ワイパー型マルウェア ZeroCleareが中東のエネルギー産業を標的に

記事をシェアする:

中東のエネルギー産業を標的にした破壊的マルウェア攻撃

世界的なセキュリティー研究開発機関であるIBM X-Forceは、これまで長い期間にわたり中東の産業、特にエネルギー産業における破壊的マルウェアの調査と追跡を行ってきました。2012年夏にこの地域の企業に影響を与え始めたShamoonによる最初の攻撃以来、破壊を目的としたディスク消去型マルウェアの進化を追跡してきました。

最近の分析で、IBM Security X-Force (Incident Response and Intelligence Services) は、中東での破壊的攻撃に使用された新しいワイパー型マルウェアを発見しました。このマルウェアには、そのバイナリー・ファイルのプログラム・データベース(PDB)パス名から「ZeroCleare」と名付けました。IBM Security X-Forceは今までに、ZeroCleareワイパーやその指標、一連の攻撃で観察される要素について、過去に報告を受けたことはありません。このマルウェアは最近開発されたばかりであること、そして、我々の分析した攻撃キャンペーンが本バージョンを用いた最初の攻撃である可能性があります。

我々の調査によると、ZeroCleareは、中東のエネルギー産業の企業を標的とした破壊的攻撃に用いられました。マルウェアと攻撃者の行動の分析を踏まえると、イランを拠点とする集団がこの新しいワイパー型マルウェアの開発と展開に関与したことが疑われます。

この地域の企業を標的とする破壊的マルウェアの進化を考慮すると、ZeroCleareにShamoonマルウェアとの類似性が発見されたことは驚くにはあたりませんでした。Shamoon (英語)と同様、ZeroCleare は、Windows搭載のマシンのマスター・ブート・レコード(MBR)とディスク・パーティションを上書きする攻撃を行います。Shamoonによる過去の攻撃と同様、攻撃では、ファイル、ディスク、パーティションを操作するための正規のツールキットのEldoS RawDiskというツールがターゲットとされています。EldoSが使用されたのは、そのソフトウェアの欠陥や脆弱性が原因ではありません。国家的支援を受けたグループやサイバー犯罪者が、合法的なツールをベンダーが意図していない方法で利用して、悪意のある活動や破壊的活動を行うことはよくあることです。

悪意を持ってEldoS RawDiskを使用することで、ZeroCleareは、ネットワークに接続された多数のデバイス上のMBRを消去してディスク・パーティションを損傷させました。ZeroCleareは、デバイスのコアにアクセスするために、意図的に脆弱なドライバーと悪意のあるPowerShell/バッチ・スクリプトを使用して、Windowsの制御をバイパスしました。Living-off-the-Land戦術が加わったことで、ZeroCleareは、ネットワーク上の多数のデバイスに拡散され、数千台ものデバイスに影響を与え、完全復旧に数カ月もかかるような破壊的攻撃の種をまきちらしました。この戦術は、2018年にアラビア湾でShamoonが攻撃を開始 (英語)した方法に似ています。

破壊的攻撃に対する懸念の高まり

IBM Security X-Forceは、過去1年間の破壊的攻撃の著しい増加を追跡しており、過去6カ月に支援した企業が受けた破壊的攻撃の数は、実に200％の増加となっています(2019年前半と2018年後半のIBMのインシデント対応活動の比較)。

エネルギー産業に対する破壊的攻撃 (英語)については、中東とヨーロッパ (英語)の一部地域など、石油とガスに経済的に依存する国で特に懸念が高まっています。中東の方が見られる頻度は高くなっていますが、こうした攻撃は、世界の地域にも限定されるものではなく、敵対国の経済に悪影響を及ぼそうとする攻撃的な国家集団や、圧力をかける手段として破壊を用いるサイバー犯罪者によって開始される可能性があります。

我々が観察してきた攻撃は、破壊的なコンポーネントを攻撃に取り込むことができる脅威アクターがさまざまな動機で行っています。被害者に金銭を支払うように圧力をかけるものや、支払いが行われなかったときに逆襲するものがあります。このような攻撃が国家集団によって行われる場合は軍事的な目的を持つことが多く、デバイスやデータのアクセス拒否、機能低下、中断、詐欺、破壊するためにシステムへアクセスすることなどが含まれます。

