NetFlow内のRocke探索

By

Category: Unit 42

Tags: , , , ,

This post is also available in: English (英語)

エグゼクティブサマリー

Unit 42は6ヶ月かけて中国を拠点とするサイバー犯罪グループRockeの調査を行いました。Rockeはクラウドをターゲットとして暗号通貨マイニング処理を行っている最も悪名高い脅威攻撃グループです。調査から判明した内容をまとめたものは最近のクラウド脅威レポート(日本語版公開)からご覧いただけます。この調査レポートではRockeについて私たちが行った調査の結果を詳しく説明していますが、このなかで私たちは「このグループはほとんど邪魔されることなく、また検出リスクを抑えつつオペレーションを実行している」と結論づけています。

2018年12月から2019年6月16日までのNetFlowデータを分析することによって、調査したクラウド環境の28.1%が、少なくとも1つの既知のRocke Command and Control(C2)ドメインとの少なくとも1つの完全に確立されたネットワーク接続を持っていることがわかりました。これらの組織のいくつかは、ほぼ毎日の接続を維持していました。その間、組織の20%が1時間ごとのハートビートを維持しており、これはRockeの戦術・テクニック・手順(TTP)と一致するものでした。

このグループはまたGodluaと呼ばれる新しいツールをリリースしていました。このツールはエージェントとして機能するもので、これによりグループ内のアクターが追加のスクリプト処理を実行できるようになります。追加されるスクリプト処理には、サービス拒否(DoS)攻撃、ネットワーク プロキシ、2つのシェル機能などが含まれます。Unit 42はまた、NetFlowトラフィック内で同グループのネットワーク トラフィックを識別するための様々なパターンも発見しました。これにより、RockeのTTPに関する独自の洞察と、防御側が検出機能を開発する方法についての洞察を得ることができます。

Rocke攻撃グループとは

Ironグループ、SystemTen、Kerberods/Khugepageds、ex-Rockeなどの別名でも知られるRockeの活動が最初に報告されたのは2018年8月でした。それ以来リサーチャーたちはブログで同グループによるGolangプログラミング言語の利用や、新しいバックドアであるGodluaについて説明してきました。RockeによるオペレーションをMITRE ATT&CKフレームワークにマッピングしたオペレーション関連のブログもあります。Unit 42はまた、同グループのXbashランサムウェアツールとそのクラウドセキュリティ回避と暗号通貨マイニングのテクニックについてのブログを公開しています。

Rockeは当初、機能的にNotPetyaと類似したデータ破壊型マルウェアであるLinux特化型ツールXbashを使用をしていたことから、ランサムウェア キャンペーンと関連づけられていました 。NotPetyaは、EternalBlueエクスプロイトを使用し、ネットワーク経由で拡散するマルウェアで、Xbashも組織のパッチ未適用の脆弱性や弱いパスワードの使用を悪用した横展開を行いましたが、その効果はさほど高くなかったようです。またRockeは組織を侵害後、被害者に損失データ復元のための0.2ビットコイン、0.15ビットコイン、または0.02ビットコイン(BTC)の支払いを要求しましたが、Xbashは身代金の要求以前にデータベーステーブルを削除していることから、データは復元不能でした。Unit 42がレポートした時点でのRockeのBTCウォレットは、個別の48件の送金による0.964 BTC(今日の米国ドル価格で10,130ドル、日本円でおよそ100万円に相当)だけでした。

Rockeの暗号通貨マイニング オペレーション

Xbashマルウェア同様、Rockeグループ最初の暗号通貨マイニング オペレーションはPythonで書かれており、第1段階のペイロードをダウンロードするコードリポジトリとしてPastebinないしGitHubを使用していました。2019年3月12日時点で、RockeのアクターはこのほかにGolangも使いはじめました。第1段階のペイロードは、被害者のシステムに対し、ハードコードされたRockeのドメイン/IPアドレスへの接続を指示し、これが第2段階のペイロードのダウンロードをトリガーします。

