Blog

Inside the SOC

Akiraランサムウェア:Darktrace がさらなる斬新なランサムウェア攻撃を自律阻止した方法

Default blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog image
13
Sep 2023
13
Sep 2023
このブログでは、2023年3月に初めて野生で観測された新種のAkiraランサムウェアについて調査し、Darktraceがこのようなランサムウェア攻撃を自律的に特定し、封じ込めるためにどのようにユニークな技術を使っているかを探ります。

脅威ランドスケープ:ランサムウェアの新種

新種のランサムウェアが絶えることなく生産され続けているように見える中、脅威に対処するセキュリティチームは、ネットワークを標的とした無数の新種や新グループを目にし続けています。当然ながら、新たな亜種や脅威グループは、個々の組織にユニークな課題をもたらします。これまでには見られなかった戦術、技術、手順(TTP)が使用されるため、脅威アクターは従来のルールやシグネチャベースのセキュリティソリューションを完全に回避できてしまうことが多いことを意味し、その結果組織のデジタル環境は攻撃に対して脆弱になります。

Akira ランサムウェアとは?

新たなランサムウェアファミリーのそのような例の1つが、2023年3月に初めて野生で観測されたAkiraです。他の多くの系統と同様に、Akiraは世界中の企業ネットワークを標的にし、機密ファイルを暗号化し、データを取り出してオンラインに投稿されないようにするために巨額の金銭を要求することでよく知られています [1]。

2023年5月下旬、Darktraceは、顧客ベース全体のネットワークに影響を及ぼすAkiraランサムウェアの複数のインスタンスを観測しました。脅威検知へのアノマリベースのアプローチのおかげで、Darktrace DETECT™ は新奇なランサムウェア攻撃の特定に成功し、最初の侵害から最終的なファイルの暗号化と身代金のメモに至るまで、サイバーキルチェーン上の完全な可視性を提供しました。

新型ランサムウェア攻撃の特定に成功し、最初の侵害から最終的なファイル暗号化および身代金請求書まで、サイバーキルチェーンを完全に可視化しました。Darktrace RESPOND™が自律応答モードで有効になっているケースでは、これらの攻撃は攻撃の初期段階で軽減され、顧客ネットワークへの混乱や損害を最小限に抑えることができました。

初期アクセスと権限昇格

Akiraランサムウェアグループは、通常、悪意のあるダウンロードやリンクを含むスピアフィッシングキャンペーンを主要な初期アクセスベクターとして使用しますが、リモートデスクトッププロトコル(RDP)のブルートフォース攻撃を使用してターゲットネットワークにアクセスすることでも知られています [2]。

Darktraceは以下に詳述する初期アクセス活動を観測していますが、実際の初期侵入はこれより前に、Darktraceの権限外にある標的型フィッシング攻撃によって起こった可能性が非常に高いです。 Darktraceが影響を受けた顧客のネットワーク上で観測した最初の侵害の指標(IoC)は、通常とは異なるRDPセッションと、侵害された管理者認証情報の使用でした。

あるDarktrace顧客のネットワーク(顧客A)において、Darktrace DETECTは、2023年5月21日に内部サーバーで初めて使用された高度な特権クレデンシャルを特定しました。約1週間後、このサーバーは、ポート3389を介して複数の内部宛先デバイスとRDP接続を確立していることが確認されました。顧客はさらに調査を進め、このクレデンシャルが本当に漏えいしていたことを突き止めました。5月30日、Darktraceは別のデバイスが内部デバイスをスキャンし、Kerberos経由の認証に繰り返し失敗していることを検知しました。

この顧客はDarktraceをMicrosoft Defenderと統合していたため、同社のセキュリティチームはMicrosoftから追加のサイバー脅威インテリジェンスを受け取り、Darktraceが提供する異常のアラートと組み合わせることで、これらの異常なイベントをさらに文脈化するのに役立ちました。この統合から得られた具体的な詳細の1つは、異常なスキャンアクティビティと認証の失敗が、前述の侵害された管理者認証情報を使用して実行されたことでした。

Microsoft DefenderとDarktraceを統合することで、顧客はデジタルインフラ全体のセキュリティギャップを効率的に埋めることができます。Darktraceは顧客の環境を理解し、ネットワークレベルで貴重な洞察を提供しますが、Microsoft Defenderと統合することにより、顧客はエンドポイント固有の情報とアクティビティでこれらの洞察をさらに充実させることができます。

別の顧客のネットワーク(顧客B)では、Darktraceは、後に身代金メモの書き込みが確認されたデバイスが、別の内部デバイスから異常なRDP接続を受信していることを検知しました。このアクティビティで使用されたRDPクッキーは、侵害されたと思われる管理用RDPクッキーでした。このデバイスはまた api.playanext[.]com というドメインに複数の接続を行い、AnyDesk/7.1.11 というユーザーエージェントを使用していることが確認されており、これはAnyDeskリモートデスクトップサービスの使用を示しています。

