2 ポイント 投稿者 GN⁺ 2023-09-08 | 1件のコメント | WhatsAppで共有
  • Google TAGが追跡している北朝鮮政府の支援を受けているとみられる攻撃者は、脆弱性研究・開発のセキュリティ研究者を継続して狙っており、最近のキャンペーンでも活発に悪用された 0-day が確認された
  • 攻撃者はXで関係を築いた後、Signal、WhatsApp、Wireへ会話を移し、信頼関係ができた研究者に人気ソフトウェアパッケージの0-dayを含む悪意あるファイルを送る
  • エクスプロイト成功後、シェルコードは 仮想マシン検知 を行い、収集した情報とスクリーンショットを攻撃者が制御するC2ドメインへ送信する
  • 別の感染経路と疑われるWindowsツール GetSymbol は、デバッグシンボルのダウンロードユーティリティのように見えるが、攻撃者が制御するドメインから任意コードをダウンロードして実行できる
  • TAGは関連ドメインをSafe Browsingに追加し、標的となったGmail・Workspaceユーザーに 政府支援攻撃者アラート を送り、Chrome Enhanced Safe Browsingとデバイスの更新を推奨している

繰り返されるセキュリティ研究者への標的化

  • Google Threat Analysis Group(TAG)は2021年1月、北朝鮮政府の支援を受けた行為者が0-dayエクスプロイトで 脆弱性研究のセキュリティ研究者 を狙ったキャンペーンを公開したことがある
  • その後2年半にわたり、TAGは同系統のキャンペーンを継続して追跡・遮断し、0-dayを発見してオンラインユーザーを保護してきた
  • 最近確認された 新たなキャンペーン は、過去の活動との類似性から同じ行為者による可能性がある
  • ここ数週間、セキュリティ研究者を狙った攻撃に少なくとも1件の活発に悪用された0-dayが使われており、この脆弱性は影響を受けるベンダーに報告された
  • ベンダーは2023年9月12日にパッチを公開し、TAGはGoogleの公開ポリシーに従って root cause analysis を公開した

ソーシャル関係の構築後に悪意あるファイルを送付

  • 攻撃者は以前のキャンペーンと同様に、Xのような ソーシャルメディア で標的の研究者に先に接触する
    • ある事例では、共通の関心をもとにセキュリティ研究者と数か月にわたり会話を続け、協業を試みた
    • Xで始まった会話は、Signal、WhatsApp、Wireのような暗号化メッセンジャーへ移る
  • 信頼関係が形成されると、攻撃者は人気ソフトウェアパッケージの 0-day を少なくとも1件含む悪意あるファイルを送信する
  • エクスプロイトが成功すると、シェルコードは複数の 仮想マシン回避チェック を実行する
    • その後、収集した情報とスクリーンショットを攻撃者が制御するコマンド・アンド・コントロールドメインへ送る
    • シェルコードの構成方式は、過去の北朝鮮によるエクスプロイトで観測されたシェルコードと類似している

GetSymbolによる潜在的な二次感染経路

  • 攻撃者は0-dayによる標的化とは別に、スタンドアロンのWindowsツールも開発した
  • このツールは、リバースエンジニア向けにMicrosoft、Google、Mozilla、Citrixのシンボルサーバーから デバッグシンボル をダウンロードすることを目的として掲げている
  • ソースコード は2022年9月30日にGitHubで初めて公開され、その後複数の更新が配布された
  • 表向きには、複数のソースからシンボル情報を素早くダウンロードするユーティリティのように見える
    • Symbols はバイナリに関する追加情報を提供し、ソフトウェア問題のデバッグや脆弱性研究に役立つことがある
  • しかしこのツールには、攻撃者が制御するドメインから 任意コードをダウンロードして実行 する機能も含まれている
  • TAGは、このツールをダウンロードまたは実行した場合、システムが既知のクリーンな状態か確認するよう勧告しており、OSの再インストールが必要になる可能性があるとしている