Unit 42は、最初の報告以降、どうやら決まった12段階の手順に従ってRockeがオペレーションを実行している様子があることを観測しました。

  1. アクターが第1段階のペイロードをサードパーティのサイト(Pastebin、GitHubなど)にアップロードする
  2. 被害者がPastebin/GitHubに移動するよう仕向ける(スピアフィッシングなど)
  3. 既知の脆弱性(Oracle WebLogic、Adobe ColdFusion、Apache Strutsなど)を悪用する
  4. 被害者がバックドアをダウンロードする(シェルスクリプト、JavaScriptのバックドアなど)
  5. 被害者がPythonかGolangのスクリプトを介し第1段階のペイロードを実行しC2サーバーに接続する
  6. 第2段階のペイロードであるスクリプトをダウンロードして実行し、システムの管理者アクセス権限を取得する
  7. cronジョブ コマンドを使用して永続性を確立する
  8. すでにインストールされている暗号通貨マイニング プロセスを探してkillする
  9. それ以降の暗号通貨マイニングプロセスをブロックするためにiptablesにルールを追加する
  10. エージェントベースのクラウドセキュリティ対策ツール(Tencent Cloud、Alibaba Cloudなど)をアンインストールする
  11. Moneroのマイニングソフトウェアをダウンロードしてインストールする
  12. “libprocesshider”を使ってLinuxのpsからXMRigマイニング プロセスをルートキット化(隠蔽)する

Rockeのインフラ

本稿執筆時点では、8つのドメインが、ハードコードされたIPアドレス、URLアドレス、またはドメイン登録時のつながり(WHOIS登録者のEメールアドレスなど)を通じてRockeのC2オペレーションと紐付けられています。次表はそれらのドメインがRockeグループのインフラとどのように関係しているかを示したものです(表1参照)。

ドメイン Rockeとのつながり 重複が見られた値 解決先IPアドレス
sowcar[.]com ハードコードされたIOC 4592248@gmail[.]com 23.234.4[.]15123.234.4[.]153