この外部ドメインはAkiraランサムウェアに直接関連しているようには見えませんが、オープンソースインテリジェンス(OSINT)は複数の悪意のあるファイルとの関連性を発見し、AnyDeskユーザーエージェント、AnyDesk/6.0.1 [3] と関連しているように見えました。このエンドポイントへの接続は、Akiraコマンド・アンド・コントロール(C2)インフラストラクチャまたはペイロードではなく、顧客のデバイスをリモートで制御するためのAnyDeskの悪意のある使用を表している可能性が高いです。あるいは、脅威アクターがセキュリティツールに検知されないように、正規のリモートデスクトップサービスに偽装している可能性があります。

同じ頃、Darktraceは顧客Bのネットワーク上の多くのデバイスが、異常な内部RDP接続を行い、同じ管理者クレデンシャルを使用してKerberos、NTLM、またはSMB経由で認証していることを観測しました。これらのデバイスは、後にAkiraランサムウェアに感染していることが確認されました。

図 1 は、Darktrace がこれらの内部デバイスの 1 つが、特定のクレデンシャルを使用して SMB 経由で複数回ログインに失敗したこと(SMB/NTLM ブルートフォースの可能性を示す)を検知した後、前述の侵害された可能性の高い管理者クレデンシャルを使用して SMB、NTLM、RDP 経由で他の内部デバイスへのアクセスに成功したことを示しています。

図1:Darktrace DETECTモデルの侵害につながった、異なるクレデンシャルが検知された異常なSMB、NTLM、RDPアクティビティを示すモデルブリーチイベントログである「異常な管理者RDPセッション」および「管理者ブルートフォースアクティビティの成功」

Darktrace DETECTが初期アクセスと特権昇格のために観測したモデル:

  • Device / Anomalous RDP Followed By Multiple Model Breaches
  • Anomalous Connection / Unusual Admin RDP Session
  • New Admin Credentials on Server
  • Possible SMB/NTLM Brute Force Indicator
  • Unusual Activity / Successful Admin Brute-Force Activity

内部偵察とラテラルムーブメント

Darktraceが顧客全体でAkiraランサムウェア攻撃の間に観察した次のステップは、内部偵察とラテラルムーブメントでした。

別の顧客(顧客C)の環境では、漏えいしたクレデンシャルを使用してNTLM経由で認証した後、ドメインコントローラが以前にアクセスしたことのない大量のSMB共有にアクセスする様子が観察されました。Darktrace DETECT は、この SMB アクティビティがデバイスの予期された動作の逸脱であることを理解し、SMB エニュメレーションを示す可能性があることを認識しました。Darktraceは、デバイスがポート445を介して34のユニークな内部IPに少なくとも196の接続を行うことを観察しました。これらの接続中、SMBアクションの読み取り、書き込み、および削除が観察されました。このドメインコントローラはまた、RDPプロトコルを使用してポート3389を介して外部エンドポイントから着信接続を受信した顧客のネットワーク上の多くのデバイスの1つであり、デバイスがネットワーク外部からリモートで制御されている可能性が高いことを示していました。このエンドポイントとAkiraランサムウェアとの直接的なOSINTリンクはありませんでしたが、問題のドメインコントローラは後に侵害されていることが確認され、攻撃のこの段階で重要な役割を果たしていました。

さらに、これはDarktraceが観測した2つ目のIoCであり、Akiraとの明らかな関連性はなく、Akiraのアクターが攻撃を実行するために全く新しいインフラを構築しているか、あるいは新たに侵害された正規のインフラを利用している可能性が高いことを示しています。Darktrace DETECTは、脅威検知にアノマリベースのアプローチを採用しているため、過去に観測されたIoCや「既知の悪者」のリストに依存するのではなく、その異常度に基づいて、新たなランサムウェア攻撃を示す不審な活動を即座に認識することができます。

Darktraceはさらに、主に他の内部宛先への不審なファイルのSMB書き込みを介して、この時期に横方向の移動に関連する活動の慌ただしさを観察しました。顧客Cのネットワーク上のある特定のデバイスが、複数の実行可能ファイル(.exe)とスクリプトファイルをSMB経由で他の内部デバイスに転送していることが検知されました。

Darktraceは、これらの転送がデバイスの通常のSMBアクティビティからの逸脱であり、脅威アクターが悪意のあるソフトウェアの転送を介して追加のデバイスを侵害しようとしていることを示している可能性があることを認識しました。

図2:Advanced Search の結果、不審なSMB書き込みアクティビティに関連する20のファイルが表示され、その中には実行可能ファイルとダイナミックリンクライブラリ(DLL)が含まれている

