つい最近、Palo Alto NetworksのUnit 42脅威インテリジェンス チームが調査結果を新たに公表しました。これはShamoon 2攻撃のこれまで知られていなかった第2波を明らかにした次の記事です。Shamoon 2攻撃の第2波が確認される

私たちの分析では、この攻撃は2016年11月29日に発生するようになっていましたが、この日は私たちが以前記事にした最初のShamoon 2攻撃の12日後に当たります。

最初のShamoon 2攻撃と同様、この第2波はDisttrackワイパー マルウェアを利用しています。Disttrackはシステムを破壊するよう最適化されており、その破壊手段は、システムのハード ドライブを標的にし、侵入したネットワークを介して可能な限り拡散することです。そして今回も、Disttrackマルウェアはコマンド アンド コントロール(C2)サーバを一切使わずに動作するよう設定されていました。つまり、実質上、データ破壊に関する一方向ミッション用に最適化されていました。

しかし、このShamoon 2攻撃の第2波から、新たな戦術を秘めた兆候が見て取れます。Unit 42による分析により、最新のサンプルに、仮想デスクトップ インフラストラクチャ(VDI)ソリューション用の資格情報が含まれていることが分かっています。VDIソリューションは、華為(ファーウェイ)のFusionCloudがその一例ですが、Disttrackのような破壊的なマルウェアからの防御を可能とするものであり、防御方法として、ワイプされたシステムのスナップショットをロードしてワイパー攻撃から復旧する機能を使います。サンプル内のこれらの資格情報の存在から、攻撃者が、システムをワイプするだけでなく、VDIの導入ならびに任意のスナップショットに対して破壊的な活動も行うことで影響をさらに大きなものにしようとしたことが伺えます。

正規の資格情報を使用してVDIソリューションを標的にすることが考えられるため、今回取り上げた攻撃だけでなく将来の新たな攻撃でも、権限昇格が戦術に取り入れられることが伺えます。セキュリティ チームおよび管理者は、こうした展開を認識のうえ評価するための措置をただちに講じ、VDI導入に関連する資格情報を保護するため、予防策の新たな追加を検討する必要があります。

技術的な詳細情報については、すべて完全版のレポートに記載されています。詳細情報には関連するセキュリティ侵害の痕跡(IOC)も含まれており、このIOCはさらに詳細な分析と保護を実施するのにご利用できます。

Palo Alto Networksのお客様は、次の方法で、この攻撃で使用されるDisttrackペイロードから保護されます。

  • WildFireがDisttrackサンプルを悪意のあるものとして適切に分類します。
  • Virus/Win32.WGeneric.ktotoの脅威プロテクションAVシグネチャが新しいペイロードを検出します。

AutoFocusのお客様は、Disttrackタグを使用してDisttrackの活動を監視できます。