27.221.28[.]231

27.221.54[.]252

36.103.236[.]221

36.103.247[.]121

36.248.26[.]205

42.202.141[.]230

42.236.125[.]84

42.56.76[.]104

43.242.166[.]88

59.83.204[.]14

60.167.222[.]122

61.140.13[.]251

104.31.68[.]79

104.31.69[.]79

113.142.51[.]219

113.200.16[.]234

116.211.184[.]212

118.213.118[.]94

118.25.145[.]24

122.246.6[.]183

125.74.45[.]101

150.138.184[.]119

182.118.11[.]126

182.118.11[.]193

182.247.250[.]251

182.247.254[.]83

183.224.33[.]79

211.91.160[.]159

211.91.160[.]238

218.75.176[.]126

219.147.231[.]79

221.204.60[.]69

thyrsi[.]com WHOIS 登録 4592248@gmail[.]com 23.234.4[.]15123.234.4[.]153

103.52.216[.]35

104.27.138[.]223

104.27.139[.]223

205.185.122[.]229

209.141.41[.]204

w2wz[.]cn WHOIS 登録 4592248@gmail[.]com 36.103.236[.]22136.103.247[.]121

42.202.141[.]230

58.215.145[.]137

58.216.107[.]77

58.218.208[.]13

60.167.222[.]122

61.140.13[.]251

113.142.51[.]219

113.96.98[.]113

116.211.184[.]212

118.213.118[.]94

118.25.145[.]241

121.207.229[.]203

122.246.20[.]201

125.74.45[.]101

140.249.61[.]134

150.138.184[.]119

182.118.11[.]193

182.247.250[.]251

218.75.176[.]126

219.147.231[.]79

222.186.49[.]224

baocangwh[.]cn WHOIS 登録 4592248@qq[.]com 103.52.216[.]35104.18.38[.]253

104.18.39[.]253

104.31.92[.]26

104.31.93[.]26

119.28.48[.]240

205.185.122[.]229

z9ls[.]com WHOIS 登録 4592248@qq[.]com 103.52.216[.]35104.27.134[.]168

104.27.135[.]168

104.31.80[.]164

104.31.81[.]164

172.64.104[.]10

172.64.105[.]10

205.185.122[.]229

gwjyhs[.]com ハードコードされたドメイン gwjyhs[.]com 103.52.216[.]35104.27.138[.]191

104.27.139[.]191

205.185.122[.]229

heheda[.]tk ハードコードされたIPアドレスまたはドメイン 104.238.151.101c.heheda[.]tk

d.heheda[.]tk

dd.heheda[.]tk

104.18.58[.]79104.18.59[.]79

104.238.151[.]101

195.20.40[.]95

198.204.231[.]250

cloudappconfig[.]com ハードコードされたIPアドレスまたはドメイン 104.238.151.101c.cloudappconfig[.]com

img0.cloudappconfig[.]com

Img1.cloudappconfig[.]com

img2.cloudappconfig[.]com

43.224.225[.]22067.21.64[.]34

104.238.151[.]101

198.204.231[.]250

systemten[.]org ハードコードされたドメイン systemten[.]org 104.248.53[.]213104.31.92[.]233

104.31.93[.]233

134.209.104[.]20

165.22.156[.]147

185.193.125[.]146

表1 既知のRockeドメイン

Rockeの新たな攻撃ベクター

前項で一覧化したTTPでは、Rockeのオペレーションにおける潜在的な第3段階は考慮していません。Godlua バックドアの分析報告が出る前まで、Rockeマルウェアは侵害先のクラウドシステム上でオペレーション上の特定機能を実行していた様子がありました。Godluaの報告でもこうしたRockeのオペレーション手順同様のTTPを含むマルウェア サンプルを引用していました。さらに調査した結果、Unit 42は、TTPが一致するだけでなく、以前に報告されたRockeマルウェアのハードコードされた値とつながるハードコードされたドメイン、URL、およびIPアドレスがあることを確認しました。このつながりは、reddit の r/LinuxMalware サブレディット(サブフォーラム)に掲載されたインシデント調査GitHubにアップロードされたマルウェア サンプルのメタデータを含む調査結果から確認することができました。このRedditの投稿者は、インターネット上のマルウェア削減を目的としたホワイトハット組織の非営利団体MalwareMustDieの運営者です。Unit 42のリサーチャーは、Redditスレッドにリストされている4つのバイナリを分析し、Redditのスレッドに記載されたサンプルにハードコードされたRockeドメインのsystemten[.]orが含まれていることを確認しました。サンプルには、既知のRockeのレポートと重複する、次のPastebin URLへのハードコードされたリンクも含まれていました。

  • hxxps://pastebin[.]com/raw/HWBVXK6H
  • hxxps://pastebin[.]com/raw/60T3uCcb
  • hxxps://pastebin[.]com/raw/rPB8eDpu
  • hxxps://pastebin[.]com/raw/wR3ETdbi
  • hxxps://pastebin[.]com/raw/Va86JYqw
  • hxxps://pastebin[.]com/raw/Va86JYqw

Godluaブログからも確認できるとおり、IPアドレス104.238.151[.]101とURL d.heheda[.]tk、 c.heheda[.]tk、dd.heheda[.]tkは、レポートの調査結果でもハードコードされていることがわかっています。Rockeグループに関連してRedditに投稿されたインシデント レスポンス スレッドからは、heheda[.]tkの3つのドメインにC2接続が行われていることもわかりました。これらのドメインはIPアドレス104.238.151[.]101に解決されるもので、これもGodluaに関するレポートで引用されています。さらに、サンプルには既知のRockeドメインsowcar[.]com、z9ls[.]com、baocangwh[.]cn、gwjyhs[.]com、w2wz[.]cnのハードコードされた値が含まれています。特定された侵害の指標(IoC)が既知のRockeドメインとGodluaおよびRedditスレッドのIoCレポートから取得したIoCとをどのように結び付けているかについては、図1を参照してください。