Darktrace DETECTが内部偵察と横方向への移動のために観測したモデル:

  • Device / RDP Scan
  • Anomalous Connection / SMB Enumeration
  • Anomalous Connection / Possible Share Enumeration Activity
  • Scanning of Multiple Devices (Cyber AI Analyst Incident)
  • Device / Possible SMB/NTLM Reconnaissance
  • Compliance / Incoming Remote Desktop
  • Compliance / Outgoing NTLM Request from DC
  • Unusual Activity / Internal Data Transfer
  • Security Integration / Lateral Movement and Integration Detection
  • Device / Anomalous SMB Followed By Multiple Model Breaches

ランサムウェアの展開

Darktraceの顧客ネットワークで検知されたAkiraランサムウェア攻撃の最終段階で、Darktrace DETECTは、影響を受けたネットワーク共有上のさまざまなファイルに暗号化後に追加されるファイル拡張子 .akira、および影響を受けたデバイス上にドロップされる akira_readme.txt というタイトルのランサムノートを確認しました。

顧客Aのネットワークでは、約9,000回のログイン失敗と2,000回のスキャン活動を示す内部接続試行の後、1台のデバイスがSMBを介して他の内部デバイスに不審なファイルを転送していることが検知されました。このデバイスはその後、SMB経由で別の内部デバイスに接続し、ネットワーク共有上のファイルを .akira 拡張子で追加したり、他の内部デバイス上のSMB共有に不審な書き込みを行うなど、不審なファイル活動を継続していることが確認されました。

Darktraceの自律型脅威調査ツールであるCyber AI Analyst™は、この暗号化アクティビティに関連する複数のイベントを分析し、1つのAI Analystインシデントに照合することができ、Darktraceの最初の検知から10分以内にインシデント全体の詳細かつ包括的な要約を提示しました。AI Analystは、個々の侵害を単に単独の活動として見るのではなく、進行中の攻撃の個々のステップを特定し、新たな侵害とそのキルチェーンを完全に可視化することができます。これはネットワークの防御を強化するだけでなく、AI Analystが実施する自律的な調査は、進行中のインシデントのトリアージと監視におけるセキュリティチームの時間とリソースの節約にも役立ちます。

図3:Darktrace Cyber AI Analystのインシデントは、Akiraランサムウェアの暗号化アクティビティを示すために、複数のモデルブリーチを一緒に相関させた

Darktrace DETECTモデルブリーチの分析とコンパイルに加えて、AI AnalystはMicrosoft Defenderが提供するホストレベルの洞察も活用して、暗号化イベントの調査を充実させました。Security Integrationモデルの侵害を使用することで、AI AnalystはDefenderのアラートからタイムスタンプとデバイスの詳細を取得し、さらにアラートにまつわる異常な活動を調査して、疑わしい活動の全体像を示すことができます。

顧客Bの環境では、AnyDeskユーザーエージェントを使用した異常なRDPセッションと稀な外部接続の後、感染したデバイスが複数の内部SMB共有にakira_readme.txt という名前の約2,000個のファイルを書き込んでいるのが観察されました。これは、悪意のあるアクターが身代金のメモを投下していることを表しており、脅威アクターの要求と恐喝の試みが含まれています。

図 4: 2023 年 5 月 12 日に検知されたランサムノートを示すモデルブリーチイベントログ。Darktrace DETECT モデルブリーチ(Anomalous Server Activity / Write to Network Accessible WebRoot)の原因となった
Figure 5: Packet Capture (PCAP) demonstrating the Akira ransom note captured from the connection details seen in Figure 4.

この継続的な活動の結果、侵害を示す可能性が高い活動を検知する高忠実度のDETECTモデルタイプであるEnhanced Monitoringモデルの違反がDarktraceのセキュリティオペレーションセンター(SOC)にエスカレーションされ、Darktraceはこのランサムウェア活動をさらに調査し、トリアージすることができました。DarktraceのPTN(プロアクティブ脅威通知)サービスに加入している顧客は、SOCチームからのアラートを受信し、緊急のフォローアップ措置をアドバイスします。

ランサムウェアの展開中に観察されたDarktrace DETECTモデル:

  • Security Integration / Integration Ransomware Incident
  • Security Integration / High Severity Integration Detection
  • Security Integration / Integration Ransomware Detected
  • Device / Suspicious File Writes to Multiple Hidden SMB Shares
  • Compliance / SMB Drive Write
  • Compromise / Ransomware / Suspicious SMB Activity (Proactive Threat Notification Alerted by the Darktrace SOC)
  • Anomalous File / Internal / Additional Extension Appended to SMB File
  • Anomalous File / Internal / Unusual SMB Script Write
  • Compromise / Ransomware / Ransom or Offensive Words Written to SMB
  • Anomalous Server Activity /Write to Network Accessible WebRoot
  • Anomalous Server Activity /Write to Network Accessible WebRoot

