Blog
Inside the SOC
ロシア・ウクライナ紛争における脅威アクターの戦術:アナリストの見解と予測






はじめに
2022年2月にロシアのウクライナ侵攻が始まって以来、世界中のサイバーコミュニティは「サイバー戦争のルネサンス」とも呼べる状況を目の当たりにしています [1]。脅威アクターは金銭的な動機というよりも、政治的な信念に導かれて同盟国を守り、敵を攻撃しているのです。このブログでは、この紛争に関与している主な脅威アクターとその進行中の戦術について検討し、組織が自らを守るための最善の方法についてアドバイスします。Darktraceが行った事前評価では、北大西洋条約機構(NATO)加盟国などの親ウクライナ国家に焦点を当てた攻撃が世界中で観測され、特定された持続的標的型攻撃(APT)グループが、より高度な攻撃経路を通じて展開される新しく複雑なマルウェアを開発すると予測しています。このブログでは、これらの評価の多くが予想外の結果をもたらしたことを紹介します。
紛争の背景
ロシアとウクライナのサイバー戦争は、2013年にViktor Yanukovych(前ウクライナ大統領)がロシアとの協定を優先し、EUとの貿易協定を拒否したことに端を発しています。その直後、ロシア軍がクリミアを併合し、ロシアとウクライナの地上戦とサイバー戦が始まりました。それ以来、ロシアの脅威アクターは定期的にウクライナのインフラを標的にしています。その最も顕著な例の1つである2015年12月の自国電力網に対する攻撃は、ウクライナの約25万5千人の停電につながり、後にロシアのハッキンググループSandwormによるものとされました [2 & 3] 。
2017年6月にも有名な攻撃があり、悪名高いマルウェア NotPetya を使って数百のウクライナの組織のウェブサイトが侵害されました。この攻撃は、100億ユーロを超える金銭的な被害があり、今でも史上最も被害が大きいサイバー攻撃と考えられています [4]。2022年2月、各国はウクライナに対するサイバー戦争の次の段階として、新しいアクターとおなじみのアクターの両方が、ライバルの重要インフラを標的とするさまざまな技術を展開するのを目撃しました。
戦術1:ランサムウェア
米国のランサムウェアのインシデントや身代金要求が紛争中に減少した可能性を示唆する情報もありますが、ランサムウェアは、この期間中、依然として世界的に展開された重要な戦術のひとつでした[5] [6] [7]。ウクライナのハッキンググループ、Network Battalion 65 (NB65) は、ランサムウェアを使って、ロシアの国営テレビ・ラジオ放送ネットワーク、VGTRKを攻撃しました。NB65は、90万通のEメールと4000のファイルを盗むことに成功し、その後、身代金を要求しましたが、彼らはウクライナ軍に寄付することを約束しました。この攻撃は、紛争初期にロシア政府への支援を表明した別の悪名高いハッカーグループであるContiの、以前流出したソースコードを使用した点が特徴的でした。NB65は、リークされたコードを改変して、ターゲットごとに独自のランサムウェアを作成しました [5]。
予想に反して、Darktraceの顧客基盤は、これらのランサムの傾向から逸脱しているように見えました。アナリストは、紛争期間中に比較的洗練されていないランサムウェア攻撃が見られ、それらが何らかのAPT活動に関連していることを示唆する証拠は限られていると述べています。2021年11月から2022年6月の間に、Darktrace の顧客ベース全体で51件のランサムウェアの侵害が確認されました。これは、相対的な顧客数の増加を考慮すると、前年同期と比較して43.16%増加したことになります。これは、身代金要求の件数が全体的に増加していることを示唆していますが、確認されたこれらの事件の多くは、帰属が不明で、特定の業種や地域をターゲットにしているようには見えません。エネルギーセクターで増加が見られたものの、紛争との明確な関連性は認められませんでした。
Darktrace DETECT ファミリーには、ランサムウェアの可視化に関連する様々なモデルがあります:
Darktrace T1486 (Data Encrypted for Impact)に関する検知:
- Compromise / Ransomware / Ransom or Offensive Words Written to SMB
- Compromise / Ransomware / Suspicious SMB Activity
- Anomalous Connection / Sustained MIME Type Conversion
- Unusual Activity / Sustained Anomalous SMB Activity
- Compromise / Ransomware / Suspicious SMB File Extension
- Unusual Activity / Anomalous SMB Read & Write
- Unusual Activity / Anomalous SMB Read & Write from New Device
- SaaS / Resource / SaaS Resources with Additional Extensions
- Compromise / Ransomware / Possible Ransom Note Read
- [RESPOND が有効な場合] Antigena / Network / External Threat / Antigena Ransomware Block
戦術2:ワイパー
紛争中に見られた実行可能ファイルの最大グループの1つがワイパーです。侵攻の前夜、ウクライナの組織は、HermeticWiper という名称の新しいワイパー型不正プログラムの標的にされました。Hermeticとは、キプロスの企業 Hermetica Digital Ltd. の名称を指し、攻撃者がコードサイニング証明書を要求する際に使用されました [6]。このような電子証明書は、コードの所有者とそれが改ざんされていないことを確認するために使用されます。Hermetica Digital社の24歳のオーナーは、コードサイニング証明書を取得するために自分の会社が悪用されたことは知らなかったと語っています [7]。
