる検出やブロックを回避する」という共通特性が見られます。一度でも検出されれば作戦は成功しません。検出が早ければなおさらです。
今回の攻撃者は検出回避に複数の手順を講じるなど、高度な攻撃者でしか見られない総合的技術力を示していました。まず、侵害されたSOHOデバイスを使用することで、攻撃者のアクティビティが家庭や小規模事業から発信されているように見せかけることができます。これはネットワーク セキュリティ態勢においてはデフォルトではあまり考慮されていない領域といえるでしょう。
手動でのソフトウェア更新が必要なことに加え、SOHOデバイスはベストプラクティスに従って設定されることがめったになく、そのネットワーク管理インターフェイスはインターネットに直接公開されてしまっています。これらの理由から、ボットネットを含め、あらゆる動機をもつ攻撃者の多くがSOHOデバイスを意識的に悪意のあるアクティビティに利用しています。
Microsoft Threat Intelligenceも同グループのアクティビティに関する知見を文書化した調査結果を公開しています。Volt Typhoonは、米国およびグアムに拠点を置く「通信、製造、公共サービス、輸送、建設、海事、政府、情報技術、教育分野」の重要インフラ組織にフォーカスしていることが報告されています。
またVolt Typhoonは「living off the land (環境寄生型)」と呼ばれる技術を多用して検出を回避します。この技術は以前なら高度な攻撃者の間だけで見られたものですが、今は一般的な検出回避用技術として広く使われるようになっています。この技術は、正規のツール(多くの場合システム管理者が正当な目的で使用するもの)を攻撃者が悪意のある用途に転用することを指します。
たとえログに記録が残っても、このアクティビティは多くの場合、ネットワーク管理上の正当な利用に似たものになります。この技術には、ネットワークの列挙、アカウントに付与された権限の識別、さらにはパスワード回復ツールまでもが含まれます。これらのツールは正当な目的でも広く使用されているのでダウンロードの許可リストに記載されているケースが多く、悪意のあるアクティビティに使用された場合、検出が困難になることがあります。
またこの攻撃者は、被害組織のネットワークにアクセスするさい、スクリプトによる自動化は行わずキーボードによる直接操作を行っていました。そうやって検出やブロックの対象となるスクリプト化されたコマンド連打を避け、予期されている人間の作業に見せかければ、攻撃者はさらに検出対策を妨害することができます。求められる知識と技術の高さから、当面はこの技術が高度な攻撃者にしかうまく扱えない手段であることに変わりはありません。
彼らが使用頻度の低いマルウェア ファミリーのEarthWormやオープン ソース ツールのImpacketやFast Resource Proxyのカスタム バージョンを使用していたことは、攻撃者の技術力の高さと検出回避の重視というUnit 42チームによる評価をさらに強調するものとなっています。
中間ガイダンス
Unit 42は、個人事業主や小規模事業でインターネットに直接接続しているSOHOデバイスをお使いの皆さまに、これらの機器のアップデートを推奨します。加えて組織の皆さまには、自社のアクティビティを調査し、「とくに悪質ではないバイナリーが連鎖的に実行されている」といった平時に見られない挙動がないかどうかを確認することをお勧めします。
Unit 42マネージド スレット ハンティング チームによるクエリー
|
1 2 3 4 5 6 7 |
// 説明: netshのPortProxyコマンドを使ってポート フォワーディングを有効化していないか探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |filter action_process_image_name in ("netsh.exe","cmd.exe") |filter action_process_image_command_line contains "netsh interface portproxy add v4tov4" |fields _time, agent_hostname, actor_effective_username, actor_process_image_path, action_process_image_command_line |
|
1 2 3 4 5 6 7 8 |
// 説明: PortProxyのレジストリ キーが作成されていないか探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |dataset = xdr_data |filter event_type = ENUM.REGISTRY AND (event_sub_type in (ENUM.REGISTRY_CREATE_KEY, ENUM.REGISTRY_SET_VALUE)) |filter action_registry_key_name = "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PortProxy\v4tov4\tcp" |fields _time, agent_hostname, actor_effective_username, actor_process_image_name, actor_process_command_line, event_type, event_sub_type, action_registry_key_name, action_registry_data |
|
1 2 3 4 5 6 7 8 |
