米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間3月18日、オンプレミスのシステムを走査し、SolarWindsに対するサプライチェーン攻撃を実施した攻撃者の活動形跡を検出する新たなコマンドラインツールをリリースしたと発表した。
このフォレンジックツールは、「CISA Hunt and Incident Response Program」の頭文字を取って「CHIRP」と名付けられている。
CISAによると、「CHIRPはオンプレミス環境内における持続的標的型攻撃(APT)の形跡を走査する」としている。
CHIRPは、SolarWindsの「Orion」という広く用いられているネットワーク監視ソフトに関連付けられた侵害の形跡を探し出すよう設計されている。ハッカーらはOrionを通じて、SolarWindsのおよそ1万8000の顧客のシステムにバックドアを仕掛ける「SUNBURST」(または「Solorigate」)というマルウェアを配布したとされている。なお、Microsoftはその背後にいる脅威アクターらを「Nobelium」と呼んでおり、FireEyeは「UNC2452」という名称で同グループを追跡している。
CISAは以前にも「Sparrow」という、CHIRPによく似たツールをリリースしている。Sparrowは「Microsoft Azure」や「Microsoft 365」の環境内において侵害されたアカウントやアプリケーションに対する攻撃者の活動を検出するツールだ。
CISAは、CHIRPを用いて「Windows」のイベントログや「Windows Registry」を精査し、Windowsネットワークに残された痕跡を調査するとともに、「YARAルール」を適用してマルウェアやバックドア、インプラントを検出するよう推奨している。
このツールには、イベントログやレジストリーキーを検索する複数のプラグインが搭載されている。また、過去に発出されたアラート「AA20-352A」(Orion)と「AA21-008A」(Microsoft 365/Azure環境)で確認された活動として、同機関が関連性を見出したセキュリティ侵害インジケーター(IoC)の一覧が記されたファイルも含まれている。
トロイの木馬として悪用されたバージョンのOrionによって影響を受けたSolarWindsの1万8000の顧客のうち、ごく一部が「TEARDROP」という2つ目のマルウェアを配備するための標的となった。その後、攻撃者はMicrosoft 365のインフラ侵害を目的に、標的のクラウド環境内での活動を活発化させていった。
CISAによると、CHIRPは現時点で以下の状況を検出しようとするという。
- セキュリティリサーチャーらが特定したTEARDROPと「RAINDROP」というマルウェアの存在
- クレデンシャルダンピングによる認証情報の取得行為
- キャンペーンに関連付けられていると確認された特定の永続的メカニズム
- システムやネットワーク、Microsoft 365のエニュメレーション
- ラテラルムーブメント(ネットワーク内での横展開)を示唆する既知の観測可能な形跡
Microsoftは最近、SUNBURSTバックドアによる侵入に関して、「Sibot」を含む新たな3種類のマルウェアに関する詳細を発表している。Sibotは、感染したマシン上での永続性を実現することで、遠隔地に置かれたコマンド&コントロール(C&C)サーバーからのペイロードのダウンロードと実行を支援するツールだ。
CHIRPはコンパイル済みの実行可能ファイル、またはPythonスクリプトとしてGitHubから入手できる。
FireEyeも1月に「Azure AD Investigator」という無料ツールをGitHubで公開している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