Darktrace RESPOND

Darktraceが自律遮断モードで設定されている場合、RESPONDは、悪意のあるアクターの足跡を止め、最終目標の達成を阻止する即時の自律行動で、DETECTによる成功した脅威識別をフォローアップすることができます。

上記のAkiraの影響を受けたDarktraceの顧客の例では、顧客Aのみがランサムウェア攻撃の間、RESPONDの自律遮断モードを有効にしていました。Darktrace RESPOND の自律遮断機能は、ランサムウェアの影響を受けたデバイスに複数の標的型アクションを実行し、ビジネスの中断を最小限に抑えるのに役立ちました。

RESPONDによって実行されたアクションの1つは、影響を受けたデバイスからのすべての進行中のトラフィックをブロックすることでした。そうすることで、Darktrace は Akira に感染したデバイスと脅威アクターが使用する悪意のあるインフラストラクチャ間の通信を効果的にシャットダウンし、クライアントネットワーク上のデータや脅威アクターのペイロードの拡散を防止したのです。

この顧客のネットワークで適用されたもう1つの重要なRESPONDアクションは、Akiraの影響を受けたデバイスに生活パターンの強制(Enforce a Pattern of Life)を適用することでした。このアクションは、デバイスが期待される動作から逸脱するようなアクティビティを実行しないようにする一方で、混乱を引き起こすことなく「通常の」ビジネスオペレーションを継続できるようにするためのものです。

顧客Aのネットワークへの攻撃の最初の侵入は、おそらくDarktraceの可視性の範囲外でしたが、Darktrace RESPONDはAkiraによる混乱を最小限に抑え、ランサムウェアを封じ込め、顧客がさらに調査と修復を行うことを可能にしました。

Darktrace RESPOND モデルブリーチ:

  • Antigena / Network / External Threat / Antigena Ransomware Block
  • Antigena / Network / External Threat / Antigena Suspicious Activity Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Server Block
  • Antigena / Network / External Threat / Antigena Suspicious Activity Block
  • Antigena / Network / External Threat / Antigena File then New Outbound Block
  • Antigena / Network / Insider Threat / Antigena Unusual Privileged User Activities Block
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network /Insider Threat /Antigena SMB Enumeration Block

結論

Akiraのような新種のランサムウェアは、攻撃手法や手口が常に進化しているため、世界中のセキュリティチームにとって大きな課題となっています。   

したがって、悪意のあるIoCのルール、シグネチャ、統計リストにのみ依存することなく、ランサムウェア攻撃の兆候となり得る異常なアクティビティを識別できるインテリジェントな意思決定者を中心に設計されたテクノロジーを採用することが組織にとって最も重要です。

Darktrace DETECTは、脅威アクターが悪意のある活動を実行するために一見合法的なサービス(またはそのなりすましバージョン)を利用していた場合でも、複数の顧客ネットワーク上の攻撃のキルチェーンのあらゆる段階でAkiraランサムウェアを特定しました。これは従来のセキュリティツールでは気づかれなかったかもしれませんが、Darktraceのアノマリーベースの検知機能により、悪意のある活動を正確に認識することができました。自律遮断モードを有効にすると、Darktrace RESPONDは、ランサムウェアの拡散を阻止し、顧客のネットワークに与える損害を最小限に抑えるために、マシンスピードの予防措置で最初の検知を即座にフォローアップすることができます。   

斬新なサイバー攻撃を完全防御するための特効薬はありませんが、Darktraceの脅威検知と自律遮断機能に対するアノマリベースのアプローチは、待ち時間なしでサイバー破壊を検知し、遮断するためのユニークな措置です。

寄稿者:Manoel Kadja(サイバーアナリスト)、Nahisha Nobregas(SOCアナリスト)

