ブログ(脅威調査)

DARKSIDE関連グループによるサプライ・チェーン・ソフトウェア侵害をあばく

Mandiantは、DARKSIDEの関連グループであるUNC2465が、正規のウェブサイトからダウンロードしたトロイの木馬型ソフトウェアのインストーラを使って、少なくとも1組の被害者にアクセスしているのを確認しました。この被害者組織は侵入を検知し、Mandiantにインシデント対応を依頼し、ランサムウェアを回避しましたが、他の組織も危険にさらされている可能性があります。

Mandiantの投稿「DARKSIDE ランサムウェア・オペレーションのヒント」で報告されているように、Mandiant Consultingは、複数のDARKSIDE関連グループが関与する侵入を調査しました。UNC2465は、少なくとも2020年3月から活動しているとMandiantが考えているDARKSIDEの関連グループの1つです。

今回の記事で詳細に説明されている侵入は、2021年5月18日に開始されたもので、公に報告されたDARKSIDEプログラム全体の停止(Mandiant Advantageのバックグラウンド)の数日後に発生しました。今回、ランサムウェアは観測されませんでしたが、DARKSIDEへの侵入を行った関連グループは、複数のランサムウェアの関連プログラムを使用している可能性があり、それらを自由に切り替えることができるとMandiantは考えています。

2021年5月またはそれ以前のある時点で、UNC2465は、CCTVセキュリティ・カメラ・プロバイダーのウェブサイト上にある、2つのソフトウェア・インストール・パッケージをトロイの木馬化した可能性があります。Mandiantは、6月初旬にこのインストーラが悪意のあるものであると判断し、ウェブサイトが危険にさらされている可能性があることをCCTV社に通知しました。これにより、UNC2465は正規のダウンロードをトロイの木馬化されたものに置き換えた可能性があります。

Mandiantは多くの被害者が危険にさらされたとは考えていませんが、この手法は広く認知されるために報告されています。FireEyeが発見したSolarWinds社への攻撃から小規模なプロバイダーを狙った今回のような攻撃まで、ソフトウェア・サプライ・チェーンへの攻撃の巧妙さは多岐にわたります。ソフトウェア・サプライ・チェーン攻撃では、1回の侵入で、被害企業のソフトウェアを実行しているすべての組織にアクセスできるというメリットがあります。今回のケースでは、ソフトウェア自体ではなく、インストーラがUNC2465によって改変されていました。

DARKSIDE RaaS

2021年5月中旬、Mandiantは、複数の攻撃グループが、DARKSIDE RaaSの運営者がDARKSIDE RaaSの関連グループと共有したと思われるアナウンスを引用しているのを確認しました。この発表では、ブログ・サーバー、決済サーバー、コンテンツ配信ネットワーク(CDN)サーバーなどのインフラへのアクセスができなくなり、サービスを終了することが述べられていました。この投稿では、この決定について、法執行機関の圧力と米国からの圧力を挙げています。

その後、アンダーグラウンド・フォーラムの複数のユーザーが、未払いのDARKSIDE関連グループであると名乗り出て、フォーラムの管理者に私的に証拠を提供し、その主張が正当であることを確認したケースもありました。DARKSIDEの運営者が閉鎖を決定したのは、出口詐欺ではないかと推測している攻撃者もいます。DARKSIDEサービスの運営者が業務を再開したことを示す証拠は確認されていませんが、少なくともDARKSIDEサービスの元関係者の一部は、自分たちの業務で使用する別のランサムウェアやマルウェアを特定する可能性が高いと予想しています。

特に、Mandiantでは過去1ヶ月の間に、ランサムウェアの晒しサイトで被害者を公称する数が着実に増加していることを確認しています。最近、アンダーグラウンド・フォーラム内でのランサムウェア関連の書き込みが禁止されたにもかかわらず、脅威担当者はプライベートなチャットや人脈を活用してランサムウェアのサービスを特定することができます。その一例として、2021年5月中旬、「SODINOKIBI」(別名「REvil」)というRaaSの運営者が、停止した他のRaaSプラットフォームから複数の関連グループが自分たちのサービスに乗り換えていると指摘しました。このような事業の収益性を考えれば、近い将来、数多くの脅威の担い手が広範囲にわたるランサムウェアの運用を続けていくことはほぼ間違いないでしょう。

背景

2021年6月、Mandiant Consultingは侵入者への対応を行いました。分析の結果、Mandiantは、初期のベクターが正規のウェブサイトからのトロイの木馬化されたセキュリティ・カメラPVRインストーラであると判断しました。Mandiantは、2020年10月以降、インフラとツールを継続的に使用していたことから、全体的な侵入活動はDARKSIDE系列のUNC2465に起因するとしています。

2021年5月18日、被害を受けた組織のユーザーがトロイの木馬のリンクを閲覧し、ZIPをダウンロードしました。ソフトウェアをインストールすると、一連のダウンロードとスクリプトが実行され、被害者のコンピュータ上でSMOKEDHAM、後にNGROKへと展開されました。さらにBEACONなどのマルウェアが使用され、水平移動も発生しました。Mandiantは、トロイの木馬化されたソフトウェアは、2021年5月18日から2021年6月8日まで利用可能であったと考えています。

Mandiantは、VirusTotalに掲載されている、わずかに修正されているものの良性であるMSHTA.exeアプリケーションに注目し、2021年5月26日に、MD5ハッシュがe9ed774517e129a170cdb856bd13e7e8(SVStation_Win64-B1130.1.0.0.exe)で、トロイの木馬化したSmartPSSインストーラと同じURLに接続する2つ目のインストーラ・パッケージを確認しました。

続きはこちら(英語)をご覧ください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:June 16, 2021 「Smoking Out a DARKSIDE Affiliate’s Supply Chain Software Compromise