Googleの保護措置

  • TAGは深刻な脅威アクターに対応するための研究成果を、Google製品の 安全性とセキュリティ の改善に活用している
  • 確認されたすべてのWebサイトとドメインは、発見され次第 Safe Browsing に追加され、さらなる悪用からユーザーを保護する
  • 標的となったGmailおよびWorkspaceユーザーには government-backed attacker alerts が送信される
  • 潜在的な標的には、Chromeの Enhanced Safe Browsing を有効にし、すべてのデバイスを最新の状態に保つことが推奨される
  • 戦術や技法への理解が深まるほど、脅威ハンティング能力と業界全体でのユーザー保護も強化されうる

攻撃者が制御するサイトとアカウント

1件のコメント

 
GN⁺ 2023-09-08
Hacker Newsの意見
  • GitHubのgetsymbolツールは214スターを獲得しているのに、悪性ツールだというバナーがまったく見当たらない。
    最近投稿されたIssueにGoogleのブログ記事へのリンクはあるが、それだけ。
    GitHub関係者が見ているなら、このツールと、既知のバックドアがある他のソフトウェア(例:フォーク)にバックドア警告バナーやモーダルを追加することを強く勧める。

    • GitHubに上がっているコードも悪性であり得るし、作者が似た関心を持っているように見えるという理由だけで盲信してはいけない、という良いreminderでもある。
      自分も何度もそうしてきた :(
    • ソースコード自体は比較的クリーンに見え、自動更新機能も確認ダイアログの後ろに置かれているように見える。
      バックドアはバイナリリリースや自動更新バイナリに入っていた可能性のほうがはるかに高い。
      自分でコンパイルした後に自動更新を受け入れると感染し得るし、バイナリは15MBを超えるので、小さなバックドアを隠すには十分すぎる。
    • getsymbolにスターを付けたアカウントを、公開前の時点で分析してみる価値がある。
      他のobscureなプロジェクトとの共通点があれば、それらのアカウントが操り人形アカウントである可能性を示す兆候になり得る。
    • たった今、削除されたように見える。
    • リポジトリをマルウェアとして報告したので、どう処理されるか見てみる。
  • 人気のダウンロードサイトがどれほど信頼できるのか気になる。
    例えばffmpegのWindowsバイナリ[1]は、ある個人サイトでホストされている。
    チェックサムなどは確認できるが、それでも特定のGitコミットと結び付いている保証はない。
    再現可能または証明済みのビルドがない、GitHub以外/非公式ホスティングのダウンロードは、基本的に国家主体だと仮定してしまう。
    自分は偏執的すぎるのだろうか? Linux/Macのパッケージマネージャはこれをどう解決しているのか?
    [1] https://ffmpeg.org/download.html

    • 公式Webサイトに掲載されたバイナリでも、Webサイトがハッキングされてチェックサムまで変えられればやられる。
      実際にLinux Mintでそういうことがあった。
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • なぜGitHubは信頼するのか? GetSymbolツールもそこで215スターを獲得していた。
      Issueを確認しなければ、完全に正常に見える。
      https://github.com/dbgsymbol/getsymbol
    • mpvにも同じ問題がある: https://mpv.io/installation/
      WindowsダウンロードはSourceForgeの「shinchiro」が提供し、MacOSダウンロードはstolendata.netの「stolendata」が提供している。
    • Linux/Macのパッケージマネージャは、ソースからバイナリをビルドして自分たちのサーバーでホストする方式で解決しているのでは?
    • この分野の検索語/バズワードは再現可能ビルド(Reproducible Builds)
      まだ初期段階に近い。
  • 衝撃的でも新しくもないが、興味深くはある。
    なぜセキュリティ研究者に0-dayを使ったのだろう? 私の推測では、利点のあるテストなのだと思う。
    セキュリティ研究者に効けば良い脆弱性だと見て実戦投入できるし、長期的にはその研究者から1+x個の0-dayを得られる可能性も計算していたはず。
    セキュリティ研究者の側にとっても興味深い状況だ。
    十分に慎重で、十分に愚かなふりができるなら、新鮮な攻撃ベクトルや0-dayを「無料で」収穫できるかもしれないが、自分を過大評価すればすぐにやられる。