ZeroCleare:標的を絞った複雑な攻撃

ZeroCleareによる攻撃は日和見的なものではなく、特定の組織を標的にした作戦のようです。IBM Security X-Forceでは、APT34/OilRig (英語)とも呼ばれるITG13脅威グループと、イランを拠点としていると見られる少なくとももう1つのグループがZeroCleareによる攻撃の破壊的な部分で協力したと判断しています。IBM Security X-Forceは、ITG13の従来からの作戦に基づいて評価しています。これには、過去における破壊的なサイバー攻撃、ITG13による初期のアクセスから侵入の最終段階までの時間のギャップのほか、我々が観察したさまざまなTTPが含まれていませんでした。

基本的な感染フロー

ワイパー型マルウェア ZeroCleareは、攻撃作戦全体の最終段階の一部として組み込まれています。32ビットと64ビットのシステムで異なる方法で配備されるように設計されています。64ビット・マシンでのイベントの一般的なフローでは、署名されている脆弱性のあるドライバーを利用して、対象デバイスで悪用します。その後ZeroCleareにWindowsのハードウェア分離層をバイパスさせ、署名されていないドライバーを64ビット・マシンで実行できないようにするオペレーティング・システムの保護機能を回避します。

この回避策が使用されたのは、64ビットWindows搭載のデバイスがDriver Signature Enforcement(DSE)で保護されているためと考えられます。この制御は、Microsoftによって署名されているドライバーのみにデバイス上での実行を許可するように設計されています。ZeroCleareが依存するEldoS RawDiskドライバーは署名されたドライバーではなく、デフォルトでは実行されないため、攻撃者は、soy.exeという中間ファイルを使用して回避策を実行しています。脆弱でありながらも署名されたVBoxDrvドライバーがロードされるため、DSEは受け入れて実行します。その後、DSEによるEldoSドライバーの拒否を回避して、署名されていないドライバーをロードします。

脆弱なVBoxDrvドライバーは、ロードされた後、カーネル・レベルでシェル・コードを実行するように悪用されます。このドライバーは、悪用された後、署名されていないEldoSドライバーをロードするために使用され、ディスク内容の消去フェーズに進みます。私たちは、soy.exeを分析したところ、これは、まさにDSEのバイパスを容易にするために使用されるTurla Driver Loader(TDL)の改変されたバージョンであると判断しました。

32ビット・システムは、署名されていないドライバーの実行を同じ方法で制限していないため、このプロセスは適用されません。

図1:ZeroCleareの最上位の感染フロー(出典:IBM X-Force)

ZeroCleareマルウェアによる攻撃 (英語, PDF, 542KB)の詳細な技術分析は、IBM Security X-Forceの研究者によって文書化されています。ZeroCleareについては、X-Force Exchange (英語)でも確認できます。

ZeroCleareの属性:イラン国家の支援を受けたグループの共同犯罪の疑い

IBM Security X-Forceでは、ZeroCleareによる攻撃キャンペーンには、ITG13グループとイランを拠点としていると見られる脅威アクターの少なくとももう1つのグループによる暗号漏えいとアクセスが含まれていたと評価しています。ITG13 とのつながりが考えられる、ZeroCleareによる攻撃の全体を通して使用された一部のリソースの詳細を見てみましょう。

初期アクセスには、最近のOilrig/APT34のリークでITG13と関連付けられ、Palo Alto Networks (英語)によっても報告されたIPアドレス193.111.152[.]13が早くも2018年秋に標的のネットワークのスキャンとアカウントへのアクセスに使用されました。別のイランの脅威アクターが、2019年半ばにディスク内容の消去操作の前にそのアドレスからアカウントにアクセスしたと見られます。