付録

IOC - Type - Description/Confidence

202.175.136[.]197 - External destination IP -Incoming RDP Connection

api.playanext[.]com - External hostname - Possible RDP Host

.akira - File Extension - Akira Ransomware Extension

akira_readme.txt - Text File - Akira Ransom Note

AnyDesk/7.1.11 - User Agent -AnyDesk User Agent

MITRE ATT&CK マッピング

Tactic & Technique

探索

T1083 - File and Directory Discovery

T1046 - Network Service Scanning

T1135 - Network Share Discovery

RECONNAISSANCE

T1595.002 - Vulnerability Scanning

CREDENTIAL ACCESS, COLLECTION

T1557.001 - LLMNR/NBT-NS Poisoning and SMB Relay

DEFENSE EVASION, LATERAL MOVEMENT

T1550.002 - Pass the Hash

DEFENSE EVASION, PERSISTENCE, PRIVILEGE ESCALATION, INITIAL ACCESS

T1078 - Valid Accounts

DEFENSE EVASION

T1006 - Direct Volume Access

LATERAL MOVEMENT

T1563.002 - RDP Hijacking

T1021.001 - Remote Desktop Protocol

T1080 - Taint Shared Content

T1021.002 - SMB/Windows Admin Shares

INITIAL ACCESS

T1190 - Exploit Public-Facing Application

T1199 - Trusted Relationship

PERSISTENCE, INITIAL ACCESS

T1133 - External Remote Services

PERSISTENCE

T1505.003 - Web Shell

IMPACT

T1486 - Data Encrypted for Impact

参考文献

[1] https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/

[2] https://www.civilsdaily.com/news/cert-in-warns-against-akira-ransomware/#:~:text=Spread%20Methods%3A%20Akira%20ransomware%20is,Desktop%20connections%20to%20infiltrate%20systems

[3] https://hybrid-analysis.com/sample/0ee9baef94c80647eed30fa463447f000ec1f50a49eecfb71df277a2ca1fe4db?environmentId=100

INSIDE THE SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
AUTHOR
ABOUT ThE AUTHOR
Manoel Kadja
Cyber Analyst
Book a 1-1 meeting with one of our experts
この記事を共有
USE CASES
該当する項目はありません。
PRODUCT SPOTLIGHT
該当する項目はありません。
COre coverage
該当する項目はありません。

More in this series

該当する項目はありません。

Blog

Inside the SOC

Gootloader Malware: Detecting and Containing Multi-Functional Threats with Darktrace

Default blog imageDefault blog image
15
Feb 2024

What is multi-functional malware?

While traditional malware variants were designed with one specific objective in mind, the emergence of multi-functional malware, such as loader malware, means that organizations are likely to be confronted with multiple malicious tools and strains of malware at once. These threats often have non-linear attack patterns and kill chains that can quickly adapt and progress quicker than human security teams are able to react. Therefore, it is more important than ever for organizations to adopt an anomaly approach to combat increasingly versatile and fast-moving threats.

Example of Multi-functional malware

One example of a multi-functional malware recently observed by Darktrace can be seen in Gootloader, a multi-payload loader variant that has been observed in the wild since 2020. It is known to primarily target Windows-based systems across multiple industries in the US, Canada, France, Germany, and South Korea [1].  

How does Gootloader malware work?

Once installed on a target network, Gootloader can download additional malicious payloads that allow threat actors to carry out a range of harmful activities, such as stealing sensitive information or encrypting files for ransom.

The Gootloader malware is known to infect networks via search engine optimization (SEO) poisoning, directing users searching for legitimate documents to compromised websites hosting a malicious payload masquerading as the desired file.

If the malware remains undetected, it paves the way for a second stage payload known as Gootkit, which functions as a banking trojan and information-stealer, or other malware tools including Cobalt Strike and Osiris [2].

Darktrace detection of Gootloader malware

In late 2023, Darktrace observed one instance of Gootloader affecting a customer in the US. Thanks to its anomaly-focused approach, Darktrace DETECT™ quickly identified the anomalous activity surrounding this emerging attack and brought it to the immediate attention of the customer’s security team. All the while, Darktrace RESPOND™ was in place and able to autonomously intervene, containing the suspicious activity and ensuring the Gootloader compromise could not progress any further.

In September 2023, Darktrace identified an instance of the Gootloader malware attempting to propagate within the network of a customer in the US. Darktrace identified the first indications of the compromise when it detected a device beaconing to an unusual external location and performing network scanning. Following this, the device was observed making additional command-and-control (C2) connections, before finally downloading an executable (.exe) file which likely represented the download of a further malicious payload.

As this customer had subscribed to the Proactive Notification Service (PTN), the suspicious activity was escalated to the Darktrace Security Operations Center (SOC) for further investigation by Darktrace’s expert analysts. The SOC team were able to promptly triage the incident and advise urgent follow-up actions.

Gootloader Attack Overview

Figure 1: Timeline of Anomalous Activities seen on the breach device.

Initial Beaconing and Scanning Activity

On September 21, 2023, Darktrace observed the first indications of compromise on the network when a device began to make regular connections to an external endpoint that was considered extremely rare for the network, namely ‘analyzetest[.]ir’.

Although the endpoint did not overtly seem malicious in nature (it appeared to be related to laboratory testing), Darktrace recognized that it had never previously been seen on the customer’s network and therefore should be treated with caution.  This initial beaconing activity was just the beginning of the malicious C2 communications, with several additional instances of beaconing detected to numerous suspicious endpoints, including funadhoo.gov[.]mv, tdgroup[.]ru’ and ‘army.mil[.]ng.