図 1 Godluaのレポート、Redditのスレッドでの報告内容とRockeのドメインとのつながり

Godluaマルウェア サンプルが興味深いのは、RockeがDoSオペレーションも同グループのツールキットに追加した証拠が見られる点です。同レポートは、Rockeが第3段階のマルウェア コンポーネントを追加することにより、3番目のC2リクエストをc.heheda[.]tkないしc.cloudappconfig[.]comに対して実行し、そこからGodluaと呼ばれるLUAスクリプトをダウンロードするという証拠を提供しています。このマルウェアにより、Rockeのオペレーション プレイブックには、モジュ―ル化機能が追加されたようです。また、DoS機能のほかにGodluaマルウェアは次の新しい機能を加えています。

  • HANDSHAKE
  • HEARTBEAT
  • LUA
  • SHELL
  • UPGRADE
  • QUIT
  • SHELL2
  • PROXY

Godluaのレポートはまた、RockeがLUAのスイッチ機能を追加したという証拠も提供しています。同レポートによれば、アクターはドメインwww.liuxiaobei[.]comに対しDoS攻撃を行ったようです。本稿執筆時点では、同ドメインはどの既知のシステムにも解決されません。第3段階マルウェアのそのほかの機能が、どのような役割を果たすのかは現在のところ不明です。ただし、”Shell”、”Shell2″、”Upgrade”、”Proxy”といったオプションが存在することから、このマルウェアはモジュラー型システムエージェントのさきがけとなり、今後は暗号通貨のマイニングやデータ破壊以外のサイバーオペレーションを柔軟にこなせるようになりそうです。

NetFlow内のRocke探索

Unit 42のリサーチャーは、調査対象となったクラウド環境の28.1%が、既知のRocke C2ドメインと少なくとも1つのアクティブな通信セッションを行っていることを発見しています(本稿執筆時点)。これらの通信セッションは、少なくとも2018年12月から本稿執筆時点までは、複数の組織でほぼ日常的に発生していました。この識別は、組織とクラウドエッジでのNetFlow通信のキャプチャをすることで可能になりました。

Unit 42のリサーチャーは、RockeのTTPのパターンを分析し、特定期間中に利用されたIPアドレスと、そのIPアドレスに解決される既知のRockeドメインを使い、これら解決先IPアドレスとRocke関連ハードコード済みIPアドレスである104.238.151[.]101に対してネットワークトラフィックのクエリをかけるという方法で、Rockeの通信を発見しました。

ハードコードされたIPアドレスは、組織ネットワーク内部からの通信が、既知の悪意あるネットワークトラフィックに関連しているという強力な証拠になります。本稿執筆次点では、2019年1月1日以降、104.238.151[.]101を逆引きすると次のURLが取得されることが知られています。

  • c.cloudappconfig[.]com
  • d.cloudappconfig[.]com
  • f.cloudappconfig[.]com
  • img0.cloudappconfig[.]com
  • img2.cloudappconfig[.]com
  • v.cloudappconfig[.]com
  • c.heheda[.]tk
  • d.heheda[.]tk
  • dd.heheda[.]tk

これらのURLは、GodluaとRedditの両方のレポートで報告されていたものと一致しているので、このIPアドレスへの接続はすべて悪意があると見なされるべきです。Unit 42のリサーチャーは、4つの監視対象組織から411回、一意な接続があった様子を特定しました。それらの組織は、8回またはそれ以上、当該IPアドレス104.238.151[.]101に対して完全に確立されたネットワーク接続を行っていました。各組織との接続はごく短い時間しか持続しません。最初の接続があってから最後に接続が行われるまでのデルタ(差分)の最長期間は、組織1で確認された5日間でした。逆にデルタの最短期間は、組織4で確認されたある単一のコネクションの1時間でした(表2を参照)。

組織 接続先IP 総接続数 最初に見られた日時 最後に見られた日時
1 104.238.151[.]101 76 4/12/19 3:00 AM 4/17/19 8:00 AM
2 104.238.151[.]101 160 4/13/19 7:00 AM 4/15/19 3:00 PM
3 104.238.151[.]101 167 4/13/19 7:00 AM 4/16/19 10:00 AM
4 104.238.151[.]101 8 5/10/19 9:00 PM 5/10/19 9:00 PM

