Posted By ,

攻撃者のシステムも別の攻撃者にさらされ、悪用されることがある

サイバー攻撃は少数の企業や団体を狙った APT 攻撃もあるが、インターネットに接続している不特定多数のサーバーを対象とするスキャン攻撃もある。さらには、企業、団体、個人のユーザーだけでなく、攻撃者のインフラもインターネットに接続しているため、攻撃者のインフラもまたサイバー攻撃の対象となることがある。

AhnLab SEcurity intelligence Center(ASEC)では、ランサムウェア攻撃者の RDP スキャン攻撃対象に、マイナー(Miner)攻撃者のプロキシサーバーが含まれている事例を確認した。マイナー攻撃者は、マイナーに感染したボットネットに接続するためプロキシサーバーを使用しており、プロキシサーバー接続のために開放したポートが別の攻撃者の RDP スキャン攻撃にさらされた。これにより、マイナーのボットネットに RDP スキャン攻撃が流入し、ランサムウェアにも感染した。

図1.  侵害フロー図

1. マイナー感染

今回の攻撃事例において、マイナーに感染した原因は確認されなかった。しかし、類似の事例からすると、以下のような初期侵入プロセスを経たものと推定できる。マイナー攻撃者は MS-SQL サーバーの管理者(SA)アカウントを対象にスキャン攻撃を行ったものと確認されている。マイナー攻撃者は SA アカウントのログインに成功したあと、MS-SQL の xp_cmdshell プロシージャで被害システムにバックドアをインストールする。バックドアはその後、C2 サーバーからマイナーを含む不正なファイルをダウンロードする。

バックドアは WMI に登録され、毎日23時に動作していた。バックドアは定期的にマイナー攻撃者の C2 からバックドアを新たにダウンロードし、マイナー攻撃者は C2 サーバーに修正されたバックドアをアップロードして新たなコマンドを伝達した。

2. リバース RDP

マイナー攻撃者は、マイナーボットにアクセスするために「Fast Reverse Proxy」ツールでリバース RDP 環境を構築した。

「Fast Reverse Proxy」はソースコードが公開されているリバースプロキシツールであり、正常なファイルでは接続する対象サーバーの情報を設定ファイルからインポートしたり、実行時に対象サーバーの情報を入力する必要がある。マイナー攻撃者は自動でプロキシサーバーに接続するようにコードを修正した「Fast Reverse Proxy」ファイルを使用した。

 

3. RDP ポートスキャン

プロキシサーバーは、インターネット上に公開されていた。ランサムウェア攻撃者は、インターネットに公開されているシステムを対象として、全体ポートに対し RDP 使用の有無を確認したあと、RDP ポートがさらされている対象に対し管理者アカウント(Administrator)で Brute-force 攻撃を実行した。今回の攻撃事例は RDP ポートを識別するスキャン攻撃に、マイナー攻撃者のプロキシサーバーが偶然さらされたことで、攻撃の対象に含まれたものと見られる。

 

4. プロキシサーバーと接続された被害システム

マイナー攻撃者が修正した「Fast Reverse Proxy」ファイルは、攻撃者の C2 から配布され、バックドアによりダウンロードおよび実行された。多数のマイナーボットが、同じプロキシサーバーへの接続を試みた。マイナー攻撃者は、プロキシサーバーにリバース RDP 接続を試みた多数のマイナーボットに特定のシステムを選択したため、通信は行うことができなかったものと見られる。

 

5. 被害システムに伝達された RDP Brute Force 攻撃

ランサムウェア攻撃者は、プロキシサーバーの TCP 30 ポートへ RDP Brute-force 攻撃を行った。RDP Brute-force 攻撃は、プロキシサーバーを経由して当該時点にプロキシサーバーと接続されていた被害システムに伝達された。被害システムの管理者アカウントにはログイン失敗に対する回数制限が適用されておらず、ランサムウェア攻撃者には十分な時間があったため、被害システムの管理者アカウントでのログインに成功した。

 

6. ランサムウェア感染

管理者アカウントでのログインに成功したランサムウェア攻撃者は、多数のシステムにランサムウェアを配布するため、ネットワークスキャンおよび資格情報窃取ツールを使用した。その後、被害システムが属するネットワーク内部にラテラルムーブメントを実行し、ランサムウェアを配布した。

 

7. 意図した攻撃かどうか

ランサムウェア攻撃者の RDP スキャン攻撃にマイナーのプロキシサーバーが含まれたことは、意図した攻撃なのだろうか?

