あるインシデントでは、Rapid7は攻撃者が侵害されたネットワーク内の他の資産にCobalt Strikeビーコンを展開するのを観測しました。Rapid7が対応したケースではランサムウェアの展開は観測されませんでしたが、私たちが観測した侵害のインジケータは、OSINTやRapid7が対応した他のインシデントレスポンス業務に基づいて、Black Bastaランサムウェアのオペレーターと以前に関連していました。

概要

2024年4月下旬以降、Rapid7は斬新なソーシャルエンジニアリングキャンペーンの複数の事例を確認しました。この攻撃は、標的環境のユーザーグループが大量のスパムメールを受信することから始まります。観測されたすべてのケースにおいて、スパムはメール保護ソリューションを圧倒するほど重大であり、ブロックされることなくユーザーの受信トレイに到達してしました。Rapid7は、メール自体の多くは悪意のあるものではなく、世界中の多数の合法的な組織からのニュースレター登録確認メールであると判断しました。

電子メールが送信され、影響を受けたユーザがスパムの量を処理するのに苦労している最中に、攻撃者は電子メールの問題のサポートを提供しますよ、と、組織のITチームのメンバーを装って、影響を受けたユーザに電話をかけ始めました。その際、正規のリモート監視・管理ソリューションを使用することで、ユーザーをソーシャルエンジニアリングし、コンピュータへのリモートアクセスを提供させようとしました。すべてのケースにおいて、Rapid7は、一般的に悪用されているRMMソリューションであるAnyDesk、またはWindows内蔵のリモートサポートユーティリティであるQuick Assistのダウンロードと実行によって、最初のアクセスが促進されたことを確認しました。

ソーシャル・エンジニアリングによってユーザーにリモート・アクセスを提供させることに失敗した場合、Rapid7の観察によると、彼らはすぐに大量のスパムメールのターゲットとなった別のユーザーにターゲットを変更していました。

攻撃者は、ユーザーのコンピュータへのアクセスに成功すると、一連のバッチスクリプトの実行を開始し、アップデートとしてユーザーに表示します。攻撃者によって実行される最初のバッチスクリプトは、通常、コマンド＆コントロール（C2）サーバへの接続を確認し、Windows用OpenSSHの正規コピー（最終的に***RuntimeBroker.exe***に改名）を含むZIPアーカイブを、その依存関係、複数のRSA鍵、その他のSecure Shell（SSH）設定ファイルとともにダウンロードします。SSHは、インターネット経由でリモートコンピュータに安全にコマンドを送信するために使用されるプロトコルです。バッチスクリプトの多くには、ハードコードされたC2���ーバーがありますが、C2サーバーとリスニングポートをコマンドラインで上書き指定できるように記述されているものもあります。

その後、スクリプトは、Windowsレジストリのランキーエントリを介して永続性を確立します。バッチスクリプトによって作成された実行キーは、実行時に作成される追加のバッチスクリプトを示します。実行キーが指す各バッチスクリプトは、PowerShellを介してSSHを無限ループで実行し、ダウンロードしたRSA秘密鍵を使用して指定されたC2サーバーへのリバースシェル接続の確立を試みます。Rapid7は、攻撃者によって使用されたバッチスクリプトのいくつかの異なるバリエーションを観察しました。そのうちのいくつかは、NetSupportやScreenConnectを含む他のリモート監視および管理ソリューションを使用して、条件付きで永続性を確立しています。

観測されたすべてのケースにおいて、Rapid7は、PowerShellを使用してコマンドラインから被害者の認証情報を採取するバッチスクリプトの使用を確認しています。認証情報は、ユーザーにログインを要求する「更新」という偽のコンテキストの下で収集されます。確認されたバッチ スクリプトのほとんどのバリエーションでは、認証情報は、Secure Copy コマンド（SCP）を介して、攻撃者のサーバーに直ちに流出します。他の少なくとも1つのスクリプトでは、認証情報はアーカイブに保存され、手動で取得する必要があります。