表2 ハードコードされたIPアドレス104.238.151[.]101への組織からの接続

この104.238.151[.]101から推定をすすめると、これら4つの組織は別の既知のRockeドメインにも接続していることが分かりました。組織1は2019年4月12日から5月31日にかけて3つのRockeドメインに接続していましたが、290回が一意のセッションでした。組織4は、2019年3月20日から5月15日にかけて7つのRockeドメインに接続していましたが、8,231回が一意のセッションでした。表3からも明らかなように、これら4つの組織は、ハードコードされたIPアドレス104.238.151[.]101に対する接続が確認されたのと同じ期間中、7つある既知のRockeドメインのうち1つまたはそれ以上のドメインに接続していました。 このことから、ドメインheheda[.]tkとcloudappcloudconfig[.]comがRockeに紐づくドメインであること、そしてRockeの第3段階マルウェアが同時期にはすでに利用可能になっていたことが強く示唆されます。

組織 Destination Domain 接続先IP 総接続数 最初に見られた日時 最後に見られた日時
1 Heheda[.]tk |cloudappconfig[.]com 104.238.151[.]101 76 4/12/19 3:00 AM 4/17/19 8:00 AM
sowcar[.]com 125.74.45[.]101 4 4/12/19 2:00 PM 4/12/19 2:00 PM
27.221.54[.]252 2 4/13/19 4:00 AM 4/13/19 4:00 AM
systemten[.]org 104.248.53[.]213 202 4/10/19 12:00 PM 5/31/19 6:00 PM
w2wz[.]cn 113.96.98[.]113 2 4/12/19 2:00 PM 4/12/19 2:00 PM
125.74.45[.]101 4 4/12/19 2:00 PM 4/12/19 2:00 PM
1の合計 290
2 baocanwh[.]cn 104.31.92[.]26 8 4/25/19 3:00 AM 4/25/19 3:00 AM
heheda[.]tk 104.18.58[.]79 26 4/14/19 6:00 AM 4/15/19 3:00 PM
heheda[.]tk 104.18.59[.]79 22 4/14/19 6:00 AM 4/15/19 2:00 PM
Heheda[.]tk |cloudappconfig[.]com 104.238.151[.]101 160 4/13/19 7:00 AM 4/15/19 2:00 PM
sowcar[.]com 104.31.68[.]79 77 3/20/19 11:00 PM 4/3/19 4:00 AM
104.31.69[.]79 70 3/20/19 7:00 AM 4/10/19 9:00 AM
125.74.45[.]101 6 4/12/19 1:00 PM 4/12/19 2:00 PM
27.221.54[.]252 6 4/13/19 4:00 AM 4/13/19 4:00 AM
systemten[.]org 104.248.53[.]213 92 4/11/19 5:00 PM 4/15/19 3:00 PM
w2wz[.]cn 113.96.98[.]113 9 4/12/19 2:00 PM 4/12/19 6:00 PM
122.246.20[.]201 8 4/22/19 7:00 AM 4/22/19 8:00 AM
125.74.45[.]101 6 4/12/19 1:00 PM 4/12/19 2:00 PM
z9ls[.]com 104.31.80[.]164 2 4/14/19 11:00 AM 4/14/19 11:00 AM
104.31.81[.]164 4 4/15/19 3:00 AM 4/15/19 1:00 PM
2の合計 496
3 heheda[.]tk 104.18.58[.]79 14 4/14/19 11:00 AM 4/16/19 10:00 AM
heheda[.]tk 104.18.59[.]79 14 4/14/19 11:00 AM 4/16/19 10:00 AM
Heheda[.]tk |cloudappconfig[.]com 104.238.151[.]101 167 4/13/19 7:00 AM 4/16/19 10:00 AM
sowcar[.]com 104.31.68[.]79 2 4/10/19 9:00 AM 4/10/19 9:00 AM
systemten[.]org 104.248.53[.]213 214 4/10/19 9:00 AM 4/19/19 9:00 AM
z9ls[.]com 104.31.80[.]164 106 4/14/19 9:00 AM 4/18/19 3:00 AM
104.31.81[.]164 108 4/14/19 9:00 AM 4/18/19 3:00 AM
3の合計 625
4 baocanwh[.]cn 104.18.38[.]253 136 4/26/19 9:00 PM 4/27/19 3:00 PM
104.18.39[.]253 152 4/26/19 10:00 PM 4/28/19 3:00 AM
104.31.92[.]26 184 4/22/19 9:00 AM 4/26/19 6:00 PM
104.31.93[.]26 170 4/22/19 9:00 AM 4/26/19 6:00 PM
119.28.48[.]240 176 4/27/19 1:00 PM 4/28/19 10:00 AM
gwjyhs[.]com 104.27.138[.]191 256 4/28/19 11:00 AM 5/9/19 10:00 AM
104.27.139[.]191 256 4/28/19 10:00 AM 5/12/19 5:00 PM
Heheda[.]tk |cloudappconfig[.]com 104.238.151[.]101 8 5/10/19 9:00 PM 5/10/19 9:00 PM
sowcar[.]com 104.31.68[.]79 437 3/20/19 7:00 AM 4/10/19 2:00 AM
104.31.69[.]79 441 3/20/19 2:00 PM 4/10/19 2:00 AM
27.221.54[.]252 8 4/13/19 4:00 AM 4/13/19 4:00 AM
systemten[.]org 104.31.93[.]233 4 4/5/19 2:00 AM 4/5/19 3:00 AM
104.31.92[.]233 4 4/5/19 2:00 AM 4/5/19 3:00 AM
104.248.53[.]213 4761 4/3/19 4:00 AM 5/15/19 1:00 AM
thyrsi[.]com 103.52.216[.]35 178 4/27/19 8:00 AM 5/10/19 1:00 PM
w2wz[.]cn 118.25.145[.]241 12 4/13/19 5:00 AM 4/13/19 9:00 AM
z9ls[.]com 104.31.80[.]164 522 4/13/19 9:00 AM 4/21/19 2:00 PM
104.31.81[.]164 526 4/13/19 6:00 AM 4/21/19 2:00 PM
4の合計 8231
総計 9642