 

(仮説1)偶然による事故

今回の事例の被害システムには、マイナー攻撃者が作成した管理者アカウントが存在した。だが、ランサムウェア攻撃者はマイナーが作成したアカウントを使用せず、管理者アカウントに対するスキャン攻撃を実行した。したがって、被害システムの情報やアカウント情報などのマイナー攻撃者とランサムウェア攻撃者間における情報交換、および取引である可能性も低い。ランサムウェア攻撃者は、マイナー攻撃者のプロキシサーバーを無数のスキャン攻撃対象の内、TCP 3389 ポートではなく、TCP 30 ポートを RDP で使用するサーバー程度に認識したものと思われる。結論として、ランサムウェア攻撃者がマイナーのプロキシサーバーを認知して意図的に攻撃した可能性は低く、今回の事例は偶然によるランサムウェア感染事例と見られる。そして、ランサムウェア攻撃者は最後まで攻撃対象がプロキシサーバーだという事実を認知できなかったものと思われる。

 

(仮説2)ランサムウェア攻撃者の認知

ランサムウェア攻撃者が、攻撃対象がプロキシサーバーだということを認知していた可能性があり、以下のような仮説を立てることができる。

ランサムウェア攻撃者のスキャン攻撃は、プロキシサーバーと接続された特定のマイナーボットに伝達される。ランサムウェア攻撃者は、今回の事例の被害システム、そして前または後にほかのシステムの侵害にも成功したはずである。

ランサムウェア攻撃者が侵害に成功したあと、マイナー攻撃者がプロキシ接続を切断し、別のマイナーボットに接続を切り替えたならば、ランサムウェア攻撃者は既存の操作権限を失うことになる。そして、同じ IP アドレスの別のシステムを認知することになる。そして、ランサムウェア攻撃者はシステムの操作権限を得るために Brute-force 攻撃を再度実行しなければならない。

初期侵入時には認知できなかったはずだが、操作権限を確保したシステムが変更される行為が繰り返し実行されれば、ランサムウェア攻撃者は同じ IP アドレスでシステムが変化する振る舞いを認知した可能性がある。

被害システムは、マイナー攻撃者のプロキシサーバーに数か月の間隔をおき2回接続されたものと確認されている。2回接続された時点の間に、プロキシサーバーには別のシステムが接続されたはずである。プロキシサーバーに接続された被害システムでは、2回ともマイナーではなく別の攻撃者が基本管理者アカウントでログインした履歴が確認された。

これは、マイナーのプロキシサーバーが持続的にスキャン攻撃にさらされていた可能性を示している。長期間スキャン攻撃にさらされたシステムにランサムウェア攻撃者が複数回の攻撃に成功し、別の攻撃者のインフラだと認知していたならば、プロキシサーバーを意図的に利用していた可能性がある。

インターネットには、RDP ポートがさらされている多くのシステムが存在する。RDP ポートがさらされているからといって、それらのシステムがすべてセキュリティに脆弱であるというわけではない。しかし、すでに別の攻撃者から侵害を受けたシステムである場合、相対的にセキュリティに脆弱な部分が存在する可能性が高い。攻撃者にとっては、相対的に脆弱なシステムを攻撃することが、攻撃の成功率を高め、効率的に攻撃を実行するための方法となる。

 

結論

今回の事例は、既知の攻撃事例とは異なる点がある。

攻撃者同士でダークウェブやブラックマーケットなどでアカウント情報、不正なファイル、流出した情報、ボットネットインフラ、攻撃サービスを取引するケースはよく知られている。しかし、今回の事件は従来のものとは異なり、攻撃者同士の直接的な取引ではなく別の攻撃者のインフラがターゲットになるという非常に稀な事例である。

別の攻撃者のインフラが利用された攻撃は、解析の観点から見れば複数の攻撃者の振る舞いが同時に観測されるため、各攻撃者の振る舞いと意図を区別することが難しくなることがある。また、攻撃者の立場で別の攻撃者が構築しておいたインフラと被害システムを利用できるならば、より効率的な攻撃を実行することもできる。

今回の事例と同様に、別の攻撃者のインフラが利用された攻撃事例がある程度収集されれば、意図的に別の攻撃者のインフラを侵害して利用する攻撃者が現れ、これを利用した様々な攻撃が発生する可能性があるのではないかと注意深く見守っている。

[ファイル検知]

