GhostSpiderはモジュール式バックドアです。
マルウェアは次々に生まれてきますが、現在このGhostSpiderを使用する脅威キャンペーンが猛威を振るっています。
流れを見てみましょう。
- 入口は脆弱性の悪用
とっかかりは脆弱性の悪用です。
組織とインターネットの境界部分にある機器の脆弱性を狙います。
・Ivanti Connect Secure VPNの特権昇格での任意コマンド実行の脆弱性(CVE-2023-46805、CVE-2024-21887)
・Fortinet FortiClient EMSのSQLインジェクション脆弱性(CVE-2023-48788)
・Sophos Firewallの管理画面のコードインジェクションによるリモートコード実行の脆弱性(CVE-2022-3236)
・Microsoft Exchange Serverのリモート コード実行の脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065) - GhostSpiderの設置
GhostSpiderはメモリ内にのみ存在する状態で動作するマルウェアです。
実装形式によって高度なステルス性を実現し、長期的なスパイ活動向けに使用できる仕上がりになっています。
DLLハイジャックを使用してターゲットシステムにロードします。
C2との通信の内容はHTTPのヘッダやcookieのなかに混ぜ込みますので、発見は困難です。
GhostSpiderは次の機能を持っています。
・upload
攻撃者が制御する特定のタスクを実行するために、悪意のあるモジュールをメモリに読み込みます。
・create
操作に必要なリソースを初期化して、ロードされたモジュールをアクティブ化します。
・normal
データの流出やシステム操作など、ロードされたモジュールの主な機能を実行します。
・close
アクティブなモジュールをメモリから削除して、トレースを最小限に抑え、システム リソースを解放します。
・update
通信間隔などのマルウェアの動作を調整し、ステルス性と効果を維持します。
・Heartbeat
C&C サーバーとの定期的な通信を維持し、システムが引き続きアクセス可能であることを確認します。
この機能性のため、このバックドアを使った攻撃は非常に柔軟に侵害環境に対応した活動を展開できてしまいます。
さらに、これを使う脅威アクターは、ほかにも多くのマルウェアを使用します。
別のモジュール式バックドアのSNAPPYBEE、クロスプラットフォームのバックドアのMASOL RAT、ルートキットのDEMODEX、横展開に有効な機能を持つバックドアのSparrowDoor、ステルス性の高いCrowDoor、そしてまた別のモジュール式バックドアのShadowPadなどです。
これらを使った侵害行為は、侵害が成り立ってしまうと手の付けられない状態になる脅威になっています。
最近話題になる脅威には、人が誤ってファイルを開いてしまうことに依存したものも多くありました。
しかし、この脅威の入り口部分は脆弱性の悪用です。
脆弱性があるままのシステムにおいては脅威はターゲットとなった時点で起こってしまうものとなるので大きな脅威となりますが、その狙いの脆弱性をシステムが有していなければ脅威とならないものです。
パッチケイデンスの維持などのあるべき運用状態を保つことは、現代において必要な重要運用事項であると感じます。
Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions
https://www.trendmicro.com/en_us/research/24/k/earth-estries.html
この記事をシェア |
---|