Figure 2: Initial beaconing activity detected on the breach device.

Soon thereafter, Darktrace detected the device performing internal reconnaissance, with an unusually large number of connections to other internal locations observed. This scanning activity appeared to primarily be targeting the SMB protocol by scanning port 445.

Within seconds of DETECT’s detection of this suspicious SMB scanning activity, Darktrace RESPOND moved to contain the compromise by blocking the device from connecting to port 445 and enforcing its ‘pattern of life’. Darktrace’s Self-Learning AI enables it to learn a device’s normal behavior and recognize if it deviates from this; by enforcing a pattern of life on an affected device, malicious activity is inhibited but the device is allowed to continue its expected activity, minimizing disruption to business operations.

Figure 3: The breach device Model Breach Event Log showing Darktrace DETECT identifying suspicious SMB scanning activity and the corresponding RESPOND actions.

Following the initial detection of this anomalous activity, Darktrace’s Cyber AI Analyst launched an autonomous investigation into the beaconing and scanning activity and was able to connect these seemingly separate events into one incident. AI Analyst analyzes thousands of connections to hundreds of different endpoints at machine speed and then summarizes its findings in a single pane of glass, giving customers the necessary information to assess the threat and begin remediation if necessary. This significantly lessens the burden for human security teams, saving them previous time and resources, while ensuring they maintain full visibility over any suspicious activity on their network.

Figure 4: Cyber AI Analyst incident log summarizing the technical details of the device’s beaconing and scanning behavior.

Beaconing Continues

Darktrace continued to observe the device carrying out beaconing activity over the next few days, likely representing threat actors attempting to establish communication with their malicious infrastructure and setting up a foothold within the customer’s environment. In one such example, the device was seen connecting to the suspicious endpoint ‘fysiotherapie-panken[.]nl’. Multiple open-source intelligence (OSINT) vendors reported this endpoint to be a known malware delivery host [3].

Once again, Darktrace RESPOND was in place to quickly intervene in response to these suspicious external connection attempts. Over the course of several days, RESPOND blocked the offending device from connecting to suspicious endpoints via port 443 and enforced its pattern of life. These autonomous actions by RESPOND effectively mitigated and contained the attack, preventing it from escalating further along the kill chain and providing the customer’s security team crucial time to take act and employ their own remediation.

Figure 5: A sample of the autonomous RESPOND actions that was applied on the affected device.

Possible Payload Retrieval

A few days later, on September 26, 2023, Darktrace observed the affected device attempting to download a Windows Portable Executable via file transfer protocol (FTP) from the external location ‘ftp2[.]sim-networks[.]com’, which had never previously been seen on the network. This download likely represented the next step in the Gootloader infection, wherein additional malicious tooling is downloaded to further cement the malicious actors’ control over the device. In response, Darktrace RESPOND immediately blocked the device from making any external connections, ensuring it could not download any suspicious files that may have rapidly escalated the attackers’ efforts.

Figure 6: DETECT’s identification of the offending device downloading a suspicious executable file via FTP.

The observed combination of beaconing activity and a suspicious file download triggered an Enhanced Monitoring breach, a high-fidelity DETECT model designed to detect activities that are more likely to be indicative of compromise. These models are monitored by the Darktrace SOC round the clock and investigated by Darktrace’s expert team of analysts as soon as suspicious activity emerges.

In this case, Darktrace’s SOC triaged the emerging activity and sent an additional notice directly to the customer’s security team, informing them of the compromise and advising on next steps. As this customer had subscribed to Darktrace’s Ask the Expert (ATE) service, they also had a team of expert analysts available to them at any time to aid their investigations.

Figure 7: Enhanced Monitoring Model investigated by the Darktrace SOC.

結論

Loader malware variants such as Gootloader often lay the groundwork for further, potentially more severe threats to be deployed within compromised networks. As such, it is crucial for organizations and their security teams to identify these threats as soon as they emerge and ensure they are effectively contained before additional payloads, like information-stealing malware or ransomware, can be downloaded.

In this instance, Darktrace demonstrated its value when faced with a multi-payload threat by detecting Gootloader at the earliest stage and responding to it with swift targeted actions, halting any suspicious connections and preventing the download of any additional malicious tooling.

Darktrace DETECT recognized that the beaconing and scanning activity performed by the affected device represented a deviation from its expected behavior and was indicative of a potential network compromise. Meanwhile, Darktrace RESPOND ensured that any suspicious activity was promptly shut down, buying crucial time for the customer’s security team to work with Darktrace’s SOC to investigate the threat and quarantine the compromised device.