// 説明: Volt Typhoonによる利用が観測されたWMIC情報収集コマンドを探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |dataset = xdr_data |filter event_type = ENUM.PROCESS and event_sub_type = ENUM.PROCESS_START |filter action_process_image_name = "wmic.exe" and actor_process_image_name = "cmd.exe" and action_process_image_command_line contains "path win32_logicaldisk get caption,filesystem,freespace,size,volumename" |fields _time,agent_hostname,actor_effective_username,actor_process_image_name,actor_process_command_line,action_process_image_command_line |
|
1 2 3 4 5 6 7 |
// 説明: NtdsutilのIFMコマンドでNTDS.ditをディスクにダンプしようとしていないか探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |dataset = xdr_data |filter action_process_image_name = "ntdsutil.exe" AND (action_process_image_command_line contains "ac i ntds" or action_process_image_command_line contains "activate instance ntds") and action_process_image_command_line contains "create full" |fields _time,agent_hostname,actor_effective_username,actor_process_image_path,action_process_image_command_line |
|
1 2 3 4 5 6 7 8 |
// 説明: ImpacketのWmiexec使用と一致する引数で起動されたcmd.exeのインスタンスを探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |dataset = xdr_data |filter event_type = ENUM.PROCESS AND event_sub_type = ENUM.PROCESS_START |filter os_actor_process_image_name = "wmiprvse.exe" AND action_process_image_name = "cmd.exe" AND action_process_image_command_line contains """/Q /c * \\\\127.0.0.1\\ADMIN$\\__* 2>&1""" |fields _time, agent_hostname, actor_effective_username, os_actor_process_image_name, action_process_image_command_line |
|
1 2 3 4 5 6 7 8 |
// 説明: Volt Typhoonに関するCISAレポートのIoC (侵害の痕跡)に一致するバイナリーの実行を探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |dataset = xdr_data |filter event_type = ENUM.PROCESS AND event_sub_type = ENUM.PROCESS_START |filter action_process_image_sha256 in ("f4dd44bc19c19056794d29151a5b1bb76afd502388622e24c863a8494af147dd","ef09b8ff86c276e9b475a6ae6b54f08ed77e09e169f7fc0872eb1d427ee27d31","d6ebde42457fe4b2a927ce53fc36f465f0000da931cfab9b79a36083e914ceca","472ccfb865c81704562ea95870f60c08ef00bcd2ca1d7f09352398c05be5d05d","66a19f7d2547a8a85cee7a62d0b6114fd31afdee090bd43f36b89470238393d7","3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71","41e5181b9553bbe33d91ee204fe1d2ca321ac123f9147bb475c0ed32f9488597","c7fee7a3ffaf0732f42d89c4399cbff219459ae04a81fc6eff7050d53bd69b99","3a9d8bb85fbcfe92bae79d5ab18e4bca9eaf36cea70086e8d1ab85336c83945f","fe95a382b4f879830e2666473d662a24b34fccf34b6b3505ee1b62b32adafa15","ee8df354503a56c62719656fae71b3502acf9f87951c55ffd955feec90a11484") |fields _time,agent_hostname,actor_effective_username,actor_process_image_path,action_process_image_path,action_process_image_command_line,action_process_image_sha256 |
|
1 2 3 4 5 6 7 8 |