表3 全Rockeドメインへの接続とIPアドレス104.238.151[.]101への接続との比較

Unit 42のリサーチャーはこの調査内容からさらに次の段階に推定を進め、すべての監視対象組織から、すべての既知Rockeドメインに対する、すべての可視の接続を特定しました。リサーチャーは、クラウド環境の28.1%が、既知のRockeドメインとの少なくとも1つの完全に確立されたネットワーク接続を持っていることを発見しました。最も早期に観測された接続は2018年12月4日に行われたもので、これは少なくとも2019年6月10日まで継続し、その期間中、ドメインsowcar[.]comとw2wz[.]cnに対し、146回の一意な接続を行っていました。

Rockeのネットワーク トラフィック パターン

最後にUnit 42のリサーチャーは、Pastebinからダウンロードした第1段階のペイロードをNetFlowデータと突き合わせて特定できるかどうかを試しました。この結果、合計50の組織がPastebinにネットワーク接続していることを発見しました。これら50の組織のうち8つは、Rockeドメインへの接続と同じ時間内にPastebinへのネットワーク接続を行っていたことが判明しました。NetFlowトラフィックは1時間単位までしか細分化できないこと、それらネットワーク接続がどのような性質のものだったか確認するための完全なパケットキャプチャが存在していないこと、これらの理由から、各組織が侵害を受けた時間を正確に特定することはできません。ただし、これらのネットワーク接続が発生した時間帯を指標として使えば、仮に手元に完全なパケットキャプチャがあった場合、継続して調査すべき主な時間帯が分かります。