Credit to: Ashiq Shafee, Cyber Security Analyst, Qing Hong Kwa, Senior Cyber Analyst and Deputy Analyst Team Lead, Singapore

付録

Darktrace DETECT によるモデル検知

Anomalous Connection / Rare External SSL Self-Signed

Device / Suspicious SMB Scanning Activity

Anomalous Connection / Young or Invalid Certificate SSL Connections to Rare

Compromise / High Volume of Connections with Beacon Score

Compromise / Beacon to Young Endpoint

Compromise / Beaconing Activity To External Rare

Compromise / Slow Beaconing Activity To External Rare

Compromise / Beacon for 4 Days

Anomalous Connection / Suspicious Expired SSL

Anomalous Connection / Multiple Failed Connections to Rare Endpoint

Compromise / Sustained SSL or HTTP Increase

Compromise / Large Number of Suspicious Successful Connections

Compromise / Large Number of Suspicious Failed Connections

Device / Large Number of Model Breaches

Anomalous File / FTP Executable from Rare External Location

Device / Initial Breach Chain Compromise

RESPOND Models

Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block

Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block

Antigena / Network/Insider Threat/Antigena Network Scan Block

Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block

Antigena / Network / External Threat / Antigena Suspicious File Block

Antigena / Network / External Threat / Antigena File then New Outbound Block

Antigena / Network / External Threat / Antigena Suspicious Activity Block

侵害指標(IoC)一覧

Type

Hostname

IoCs + Description

explorer[.]ee - C2 Endpoint

fysiotherapie-panken[.]nl- C2 Endpoint

devcxp2019.theclearingexperience[.]com- C2 Endpoint

campsite.bplaced[.]net- C2 Endpoint

coup2pompes[.]fr- C2 Endpoint

analyzetest[.]ir- Possible C2 Endpoint

tdgroup[.]ru- C2 Endpoint

ciedespuys[.]com- C2 Endpoint

fi.sexydate[.]world- C2 Endpoint

funadhoo.gov[.]mv- C2 Endpoint

geying.qiwufeng[.]com- C2 Endpoint

goodcomix[.]fun- C2 Endpoint

ftp2[.]sim-networks[.]com- Possible Payload Download Host

MITRE ATT&CK マッピング

Tactic – Technique

Reconnaissance - Scanning IP blocks (T1595.001, T1595)

Command and Control - Web Protocols , Application Layer Protocol, One-Way Communication, External Proxy, Non-Application Layer Protocol, Non-Standard Port (T1071.001/T1071, T1071, T1102.003/T1102, T1090.002/T1090, T1095, T1571)

Collection – Man in the Browser (T1185)

Resource Development - Web Services, Malware (T1583.006/T1583, T1588.001/T1588)

Persistence - Browser Extensions (T1176)

参考文献

1.     https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/gootloader

2.     https://redcanary.com/threat-detection-report/threats/gootloader/

3.     https://www.virustotal.com/gui/domain/fysiotherapie-panken.nl

続きを読む
著者について
Ashiq Shafee
Cyber Security Analyst

Blog

該当する項目はありません。

Seven Cyber Security Predictions for 2024

Default blog imageDefault blog image
13
Feb 2024

2024 Cyber Threat Predictions

After analyzing the observed threats and trends that have affected customers across the Darktrace fleet in the second half of 2023, the Darktrace Threat Research team have made a series of predictions. These assessments highlight the threats that are expected to impact Darktrace customers and the wider threat landscape in 2024.  

1. Initial access broker malware, especially loader malware, is likely to be a prominent threat.  

Initial access malware such as loaders, information stealers, remote access trojans (RATs), and downloaders, will probably remain some of the most relevant threats to most organizations, especially when noted in the context that many are interoperable, tailorable Malware-as-a-Service (MaaS) tools.  

These types of malware often serve as a gateway for threat actors to compromise a target network before launching subsequent, and often more severe, attacks. Would-be cyber criminals are now able to purchase and deploy these malware without the need for technical expertise.  

2. Infrastructure complexity will increase SaaS attacks and leave cloud environments vulnerable.

The increasing reliance on SaaS solutions and platforms for business operations, coupled with larger attack surfaces than ever before, make it likely that attackers will continue targeting organizations’ cloud environments with account takeovers granting unauthorized access to privileged accounts. These account hijacks can be further exploited to perform a variety of nefarious activities, such as data exfiltration or launching phishing campaigns.  

It is paramount for organizations to not only fortify their SaaS environments with security strategies including multifactor authentication (MFA), regular monitoring of credential usage, and strict access control, but moreover augment SaaS security using anomaly detection.  

3. The prevalence and evolution of ransomware will surge.

The Darktrace Threat Research team anticipates a surge in Ransomware-as-a-Service (RaaS) attacks, marking a shift away from conventional ransomware. The uptick in RaaS observed in 2023 evidences that ransomware itself is becoming increasingly accessible, lowering the barrier to entry for threat actors. This surge also demonstrates how lucrative RaaS is for ransomware operators in the current threat landscape, further reinforcing a rise in RaaS.  