    • セキュリティ研究者はたいてい0-dayをより多く持っている。
    • あるいは単に、対象が持っているアクセス権限を狙ったのかもしれない。
    • これは北朝鮮が0-dayの市場価格を払いたくなかったからに違いない。
  • このツールには、攻撃者が管理するドメインから任意のコードをダウンロードして実行する機能もある。
    別の言い方をすれば、自動更新だ。
    Big Techが大衆にこうした依存を受け入れるよう刷り込んだり、選択肢を強制的になくしてくれたおかげで、今ではその依存的で信頼し切った態度がセキュリティ研究者にまで広がり、しっぺ返しを食らっているのは皮肉だ。
    私たちの一部は、こういう態度がどこへ向かうかを最初から分かっていたし、全員がセキュリティ研究者だったわけでもない。
    ただ、誰かが私たちのマシンに何かを押し込み、実行することを許したときに生じる別の負の影響を見てきて、両者を結び付けただけだ。

  • 完全な推測だが、新しいmacOSセキュリティアップデートがたった今出ていて、こういう内容が含まれている。
    「影響:悪意を持って作成された画像を処理すると、任意コード実行につながる可能性がある。Appleは、この問題が実際に悪用された可能性があるという報告を認識している。」
    https://support.apple.com/en-us/HT213906
    賭ける人間ではないが、議論中の脆弱性はまさにこれだと推測している。

    • 賭ける人間じゃなくてよかった。賭けていたら負けていただろうから。
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
    • iPad/iPhone OSにもアップデートが出ており、追加のWallet問題が言及されているので、結局関係ない可能性もある。
      https://support.apple.com/en-us/HT213905
    • 実環境で発見された新しいNSOゼロクリックエクスプロイトの発表がちょうどあったので、おそらくそちらが理由である可能性が高い。
  • 気になるのはこれ。
    この北朝鮮の人たちは、0-dayを見つけるには事実上必要だから、制限のないインターネットアクセス権を持っているのは明らかだし、英語も少なくとも理解しているのは明らか。
    なのに、国家メディアが隠していることを見せるメディアに、どうして偶然触れなかったのだろう?

    • 「われわれの秘密工作員は全員忠実な愛国者で、向こうの工作員は全員洗脳された人質だ!」
      現実的には、ほかの国の情報機関と同じように、当然愛国心を見て採用するはず。
      この質問は、米国の情報工作員が北朝鮮についてプロパガンダ以上の情報に触れていながら、北朝鮮のよりよい医療保障、銃乱射のない学校、よりよいごみ管理を理由に北朝鮮へ亡命しないのはなぜか、と聞くのに似ている。
      彼らは北朝鮮社会で良く見える側面に価値を置いていないし、それが特定の状況で本当により良いとも信じていない可能性が高い。
      北朝鮮の情報機関だけが違う理由はあまり見当たらない。
    • 北朝鮮の情報機関が西側メディアの内容を知らないと思っているのだろうか?
      おそらく知っているはず。
      彼らを統制する別の手段があり、ニンジンは北朝鮮内での特権、ムチは一線を越えたときに本人と家族に降りかかる結果だ。
    • 選択肢は多くなさそう。
      より自由な国へ行くのは北朝鮮の人なら誰にとっても難しいし、ニンジンとムチのせいでハッキングをただ辞めることもできないはず。
      おそらく綿密に監視されている可能性が高い。
      一部は本当にプロパガンダを信じているかもしれないし、この人たちはかなり良い待遇を受けていそうだ。
    • 西側のプロパガンダ機関が北朝鮮について垂れ流す狂った内容を見て、むしろ安心することもあるかもしれない。
      だからといって北朝鮮の過ちが免罪されるわけではない。
    • 優れたBBCのポッドキャスト The Lazarus Heist では、北朝鮮ハッカーの生活をある程度扱っている: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      彼らは職場で綿密に監視され、家族への脅しを受けることも多い。
  • セキュリティ研究者が、チャットで見知らぬ相手から受け取ったWindowsバイナリを実行する可能性がどれくらいあるのか気になる。
    これはセキュリティ入門以前に、今では単なる常識に近い。
    むしろ研究者たちは安全な環境でそのバイナリをいじる機会を得たのではないかと思う。
    攻撃者がソースコードを公開していたなら、わざわざリバースエンジニアリングする必要もなかったはず。
    善良なブラックハットたちだね。
    そういえば、リンク先のリポジトリでエクスプロイトを探してくれる人はいる? 何をしているのか気になるけど、全ファイルをざっと見るのは面倒。
    元記事もそのリンクを貼って、このプロジェクトが北朝鮮ハッカーとつながっていると判断した根拠を説明できたはずなのに。