2019年半ばに侵害されたネットワーク・アカウントへのアクセスに使用されたIPアドレスの1つは194.187.249[.]103でした。これは、別のIPアドレス194.187.249[.]102に隣接しています。後者は、攻撃の数カ月前 (英語)に脅威アクターHive0081(別名xHunt)による攻撃で使用されました。さらに、Cybersecurity and Infrastructure Security Agency (CISA) (英語)の最近の報告では、IBM Security X-ForceがITG12(別名 Turla) (英語)として追跡しているロシアの脅威アクターがおそらくこの期間中に ITG13 ツールとインフラストラクチャーにアクセスしたとされていますが、IBM Security X-Force では ITG12がZeroCleareの攻撃の背後にあったとは考えていません。

破壊フェーズでは、ITG13の脅威アクターは、パスワードを総当たり攻撃して複数のネットワーク・アカウントのアクセス権限を取得しました。これらのアカウントは、SharePointの脆弱性の悪用後に、China Chopper (英語)とTunna (英語)のWebシェルのインストールに使用されました。IBM Security X-Force は、extension.aspxというもう1つのWebシェルを発見しました。これは、アセンブリーから動的に呼び出されたメソッド、AES暗号化と単一文字の変数名の使用など、TWOFACE/SEASHARPEE (英語)として知られるITG13ツールと類似性があります。

同じ脅威アクターは、TeamViewerなどの正規のリモート・アクセス・ソフトウェアの悪用も試みていました。また、Mimikatzの難読化したバージョンを使用して、侵害したサーバーから資格情報を収集していました。

ZeroCleare自体については、特にEldoS RawDiskドライバーの使用法においてShamoon v3との高いレベルの類似性が見られるものの、IBM Security X-Forceでは、ZeroCleareは、コードと配備のメカニズムがあまりに似ていないため、Shamoonマルウェアのファミリーとは異なるもので、別個のマルウェアとして扱われるものと見なしています。

IBM Security X-Forceでは、ZeroCleareによる攻撃キャンペーンの破壊フェーズで観察された活動の原因を特定できていませんが、ASPX Webシェルと侵害されたVPNアカウントへの依存、ITG13の活動との結び付き、この地域におけるイランの目標との攻撃の合致など、イランの他の脅威アクターとの高いレベルの類似性があることから、この攻撃が1つ以上のイランの脅威グループによって実行されたものであろうと見ています。

前のセクションで触れたように、共通のTTPとIOC(Indicator of Compromise(侵害指標))の調査から推論されるさまざまな関係から、このワイパー型マルウェアの亜種はイランを拠点とする攻撃者によって作成された可能性が考えられます。この地域での最近の活動には、IBM Security X-Force (英語)によって最近報告され、同様にITG13に関連付けられるSakabotaバックドアのほか、Dell-EMC SecureWorksによって報告された Lyceum (英語)キャンペーンが含まれます。これらのキャンペーンで主に標的となったのは、クェートの船舶と運輸の組織でした。

照準を当てられたエネルギー産業

国家レベルの攻撃者は概してエネルギー産業に対して破壊的攻撃を行ってきており、従来から石油とガス企業がターゲットとなっていました。しかし、どのような事業体でも破壊的攻撃の標的となる可能性はあります。なぜ、この産業部門がこのような活動の標的となってきたのでしょうか。

石油とガスの生産処理が国家レベルや世界レベルで果たす重要な役割が、国家的な支援を受けた脅威アクターにとって価値の高い標的となる理由です。このようなタイプの攻撃者は、敵対国の重要なインフラストラクチャーの破壊を目的として、産業スパイ (英語)からサイバー・キネティック攻撃 (英語)まで、あらゆることを任務としています。攻撃の巧妙さ、規模、頻度によっては、この分野のサイバー・インシデントには、重要サービスの中断、特殊な機器の損傷や破壊、究極的には世界規模のエネルギー・セキュリティー (英語)と産業界のダウンストリーム (英語, 175KB, PDF)の連鎖を生じさせる可能性があります。

国家レベルの攻撃は過去10年間に多く発生していますが、イランの支援を受けた脅威アクターが標的に対して破壊的で動的な影響を及ぼす目的でサイバー攻撃を悪用したのは、少なくとも2012年以来のことです。従来型の軍事戦術に代わるものとして、サイバー・ベースの武器を使用することで、今回のケースで、イランは、敵対的で戦争にも似たような活動を実施するための原因特定不能な手段を持つことになります。最近では1つのグループに特定することが難しくなっているため、サイバー空間の匿名性に紛れて活動することで、イランが制裁を逃れ、その経済と核エネルギーの利益を支援する他国との関係を維持することも可能になっています。

