一方、SecurityScorecard の研究者は、この攻撃の「ファイルレス」マルウェア ローダーである Teardrop は、実際には 2017 年にさかのぼると述べています。
いわゆるSolarWinds攻撃キャンペーンの犠牲者であるかどうか、またはまだ感染しているかどうかを調査している組織は、Microsoftが独自のコードでマルウェアを根絶するために使用した無料のツールキットにアクセスできるようになりました.
Microsoft は、SolarWinds の侵害が発見された後、ソース コードを分析するために採用した CodeQL クエリを提供しています。 CodeQL は、GitHub の Advanced Security ツールセットのツールです。 Microsoft が CodeQL で使用するクエリは、SolarWinds バイナリとパターンや機能が類似しているコードを根絶します。 これらのクエリは、SolarWinds 攻撃キャンペーンの兆候を検出するために、任意のソフトウェアで使用できます。
また、SolarWinds の別の開発で、SecurityScorecard のセキュリティ研究者は、SolarWinds 攻撃で使用されたマルウェアの 2017 つを発見したと述べています。Teardrop と呼ばれるメモリのみのドロッパーで、被害者のネットワークとシステム環境をプロファイリングし、XNUMX 年にさかのぼり、単一のロシアのサイバースパイグループに関連付けられています。
SecurityScorecard のサイバー脅威調査およびインテリジェンス担当副社長である Ryan Sherstobitoff 氏は、Teardrop がこの国家ハッキング チームによって SolarWinds の前に他の APT 操作で使用された可能性が高いことを示唆しており、マルウェアに関連する以前の時間枠に言及しています。
FireEye のマルウェア分析で名前が付けられた Teardrop は、Cobalt Strike BEACON を実行するために使用されました。Cobalt Strike BEACON は、攻撃者が使用したオープン ソースの Cobalt Strike ツールキットのコマンド アンド コントロール (C2) ツールであり、カモフラージュの手段として使用された可能性が最も高いです。彼らの活動。
ファイアアイが最初 XNUMX月に公開されました SolarWinds Orion ソフトウェアへの悪意のあるソフトウェア アップデートによって同社が被った攻撃と、その攻撃でレッドチーム ツールが盗まれたことについて。 FireEye は当初、Sunburst トロイの木馬 (攻撃の第 XNUMX 段階のマルウェア) を介して配信されるダイナミック リンク ライブラリ (DLL) ファイル ペイロードである Teardrop を、これまで見たことのないマルウェアの一部であると説明していました。
「TEARDROP には、これまでに確認されたマルウェアと重複するコードはありません」と FireEye は詳細に書いています。 XNUMX月に報告 SolarWinds マルウェアについて。
しかし、シャーストビトフ氏は、彼のチームが発見した C2 テレメトリは、Teardrop が、2020 年にトリガーされ、2019 年 XNUMX 月にテスト実行された SolarWinds 攻撃のためだけに構築されたものではないことを示していると述べています。彼は言います。
彼のチームはまた、SolarWinds の背後にいる攻撃者が、米国の組織を標的とするロシアの単一の APT グループであることを確認しています。 他のセキュリティ ベンダーと同様に、SecurityScorecard は名前を挙げませんが、専門家は、ロシアの SVR と Cozy Bear として知られるそのハッキング チームの手によるものであると推測しています。
被害を受けた組織の約 95% は米国にあることを研究者は発見し、ほとんどの専門家が信じているように、これはサイバー スパイ活動である可能性が最も高いと繰り返し述べています。 それでも、シャーストビトフ氏は、Teardrop は被害者の組織へのバックドアを開くため、他のより破壊的なペイロードの投下に使用されるのではないかと懸念していると言います。 Teardrop 自体は、主に被害者のシステムとネットワークを「フィンガープリント」してプロファイリングするために使用されました。
「課題は、私たちが知らない第 XNUMX 段階または第 XNUMX 段階のインプラントがあるかどうかです。 彼らは非常にカスタムされているかもしれません」と彼は言います.
コードQL
一方、Microsoft が本日リリースした CodeQL クエリは、被害者のネットワークに深く埋め込まれている可能性のある攻撃コードを根絶するのに役立つ可能性があります。
「この時点でのコマンド アンド コントロールはオフラインである可能性が高いため、ビヘイビアやホスト レベルのアーティファクトを探すことができるものは、Teardrop や Sunburst による侵害があるかどうかを [見つける] のに役立ちます」と Sherstobitoff 氏は述べています。
Microsoftは言った オープンソースのリリース は、Solorigate と呼ばれるマルウェア攻撃に関する調査結果を共有する取り組みです。
「Solorigate のような攻撃がますます巧妙化するにつれて、セキュリティ コミュニティが協力して透明性を確保し、可能な場合は学びを共有することがこれまで以上に重要になっています。 これらの攻撃が検出されて以来、私たちはセキュリティ コミュニティと舞台裏で緊密に連携し、数十件の攻撃を公開してきました。 テクニカルアップデートとツール Microsoft の広報担当者は、次のように述べています。 「CodeQL クエリのオープン ソース化は、Microsoft が有用であると判断した共有技術が、巧妙な攻撃から保護するために必要な優位性を防御者に与える方法のもう XNUMX つの例です。」
ケリージャクソンヒギンズはダークリーディングの編集長です。 彼女は受賞歴のあるベテランテクノロジーおよびビジネスジャーナリストであり、ネットワークコンピューティング、セキュアエンタープライズなど、さまざまな出版物のレポートと編集にXNUMX年以上の経験があります。 フルバイオグラフィーを見る
推奨書籍:
より多くのインサイト