    • 思ったよりずっと頻繁に起きる。
      若い情報セキュリティ実務者はOSCPやeJPTのような資格を取るよう勧められ、こういう資格ビジネスの世界では既知のボックスを攻略しなければならないことが多い。
      そのためDiscordサーバーで互いに「助け合う」文化が生まれ、その助けの一部はバイナリや難読化されたソースコードの形をしている。
      それをペネトレーションテスト業務用のノートPCで実行する。
      そのノートPCにはレポート作成サーバーに入るSSHキーがあり、最終的に侵害されると、北朝鮮が米国の民間企業データや脆弱性にアクセスできるようになる。
      実際にこういうことを見たことがあるかもしれない。
    • 彼らが言っていた脅威はそれではない。
      あるプログラムが読み込む文書が0-dayを悪用していて、その文書を受け取ったという話だ。
    • このプロジェクトが北朝鮮ハッカーとつながっている根拠を尋ねるなら、十分な確信を持ってattributionを行いながら手法を公開しない場合、今後も有用であり得る情報源や指標を潰したくないのだ、とかなり合理的に推測できる。
      公開すれば、おそらくもう使い物にならなくなるからだ。
    • 「脅威アクターが、人気ソフトウェアパッケージの少なくとも1つの0-dayを含む悪性ファイルを送った」というのは、つまり実行ファイルではなかったという意味だ。
    • セキュリティ入門の核心は、いつかは誰もがミスをするということだ。誰もが
      セキュリティ研究者の環境がうまく設計されていなければ、予算の問題であれ不注意であれ、そうしたことは実際に起こり、攻撃者はものすごい速さでおいしい中身にたどり着ける。
  • 研究者たちがこうしたキャンペーンをあまりに平然とattributionしているのが心配だ。
    attributionの方法論は決して教えてくれないのに、非技術者が最も注目するのはいつもそのattributionだ。
    この記事を見ても、最初の2語がattributionされたアクターになっている。
    しかし、それを証明する方法はまったくない。
    インターネット上でのattributionは本当に、本当に、本当に難しい。
    それがどれほど難しいのかも、われわれが正しかったのか間違っていたのかを独立して判断する方法がないので分からない。
    attributionが政治的動機と無関係だと思うのは愚かだ。

    • Citlabは商用セキュリティインテリジェンスを得るために複数の民間データブローカーと協力しており、報告書でもしばしば参照されている。
      これを踏まえると、attributionはおおむね正確だと仮定している。
      ただ一歩引いて客観的に見ると、そのインテリジェンスの出所がプライバシー侵害的である点で、かなり偽善的に見える。
  • 北朝鮮は国民全体のコンピューティング教育水準がそれほど高くないのに、こういうことができるだけの高度なハッカーやサイバーセキュリティ人材を十分に見つけているのが驚きだ。

    • 北朝鮮の専門家から読んだところでは、北朝鮮は意図的にハッカーを集中的に育成している。
      北朝鮮の子どもに数学の才能が見られると監視対象になり、十分に優秀なら特殊数学学校へ送られ、事実上それ以外のことはほとんど学ばない。
      その後、唯一の技術大学へ送られ、数年間コンピュータプログラミングを集中的に学ぶ。
      基準を満たすと中国へ送られ、より良いインターネットアクセスを使って、MMORPGのゴールド窃盗からフィッシング攻撃、0-day探索まで行う。
      1日12時間、継続的な成果プレッシャー、狭い寮生活という陰鬱な生活に聞こえる。
      つまりSilicon Valleyにちょっと似ている ;)
    • 裕福だったりコネのある北朝鮮の人々は、西側や中国の複数の名門校で教育を受けている。
      最高独裁者でさえ、スイスで中学・高校に通っていた。
    • 周辺国のいずれかの人材プールを利用している可能性はほぼ確実にある。
  • 「発見され次第、確認されたすべてのウェブサイトとドメインは、ユーザーを追加の悪用から保護するためにSafe Browsingへ追加される。」
    Braveブラウザでは、dbgsymbol.comにSafe Browsing警告は表示されない。
    警告: 未知のベクター。

    • Safe Browsingはハッキング検知用ではなく、Googleがユーザーを簡単に監視するためのものだ。