// 説明: Volt Typhoonに関するCISAレポートのIoC (侵害の痕跡)に一致するファイルの書き込みを探す // 参照: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a config case_sensitive = false |dataset = xdr_data |filter event_type = ENUM.FILE and event_sub_type = ENUM.FILE_WRITE |filter action_file_sha256 in ("f4dd44bc19c19056794d29151a5b1bb76afd502388622e24c863a8494af147dd","ef09b8ff86c276e9b475a6ae6b54f08ed77e09e169f7fc0872eb1d427ee27d31","d6ebde42457fe4b2a927ce53fc36f465f0000da931cfab9b79a36083e914ceca","472ccfb865c81704562ea95870f60c08ef00bcd2ca1d7f09352398c05be5d05d","66a19f7d2547a8a85cee7a62d0b6114fd31afdee090bd43f36b89470238393d7","3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71","41e5181b9553bbe33d91ee204fe1d2ca321ac123f9147bb475c0ed32f9488597","c7fee7a3ffaf0732f42d89c4399cbff219459ae04a81fc6eff7050d53bd69b99","3a9d8bb85fbcfe92bae79d5ab18e4bca9eaf36cea70086e8d1ab85336c83945f","fe95a382b4f879830e2666473d662a24b34fccf34b6b3505ee1b62b32adafa15","ee8df354503a56c62719656fae71b3502acf9f87951c55ffd955feec90a11484") |fields _time, agent_hostname, actor_effective_username, actor_process_image_path, actor_process_command_line, action_file_path, action_file_sha256 |
|
1 2 3 4 5 6 7 8 |
// 説明: 既知のVolt TyphoonのFast Reverse Proxy (frp)バイナリーの実行を探す // 参照: https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ config case_sensitive = false |dataset = xdr_data |filter event_type = ENUM.PROCESS AND event_sub_type = ENUM.PROCESS_START |filter action_process_image_sha256 in ("baeffeb5fdef2f42a752c65c2d2a52e84fb57efc906d981f89dd518c314e231c","b4f7c5e3f14fb57be8b5f020377b993618b6e3532a4e1eb1eae9976d4130cc74","4b0c4170601d6e922cf23b1caf096bba2fade3dfcf92f0ab895a5f0b9a310349","c0fc29a52ec3202f71f6378d9f7f9a8a3a10eb19acb8765152d758aded98c76d","d6ab36cb58c6c8c3527e788fc9239d8dcc97468b6999cf9ccd8a815c8b4a80af","9dd101caee49c692e5df193b236f8d52a07a2030eed9bd858ed3aaccb406401a","450437d49a7e5530c6fb04df2e56c3ab1553ada3712fab02bd1eeb1f1adbc267","93ce3b6d2a18829c0212542751b309dacbdc8c1d950611efe2319aa715f3a066","7939f67375e6b14dfa45ec70356e91823d12f28bbd84278992b99e0d2c12ace5","389a497f27e1dd7484325e8e02bbdf656d53d5cf2601514e9b8d8974befddf61","c4b185dbca490a7f93bc96eefb9a597684fdf532d5a04aa4d9b4d4b1552c283b","e453e6efc5a002709057d8648dbe9998a49b9a12291dee390bb61c98a58b6e95","6036390a2c81301a23c9452288e39cb34e577483d121711b6ba6230b29a3c9ff","cd69e8a25a07318b153e01bba74a1ae60f8fc28eb3d56078f448461400baa984","17506c2246551d401c43726bdaec800f8d41595d01311cf38a19140ad32da2f4","8fa3e8fdbaa6ab5a9c44720de4514f19182adc0c9c6001c19cf159b79c0ae9c2","d17317e1d5716b09cee904b8463a203dc6900d78ee2053276cc948e4f41c8295","472ccfb865c81704562ea95870f60c08ef00bcd2ca1d7f09352398c05be5d05d","3e9fc13fab3f8d8120bd01604ee50ff65a40121955a4150a6d2c007d34807642") |fields _time,agent_hostname,actor_effective_username,actor_process_image_path,action_process_image_path,action_process_image_command_line,action_process_image_sha256 |
結論
