侵入テスト ツールは、実際にはレッド チームが攻撃面をテストし、セキュリティ ギャップを発見して、それらを閉じるために使用することになっています。 しかし、これらの強力なテスト ツールは、サイバー犯罪者によって悪用される可能性もあります。 残念ながら、セキュリティによってすぐに見落とされることがよくあります。
Palo Alto Networks のマルウェア分析チームである Unit 42 は、既知の持続的標的型攻撃 (APT) のパターンと戦術に一致する新しいマルウェア サンプルを常に探しています。 そのようなサンプルの 56 つが最近 VirusTotal にアップロードされ、調査した XNUMX のベンダーすべてから肯定的な判定を受けました。 つまり、ツールに隠された危険なコードの潜在的な危険性を認識したセキュリティ プロバイダーはありませんでした。
VirusTotal の 56 のスキャナーは脅威を検出しません
このサンプルには、市場に出回っている Red の最新のチーム化および敵対者攻撃シミュレーション ツールである Brute Ratel C4 (BRc4) に関連する悪意のあるコードが含まれていました。 このツールに含まれる悪意のあるコードは注目を浴びることがなく、同種の Cobalt Strike ほど知られていませんが、悪意のあるコードはそれほど洗練されていません。 このツールは、Endpoint Detection and Response (EDR) および Antivirus (AV) 機能による検出を回避するように特別に設計されているという点で、非常に危険です。 その有効性は、前述の VirusTotal ですべてのプロバイダーで検出されていないことで明確に示されています。
非常に巧妙で危険なツール
C2 に関して、Unit 42 は、サンプルがポート 443 を介して米国のアマゾン ウェブ サービス (AWS) の IP アドレスを呼び出していることを発見しました。 また、リッスン ポートの X.509 証明書は、組織名が "Microsoft" で組織単位が "Security" の Microsoft になりすますように構成されていました。 さらに、Palo Alto Networks は証明書とその他のアーティファクトを使用して、合計 41 の悪意のある IP アドレス、4 つの BRcXNUMX サンプル、およびこれまでにこのツールの悪意のあるコードの影響を受けた北アメリカと南アメリカの XNUMX つの組織を特定しました。
これまでにないこのパターンは、よく知られている APT29 の手法と、よく知られているクラウド ストレージとオンライン コラボレーション アプリケーションを活用した最近のキャンペーンに従ってパッケージ化されました。 具体的には、このパターンはスタンドアロン ISO としてパッケージ化されました。 ISO には、Windows ショートカット (LNK) ファイル、悪意のあるペイロード DLL、および Microsoft OneDrive アップデーターの正規のコピーが含まれていました。 ISO にマウントされたフォルダから無害なアプリケーションを実行しようとすると、DLL 検索順序ハイジャックと呼ばれる手法によって、依存関係として悪意のあるコードが読み込まれます。 この例が APT29 によるものであると断定するには、パッケージ化手法だけでは不十分ですが、これらの手法は、ツールのユーザーが現在 BRc4 を展開していることを示しています。
セキュリティ チームはツールに注意を払う必要があります
全体として、Unit 42 は、この調査が、ほとんどのサイバーセキュリティ ベンダーによってほとんど認識されていない新しいレッド チームのスキルを特定するだけでなく、さらに重要なこととして、Palo Alto Networks が悪用される可能性があると考えているユーザー ベースが拡大しているスキルを特定するという点で重要であると考えています。政府が支援するハッカー。 現在の分析では、BRc4 の概要、悪意のあるサンプルの詳細な分析、これらのサンプルと最近の APT29 サンプルとの比較、およびこの悪意のあるアクティビティのスキャンに使用できる侵害の痕跡 (IoC) のリストが提供されます。
Palo Alto Networks は、すべてのセキュリティ ベンダーに対して、このペンテスト ツールからのアクティビティを検出するためのセーフガードを導入し、すべての組織がこのツールからのアクティビティに注意を払うよう呼びかけています。
研究の結論
- 新しい侵入テストと攻撃者エミュレーション機能の出現は重要です。 さらに憂慮すべきは、最新の防御 EDR および AV 検出機能を克服する BRc4 の有効性です。
- 過去 2,5 年半で、このツールはパートタイムの趣味からフルタイムの開発プロジェクトに成長し、顧客基盤が拡大しました。 この顧客ベースが数百に拡大するにつれて、このツールは、正当な侵入テスターと犯罪者のサイバー アクターの両方から、サイバーセキュリティ スペース全体でますます注目を集めています。
- Unit 42 が説明した 42 つの例と、悪意のあるコードをパッケージ化するために使用された高度なアプローチを分析すると、犯罪者のサイバー アクターがこの能力を悪用し始めていることが明らかになりました。 Palo Alto Networks の Unit 4 は、すべてのセキュリティ ベンダーが BRcXNUMX を検出するための保護を構築し、すべての組織がこのツールを防御するために積極的な対策を講じることが不可欠であると考えています。
- Palo Alto Networks は、ファイル サンプルや侵害の痕跡 (IoC) を含むこれらの調査結果を他の Cyber Threat Alliance メンバーと共有しています。 CTA メンバーはこの情報を使用して、顧客に保護を迅速に展開し、犯罪者のサイバー攻撃者を体系的に妨害します。
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。