ZeroCleareの被害を受けた地域を見ると、中東のエネルギー産業が破壊的攻撃の標的とされたのは初めてのことではありません (英語)。いくつかの湾岸諸国の経済を支えるだけでなく、中東の石油化学市場は、例えばOPECによると世界の確認石油埋蔵量の約64.5%を供給しており、地球規模のエネルギー・アーキテクチャー (英語)の重要な中核を成しています。そのため、この地域のエネルギー・インフラストラクチャーに対する破壊的なサイバー攻撃は、地域市場と国際市場の両方に大きな影響を及ぼす脅威となります。

破壊的なマルウェアによるリスクの緩和

破壊的攻撃については、早期の検出とエスカレーションのほか、脅威の拡散を抑止して阻止するための組織的な対応 (英語)が重要です。破壊的なマルウェアのリスクを緩和するためのヒントを紹介します。

1) 脅威インテリジェンスを活用して自社に対するリスクを理解する

脅威アクターにはそれぞれ異なる動機、能力、意図があります。脅威インテリジェンス (英語)は、洞察を提供することで、インシデントに対する組織の準備と最終的な対応の有効性を高めます。

2) 有効な深層防護を構築する

サイバー攻撃の準備とサイバー攻撃実行のフレームワーク (英語)全体を通して、複数のレイヤーでセキュリティー・コントロールを組み込みます。

図 2: IBM Security X-Forceサイバー攻撃の準備とサイバー攻撃実行のフレームワーク(出典:IBM X-Force)

3) IAMを導入して特権ユーザーを制限し、MFAを実装する

攻撃の多くは、脅威アクターが特権アカウント (英語)を悪用して、侵入したネットワークでの足掛かりを広げます。こうしたアカウントの数を最小限に抑えて、多要素認証(MFA) (英語)を使用して、バックアップも実施します。1つのアカウントにすべてのシステムへのアクセスを集中させて許可しないようにしてください。

ID管理とアクセス管理 (IAM)を導入して、ユーザーがアクセスできるものに対して、ビジネス・プロセス中心のポリシーを適用します。こうすると、アカウントが侵害された場合でも、攻撃者がそのアカウントを使用してネットワークの他の部分にアクセスするのが難しくなります。IAMを活用すると、侵害したアカウントへのアクセス権がラテラル・ムーブメントで悪用されている場合にも、正当なアクセスのベースライン化とセキュリティー・チームへのアラートにも役立ちます。

4) バックアップを行い、バックアップをテストして、オフライン・バックアップを維持する

システムのバックアップは基礎的なベスト・プラクティスですが、組織が重要システムの有効なバックアップを保持して、それらのバックアップをテストすることは、かつてないほど重要になっています。復旧時にバックアップを使用できると、破壊的マルウェアによる攻撃から回復する際には大きな違いが生まれます。

5) プレッシャー下で対応計画をテストする

十分に調整された机上演習とサイバー攻撃対応訓練を活用することで、自社のチームが実際に、戦術的かつ戦略的に破壊的マルウェア・インシデントに対処できるかどうかを確認できます。

対応計画 (英語)のリハーサルには継続的なテストと調整を行う必要がありますが、そうすることで、いざ対応と復旧を行う時が来たときには、インシデント対応チームは計画を実行して、効果的に実装に移すことができます。

緊急事態が発生した場合やお客様組織が攻撃を受けた場合には、IBM X-Forceの緊急時対応ホットライン 1-888-241-9812 または (+001) 602-220-1440 にお電話ください。

ワイバー型マルウエア ZeroCleare のX-Force レポートを読む（英語, 542KB）

 

【関連情報】

IBM X-Force Incident Response and Intelligence Servicesの概要

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

この記事は次の記事の抄訳です。

New Destructive Wiper ZeroCleare Targets Energy Sector in the Middle East(英語)