Unit 42は、入手可能な公開情報にもとづき、Volt Typhoonを「スパイ活動にフォーカスしたトップクラスの高度標的型攻撃者(APT)」と評価しています。私たちは、このアクティビティが中華人民共和国の国家支援アクターと関連しているという合同サイバーセキュリティ勧告による帰属に同意します。
このアクターの検出は難しいことから、個人事業主ならびに小規模事業でインターネットに直接接続されたSOHOデバイスをお使いの皆さまには、まずはこれらの機器をアップデートすることを推奨します。加えて組織の皆さまには、自社のアクティビティを精査し、「とくに悪質ではないバイナリーが連鎖的に実行されている」といった平時に見られない挙動がないかどうかを確認することをお勧めします。
パロアルトネットワークスのお客様は、次の各製品によってこの脅威から保護されています。より詳細な情報が利用可能になりしだい、本稿は更新されます。
パロアルトネットワークス製品によるVolt Typhoonからの保護
パロアルトネットワークスのお客様には、弊社製品/サービスの保護・更新を通じ、同脅威の特定と防御が提供されています。
侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、infojapan@paloaltonetworks.comまでメールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。
- 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
- 欧州: +31.20.299.3130
- アジア太平洋: +65.6983.8730
- 日本: +81.50.1790.0200
Advanced Threat Preventionを有効にした次世代ファイアウォールとPrisma Access
- Advanced Threat Preventionセキュリティサブスクリプションを有効にした次世代ファイアウォールは、Threat Preventionのシグネチャー(91676、92734、 91362、90829、91363、86360、90926、90952、90972、90851、83202、85739)を通じて攻撃の防止を支援します。
- Advanced Threat Preventionはインライン機械学習ベース検出機能を備えており、脆弱性のエクスプロイトをリアルタイムに検出できます。
Prisma Access
Prisma Accessは、WildFireのもつ既知のVolt Typhoonマルウェアの全サンプルを検出し、関連するすべての脅威シグネチャーをサービス開始時に検出できます。
Prisma Accessは、ゼロトラスト戦略を採用した、クラウドで提供される集中管理型のセキュリティ サービスです。最小特権の原則と継続的信頼性検証をエンフォースし、必要にもとづいたユーザーへのアクセス制限を行うほか、アプリケーション ワークロードの変化を継続的に監視することができます。また、最先端の機械学習とAIによりユーザーの振る舞いを監視し、業界最高クラスのアラートと緩和策を提供します。これにより初期アクセス防止にとどまらない保護を確立し、侵害試行時の業務への影響を制限・防止できます。
組織の環境は、WildFireやAdvanced URL Filtering、Advanced Threat Preventionなどの機械学習を駆使した最新のインライン型脅威対策技術で自動的に更新・保護されます。Prisma Accessはゼロデイ脅威をも阻止できる継続的かつ動的なセキュリティ検査エコシステムを提供します。
Prisma Accessは機械学習ベースの検出を用いることでゼロデイ脅威に対する検出・対応をリアルタイムで提供し、今日のサイバーセキュリティ情勢におけるもっとも複雑な攻撃の一部も防ぐことができます。
Prisma Accessは高度なDLP保護機能も備えており、顧客組織全体でアプリケーションとデータベースのワークロードへのアクセスとデータの整合性を保護します。
Cortex XSOAR
- Cortex XSOARは、データ エンリッチメント、IoCハンティング、修復アクションのワークフローを自動化し、手作業を減らしてパッチ適用プロセスを迅速化できます。
Cortex XDRとCortex XSIAM
- Behavioral Threat Protection (BTP)と複数のセキュリティ モジュールを使うCortex XDRとCortex XSIAMエージェントは、同アクターの実行する技術からの保護に役立ちます。
- Cortex Analyticsは本稿で解説する技術に対応する複数の検出モデルを備え、Identity Analyticsモジュールによる関連対策を追加で備えています。
Prisma Cloud
Prisma Cloudエージェントは、WildFireのもつ既知のVolt Typhoonマルウェアの全サンプルを検出します。
Prisma Cloudは、悪意のあるトラフィックを継続的に監視しています。WildFireの脅威インテリジェンス データを統合することで、Prisma Cloudエージェントはお客様のクラウド環境から発信される悪意のあるランタイム オペレーションの実行からクラウド仮想マシンやコンテナー、サーバーレスのランタイム環境を検出・保護できます。
追加リソース
- Joint Cybersecurity Advisory: People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection (合同サイバーセキュリティ勧告: 中華人民共和国の国家支援型サイバーアクターは環境寄生型技術により検出を回避)
- Volt Typhoon targets US critical infrastructure with living-off-the-land techniques (Volt Typhoonは環境寄生型技術を利用し米国の重要インフラを狙う)
2023-06-08 10:15 JST 英語版更新日 2023-06-07 09:06 PDT の内容を反映
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us