This development is likely to coincide with a pivot away from traditional encryption-centric ransomware tactics towards more sophisticated and advanced extortion methods. Rather than relying solely on encrypting a target’s data for ransom, malicious actors are expected to employ double or even triple extortion strategies, encrypting sensitive data but also threatening to leak or sell stolen data unless their ransom demands are met.  

4. Threat actors will continue to rely on living-off-the-land techniques.

With evolving sophistication of security tools and greater industry adoption of AI techniques, threat actors have focused more and more on living-off-the-land. The extremely high volume of vulnerabilities discovered in 2023 highlights threat actors’ persistent need to compromise trusted organizational mechanisms and infrastructure to gain a foothold in networks. Although inbox intrusions remain prevalent, the exploitation of edge infrastructure has demonstrably expanded compared to previously endpoint-focused attacks.

Given the prevalence of endpoint evasion techniques and the high proportion of tactics utilizing native programs, threat actors will likely progressively live off the land, even utilizing new techniques or vulnerabilities to do so, rather than relying on unidentified malicious programs which evade traditional detection.

5. The “as-a-Service” marketplace will contribute to an increase in multi-phase compromises.

With the increasing “as-a-Service” marketplaces, it is likely that organizations will face more multi-phase compromises, where one strain of malware is observed stealing information and that data is sold to additional threat actors or utilized for second and/or third-stage malware or ransomware.  

This trend builds on the concept of initial access brokers but utilizes basic browser scraping and data harvesting to make as much profit throughout the compromise process as possible. This will likely result in security teams observing multiple malicious tools and strains of malware during incident response and/or multi-functional malware, with attack cycles and kill chains morphing into less linear and more abstract chains of activity. This makes it more essential than ever for security teams to apply an anomaly approach to stay ahead of asymmetric threats.  

6. Generative AI will let attackers phish across language barriers.

Classic phishing scams play a numbers game, targeting as many inboxes as possible and hoping that some users take the bait, even if there are spelling and grammar errors in the email. Now, Generative AI has reduced the barrier for entry, so malicious actors do not have to speak English to produce a convincing phishing email.  

In 2024, we anticipate this to extend to other languages and regions. For example, many countries in Asia have not yet been greatly impacted by phishing. Yet Generative AI continues to develop, with improved data input yielding improved output. More phishing emails will start to be generated in various languages with increasing sophistication.    

7. AI regulation and data privacy rules will stifle AI adoption.

AI regulation, like the European Union’s AI Act and NIS2, is starting to be implemented around the world. As policies continue to come out about AI and data privacy, practical and pragmatic AI adoption becomes more complex.  

Businesses will likely have to take a second look at AI they are adopting into their tech stacks to consider what may happen if a tool is suddenly deprecated because it is no longer fit for purpose or loses the approvals in place. Many will also have to use completely different supply chain evaluations from their usual ones based on developing compliance registrars. This increased complication may make businesses reticent to adopt innovative AI solutions as legislation scrambles to keep up.  

Learn more about observed threat trends and future predictions in the 2023 End of Year Threat Report

続きを読む
著者について
Darktrace 脅威リサーチチーム

Good news for your business.
Bad news for the bad guys.

無償トライアルを開始

無償トライアルを開始

柔軟な導入
Cloud-based deployment.
迅速なインストール
設定時間はわずか1時間、メールセキュリティのトライアルはさらに短時間で完了します。
製品を選ぶ
クラウド、ネットワーク、Eメールなど、最も必要とされる領域で自己学習型AIの能力をお試しください。
購入義務なし
Darktrace Threat Visualizerと組織毎にカスタマイズされた3回の脅威レポートへのフルアクセスを提供しますが、購入の義務はありません。
For more information, please see our Privacy Notice.
Thanks, your request has been received
A member of our team will be in touch with you shortly.
YOU MAY FIND INTERESTING
フォームを送信する際に何らかの問題が発生しました。

デモを見る

柔軟な導入
仮想的にインストールすることも、ハードウェアでインストールすることも可能です。
迅速なインストール
設定時間はわずか1時間、メールセキュリティのトライアルはさらに短時間で完了します。
製品を選ぶ
クラウド、ネットワーク、Eメールなど、最も必要とされる領域で自己学習型AIの能力をお試しください。
購入義務なし
Darktrace Threat Visualizerと組織毎にカスタマイズされた3回の脅威レポートへのフルアクセスを提供しますが、購入の義務はありません。
ありがとうございます!あなたの投稿を受け取りました。
フォームを送信する際に何らかの問題が発生しました。