図 5.盗まれたクレデンシャルは通常すぐに流出する。図6.セキュアコピーがないスクリプトの亜種。

あるケースでは、最初の侵害が完了すると、脅威者はImpacketを使用してSMB経由で環境全体に横方向に移動しようとし、最終的にCobalt Strikeの展開を数回試みたものの失敗しました。Rapid7が実施した調査において、データ流出やランサムウェアの展開に成功したケースは確認されていませんが、Rapid7が実施したフォレンジック分析を通じて発見された侵害の指標は、内部およびオープンソースのインテリジェンスに基づくBlack Bastaランサムウェアグループと一致しています。

フォレンジック分析

あるインシデントにおいて、Rapid7は、脅威者がScreenConnectやNetSupportリモートアクセス型トロイの木馬（RAT）を含む追加のリモート監視および管理ツールを展開しようとしていることを確認しました。Rapid7 は、接続用のドメインを含む NetSupport RAT の設定データを保持する Client32.ini ファイルを取得しました。Rapid7は、NetSupport RATが以下のドメインとの通信を試みるのを確認しました：

• rewilivak13[.]com
• greekpool[.]com

侵害されたアセットへのアクセスに成功した後、Rapid7は、攻撃者がImpacketツールセットを使用して、7z.DLLという正規のダイナミックリンクライブラリ（DLL）に偽装したCobalt Strikeビーコンを、侵害されたアセットと同じネットワーク内の他のアセットに展開しようとしているのを確認しました。

7z.DLLの分析において、Rapid7は、このDLLが、ハードコードされたキーを使用してCobalt StrikeビーコンをXOR復号化し、ビーコンを実行することを目的とした関数を含むように変更されていることを確認しています。

脅威者は、正規のバイナリ7zG.exeを実行し、コマンドライン引数「b」、すなわち「C:◆UsersPublic7zG.exe b」を渡すことで、Cobalt Strikeビーコンを展開しようとします。そうすることで、正規のバイナリ 7zG.exe は 7z.DLL をサイドロードし、7z.DLL は埋め込まれた Cobalt Strike ビーコンを実行します。この手法はDLLのサイドローディングとして知られており、Rapid7が以前IDAT Loaderに関するブログ記事で取り上げた手法です。

実行に成功すると、Rapid7はビーコンが新しく作成されたプロセス、choice.exeを注入するのを観察しました。

緩和策

Rapid7 は、インストールされているすべてのリモート監視および管理ソリューションの環境をベースライン化し、AppLocker や Microsoft Defender Application Control などのアプリケーション許可リストソリューションを利用して、環境内で実行されるすべての未承認の RMM ソリューションをブロックすることを推奨します。例えば、Quick Assistツールのquickassist.exeは、AppLockerを介して実行をブロックすることができます。  さらなる予防措置として、Rapid7はすべての未承認RMMソリューションに関連するドメインをブロックすることを推奨する。RMMソリューション、そのバイナリ名、関連ドメインのカタログを含む公開GitHubレポはここにあります。

Rapid7は、一般的なソーシャル・エンジニアリング攻撃を特定し防止するために、確立されたITチャネルとコミュニケーション方法をユーザーに認識させることを推奨する。また、ユーザーが社内のITスタッフを装った不審な電話やメールを報告できるようにすることを推奨します。

MITRE ATT&CK テクニック

Rapid7のお客様

InsightIDR および Managed Detection and Response をご利用のお客様は、Rapid7 の広範な検出ルールライブラリにより、既存の検出カバレッジを利用できます。Rapid7は、疑わしいプロセスを可視化し、適切な検出範囲を確保するために、該当するすべてのホストにInsight Agentをインストールすることを推奨します。以下は、このマルウェアキャンペーンに関連する動作について警告を発する、導入されている検出の非網羅的なリストです：

妥協の指標

ネットワークベース指標（NBIs）

ホスト・ベース指標（HBI）

※本ブログは英語版ブログ "Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。