  • CoinMiner/Win.XMRig.C5449500(2023.07.05.00)
  • Downloader/FOMB.Agent(2024.02.27.00)
  • Downloader/Win64.Agent.C2426880(2018.03.29.04)
  • HackTool/Win.Agent(2024.03.15.00)
  • HackTool/Win.Frpc.C5473755(2023.08.20.03)
  • HackTool/Win.PassViewer.C5353351(2023.01.09.03)
  • HackTool/Win.PassViewer.C5353353(2023.04.26.02)
  • HackTool/Win.PstPass.C5135577(2022.08.31.02)
  • HackTool/Win.PSWTool.R345815(2023.06.02.01)
  • HackTool/Win32.Mailpassview.R165244(2016.07.12.09)
  • Ransomware/Win.Phobos.R363595(2023.08.28.04)
  • Trojan/BAT.RUNNER.SC198137(2024.03.15.00)
  • Trojan/BAT.RUNNER.SC198138(2024.03.15.00)
  • Trojan/BAT.Runner.SC198226(2024.03.18.02)
  • Trojan/RL.Mimikatz.R248084(2018.12.10.01)
  • Trojan/Win.Lazardoor.R496534(2022.05.14.01)
  • Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
  • Trojan/Win32.Infostealer.C1259157(2015.11.16.06)
  • Trojan/Win32.Infostealer.C1259157(2020.07.17.00)
  • Trojan/Win32.Miner.C2462674(2018.04.13.09)
  • Trojan/Win32.Neshta.X2117(2018.03.16.06)
  • Unwanted/Win.PassView.C5359535(2023.01.16.03)
  • Unwanted/Win32.HackTool.C613821(2014.11.02.03)
  • Unwanted/Win32.Masscan.C3122810(2019.12.06.00)
  • Unwanted/Win32.Passview.C568442(2014.09.23.00)
  • Unwanted/Win32.PassView.R333746(2020.04.22.08)

[IOC]

MD5

  • D6B2FEEA1F03314B21B7BB1EF2294B72(smss.exe)
  • 2513EB59C3DB32A2D5EFBEDE6136A75D(mf)
  • E919EDC79708666CD3822F469F1C3714(hotfixl.exe)
  • 432BF16E0663A07E4BD4C4EAD68D8D3D(main.exe)
  • 9B7BE5271731CFFC51EBDF9E419FA7C3(dss.exe)
  • 7F31636F9B74AB93A268F5A473066053(BulletsPassView64.exe)
  • D28F0CFAE377553FCB85918C29F4889B(VNCPassView.exe)
  • 6121393A37C3178E7C82D1906EA16FD4(PstPassword.exe)
  • 0753CAB27F143E009012053208B7F63E(netpass64.exe)
  • 782DD6152AB52361EBA2BAFD67771FA0(mailpv.exe)
  • 8CAFDBB0A919A1DE8E0E9E38F8AA19BD(PCHunter32.exe)
  • 00FA7F88C54E4A7ABF4863734A8F2017(fast.exe)
  • AD3D95371C1A8465AC73A3BC2817D083(kit.bat)
  • 15069DA45E5358578105F729EC1C2D0B(zmass_2.bat)
  • 28C2B019082763C7A90EF63BFD2F833A(dss.bat)
  • 5410539E34FB934133D6C689072BA49D(mimikatz.exe)
  • 59FEB67C537C71B256ADD4F3CBCB701C(ntuser.cpl)
  • 0FC84B8B2BD57E1CF90D8D972A147503(httpd.exe)
  • 057D5C5E6B3F3D366E72195B0954283B(check.exe)
  • 35EE8D4E45716871CB31A80555C3D33E(UpSql.exe)
  • 1F7DF25F6090F182534DDEF93F27073D(svchost.exe)
  • DC8A0D509E84B92FBF7E794FBBE6625B(svchost.com)
  • 76B916F3EEB80D44915D8C01200D0A94(RouterPassView.exe)
  • 44BD492DFB54107EBFE063FCBFBDDFF5(rdpv.exe)
  • E0DB0BF8929CCAAF6C085431BE676C45(mass.dll)
  • DF218168BF83D26386DFD4ECE7AEF2D0(mspass.exe)
  • 35861F4EA9A8ECB6C357BDB91B7DF804(pspv.exe)

URL & C2

  • 223.223.188[.]19
  • 185.141.26[.]116/stats.php
  • 185.141.26[.]116/hotfixl.ico
  • 185.141.26[.]116/winupdate.css
  • 84.46.22[.]158:7000
  • 46.59.214[.]14:7000
  • 46.59.210[.]69:7000
  • 47.99.155[.]111
  • d.mymst[.]top
  • m.mymst[.]top
  • frp.mymst007[.]top

 

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: Uncategorized