ブログ(脅威調査)

Pick 6:FIN6の侵入をインターセプト。ランサムウェアRyukとLockerGogaに関係

要約

FireEye Managed Defenseは最近、技術産業のお客様においてFIN6の侵入を検知、対応しました。FIN6はこれまで決済カード・データをターゲットにしていたため、その性質からは外れるように思われました。お客様は決済カードのデータを所有、もしくは処理していなかったため、当初侵入の意図は明らかではありませんでした。幸いなことに、Managed DefenseやMandiantが実施するすべての調査には、数百もの調査や膨大な脅威インテリジェンスで観察された攻撃を相関分析する、FireEye Advanced Practicesチームに所属するアナリストがいます。FireEyeはこの攻撃を最近のMandiantの調査内容と素早く結びつけたことにより、FIN6が侵害した組織からの金銭的利益のために、犯罪対象の企業を拡大してランサムウェアを導入したと判断できました。

このブログ記事では、LockerGogaおよびRyukランサムウェア・ファミリー使用との関係を含む、最新のFIN6の戦術、技術、および手順(TTP)を詳述します。また、脅威インテリジェンスと組み合わせた早期の検知、対応により、Managed Defenseのお客様が、攻撃者の目標が明らかになる前であっても、どのようにして侵入を止めることができるのかも説明します。ここでは、ビジネス中断により何百万ドルもの損害となる可能性があった破壊的な攻撃がManaged Defenseによって阻止された例をとりあげます。

検知と対応

Managed Defenseはお客様のセキュリティ・チームと連携して、関連するログデータを入手し、システム解析結果を共有し、重大な調査質問に回答しました。加えて、お客様はペネトレーション・テストを進めていたので、テストのために許可された活動とFIN6にアトリビューションされる攻撃を線引きするために、さらに詳細な調査が必要でした。お客様はラピッドレスポンスの実施にあたり、該当するシステムの役割と重要性について、価値ある情報を提供しました。ラピッドレスポンスは、Managed Defenseのお客様に、インシデントレスポンスのサポートを提供するサービスです。その主な目的は、どのインシデントレスポンス・サービスとも同じく、特定された攻撃の内容と範囲を明らかにすること、お客様が攻撃者を成功裏に排除できるようにすることです。

Managed DefenseはFireEye Endpoint Securityを活用して、お客様環境内の脅威を検知し、対応しました。その後の調査で、FIN6は当時侵入の初期段階にあり、窃取された認証情報、Cobalt Strike、Metasploit、およびAdfindや7-Zipなどの公開ツールを用いて、内部偵察やデータ圧縮など、目標達成に向けた活動を行おうとしていたことが明らかになりました。

Managed Defenseは、FireEye Endpoint Securityによって侵害が最初に検知された2つのシステムを調査しました。FireEye Endpoint Securityは、最も効果的なエンドポイント検知および対応(EDR)ソリューションとして評価された、業界トップクラスのエンドポイント・セキュリティ・ソリューションです。この攻撃は、検知を回避する攻撃者の活動を見つけるために設計された、包括的なリアルタイム手法シグネチャによって検出されました。このような最初の手がかりからアナリストは、疑わしいSMB接続とWindowsレジストリの痕跡を特定しました。これらは攻撃者がリモート・システムにPowerShellコマンドを実行する不正なWindowsサービスをインストールしたことを示していました。Windowsイベントログのエントリーからは、サービスのインストールを実施したユーザー・アカウントの詳細が明らかになり、ここから追加の侵害インジケーター(IOC)を作成することができました。Managed DefenseはこのIOCを用いて、FIN6が侵害した範囲と、アクセスした他のシステムを特定しました。また、WindowsレジストリのShellbagエントリーから侵害されたシステム上でのFIN6による活動を復元したところ、これは水平展開のための活動であったことがわかりました。

本ブログは、米FireEyeが公開した「Pick-Six: Intercepting a FIN6 Intrusion, an Actor Recently Tied to Ryuk and LockerGoga Ransomware」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。
https://www.fireeye.com/blog/threat-research/2019/04/pick-six-intercepting-a-fin6-intrusion.html