NetFlowデータ内でRockeネットワーク トラフィックがどのように見えるかを確認すると、そこには明確なパターンがあります(図2参照)。最初にPastebinとの接続が確立され、続いてRockeドメインへの接続が確立されます。図2からわかるように、このパターンは1時間ごとに繰り返されます。これが、クラウド システムにすでにインストールされている第3段階のRockeペイロードによるビーコン機能とその存在とを示すもう1つの指標となります。さらに図2からは、接続元のシステムがPastebinに接続した後、既知のRockeドメインであるz9ls[.]comとsystemten[.]orgに接続し、同じ時間帯にハードコードされたIPアドレス104.238.151[.]101に接続する、という特徴のあるパターンが確認できます。このパターンは第3段階のマルウェアがその機能としてもつビーコンの性能ないしハートビート型の活動を示唆しています。

図 2 特徴的なRockeのNetFlowパターン

回避・緩和策

クラウド環境内でのRockeの活動を抑えるには次の対策をお勧めします。

  • すべてのクラウド システムのテンプレートについて最新パッチを適用し、バージョンを更新します。
  • すべてのクラウド システムに最新パッチが適用され、更新済みのクラウド テンプレートを使用できるような運用サイクルを組みます。
  • コンプライアンス、ネットワーク トラフィック、ユーザーのふるまいについてのチェック機能を持つクラウド監視製品を購入・構成します。
  • クラウド ネットワーク構成、セキュリティ ポリシー、グループをレビューし、それらが現在のコンプライアンス要件を満たしていることを確認します。
  • クラウド コンテナの脆弱性スキャナを使用します。
  • ドメインやIPブラックリストの指標を提供してくれる脅威インテリジェンス関連のフィードをすべて更新します。
  • パロアルトネットワークス製品で対策を行う場合は、MineMeldによる脅威インテリジェンスフィードを購入・購読するか、次世代ファイアウォールを使用します。これらの製品では既知のRockeドメイン、IPアドレスへの接続をブロックするように設定されています。
  • 既知の悪意のあるドメイン・IPアドレスへの接続がないかどうか、クラウド ネットワーク トラフィックを調査します。
  • 組織のクラウド環境から外部に出ていくネットワーク トラフィックを調べ、ビーコン型のものがないかどうかを確認します。

結論

Rockeは主にパブリックなクラウド インフラを対象としてサイバー犯罪を行う攻撃グループです。同グループのツールは進化しつづけており、2016年や2017年に公開された脆弱性を使って、構成が不適切なクラウド インフラを悪用しています。同グループはひととおりの調査では見つからないようなマルウェアを使用し、クラウド システムの管理アクセスを取得することができます。侵害されたシステムはその後Rockeのハードコードされた既知のIPアドレスないしRocke所有のドメインに対し、予測と検出が可能なネットワーク活動を開始します。

パロアルトネットワークスのお客様は、次の方法でこの脅威から保護されています。

  • 本稿で説明したすべてのC2ドメインはPAN-DBのURL Filteringにより悪意のあるものとして適切に分類されます。
  • webシェルにアップロードされたすべての違法なツールは、WildFireとTrapsによって悪意のあるものとして識別されます。
  • ELF形式、PE形式のマルウェア シグネチャは、アンチウイルス機能を通じて提供されています。

AutoFocusをお使いのお客様は、当該グループを次のタグでさらに詳しく調査できます。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

IOC

ドメイン

  • sowcar[.]com
  • thyrsi[.]com
  • w2wz[.]cn
  • baocangwh[.]cn
  • z9ls[.]com
  • gwjyhs[.]com
  • heheda[.]tk
  • cloudappconfig[.]com
  • systemten[.]org

IP アドレス

  • 43.224.225[.]220
  • 67.21.64[.]34
  • 103.52.216[.]35
  • 104.248.53[.]213
  • 104.238.151[.]101
  • 198.204.231[.]250
  • 205.185.122[.]229

ハッシュ値

  • 1608899ff3bd9983df375fd836464500f160f6305fcc35cfb64abbe94643c962
  • 28f92f36883b69e281882f19fec1d89190e913a4e301bfc5d80242b74fcba6fe
  • a84283095e0c400c3c4fe61283eca6c13dd0a6157a57adf95ae1dcec491ec519
  • 6797018a6f29ce3d447bd3503372f78f9513d4648e5cd3ab5ab194a50c72b9c4