HermeticWiperは、ワーム、デコイ(おとり)ランサムウェア、ワイパー型マルウェアの3つのコンポーネントで構成されています。HermeticWiper用に設計されたカスタムワームは、その感染したマシンのネットワーク上にマルウェアを拡散するために使用されました。ESETの研究者は、おとりランサムウェアとワイパーが同時にリリースされたことを発見しました[8]。おとりランサムウェアは、マシンがランサムウェアにやられたように見せかけるために使用されましたが、実際にはワイパーがすでにマシンからデータを永久的に消去していました。攻撃の初期段階では、別のドライバをインストールすることで、起動記録の上書きを防止するように設計されたWindowsのセキュリティ機能を回避します。マシンからデータを消去した後、HermeticWiperはそのデータが再フラグメント化されるのを防ぎ、ファイルを上書きしてさらにフラグメント化します。これは、侵害後のフォレンジックのためにデータを再構築することをより困難にするために行われます [9]。全体として、HermeticWiperの機能と目的は、NotPetyaランサムウェアのそれと似ているようです。
HermeticWiperは、観察されている唯一の紛争関連ワイパーマルウェアではありません。2022年1月、マイクロソフトはウクライナの顧客に対して、複数の欧州の組織に対するワイパー侵入活動を検知したと警告しました。その一例が、MBR(マスターブートレコード)ワイパーでした。このタイプのワイパーは、コンピュータにオペレーティングシステムのロード方法を指示するディスクセクターであるMBRを、ランサムウェアのメモで上書きしてしまうのです。実際には、このメモの内容は誤認であり、マルウェアはMBRと標的のファイルを破壊します [10]。
ワイパー型マルウェアを利用したグループとして注目されたのが Sandworm です。Sandwormは、ロシアの対外軍事情報機関であるGRUが関与しているとされるAPTです。このグループは2009年から活動を開始し、攻撃にはさまざまなTTPを使用しています。彼らは、2015年にウクライナのエネルギー配給会社に対する攻撃や、2017年に複数のウクライナの組織に対して前述のNotPetyaマルウェアを使用した際など、ウクライナをターゲットにした歴史を持っています [11]。ワイパーマルウェアを使ってウクライナを狙うロシア系(または親ロシア系)グループには、DEV-0586というのもあります。このグループは、2022年1月、ワイパー型マルウェア Whispergate でさまざまなウクライナの組織を標的としていました。このタイプのワイパー型マルウェアは、ファイルを復号化するためにビットコインを支払うよう指示するファイルを表示することで、ランサムウェアとしての体裁を整えています [12]。
この間、HermeticWiper やその他の紛争に関連するワイパー(IsaacWiper や CaddyWiper など)については、Darktraceの顧客内で確認された事例がありませんでした。それにもかかわらず、Darktrace DETECT はワイパーとデータ破壊に関連する様々なモデルを用意しています:
Darktrace T1485 (Data Destruction) の検知 - ワイパー攻撃で悪用される主な手法です
- Unusual Activity / Anomalous SMB Delete Volume
- IaaS / Unusual Activity / Anomalous AWS Resources Deleted
- IaaS / Storage / S3 Bucket Delete
- SaaS / Resource / Mass Email Deletes from Rare Location
- SaaS / Resource / Anomalous SaaS Resources Deleted
- SaaS / Resource / Resource Permanent Delete
- [If RESPOND is enabled] Antigena / Network / Manual / Enforce Pattern of Life
- [RESPOND が有効な場合] Antigena / SaaS / Antigena Unusual Activity Block
戦術3:スピアフィッシング
また、一部の脅威アクターが採用する戦略として、スピアフィッシングがあります。Eメール、ソーシャルメディア、メッセージングなどのプラットフォームを利用して標的を定めることができます。
ハッキンググループ Armageddon(別名 Gamaredon)は、今回の危機において、主にウクライナ政府の関係者を標的とした複数のスピアフィッシング攻撃を行いました [13]。戦争が始まって以来、このグループは、開くとRARペイロードをダウンロードして起動するHTMLファイルを含むEメールを大量に送信してきました。添付されたリンクをクリックした人は、最終的なArmageddonペイロードを取得するPowerShellスクリプトを含むHTAをダウンロードします。このグループは、同じ戦略を用いて、欧州連合の政府機関も標的にしています [14]。高価値のターゲットが存在する以上、フィッシングの識別に関する教育を向上させ、攻撃者の網にかかる可能性を最小限に抑える必要性は、これまで以上に高まっています。
より広範な傾向と比較して、Darktrace アナリストは、顧客に影響を与えた紛争に関連するフィッシングキャンペーンの証拠をほとんど見ていません。顧客をターゲットにしたフィッシングの試みは、そのほとんどが紛争に関連したものではありませんでした。例えば、ある顧客がロシアの銀行のSWIFT決済システムからの排除に言及したフィッシングメールで標的にされた場合(図1および図2)、紛争が日和見的に利用されたケースもあります。このメールは、Darktrace/Email によって、金融恐喝や誘引の可能性が高いことが確認されました。このケースでは、大手銀行の送金部門からなりすましたメールが送られてきました。


いくつかの例では紛争が参照として使われていましたが、Darktraceが観察した紛争期間中のフィッシング事例のほとんどでは、標的となった企業やフィッシングの試みの背後にいる脅威アクターがロシア・ウクライナ紛争に関連している、またはそれに起因することを示す証拠はほとんど見られませんでした。
しかし、Darktrace/Email には、フィッシング関連の脅威をピックアップするモデルカテゴリーがいくつかあります。
Darktrace によるT1566(フィッシング)のEメール検知のサンプル - これはスピアフィッシングイベントで悪用される包括的なテクニックです
モデルのカテゴリー:
- Inducement
- Internal / External User Spoofing
- Internal / External Domain Spoofing
- Fake Support
- Link to Rare Domains
- Link to File Storage
- Redirect Links
- Anomalous / Malicious Attachments
- Compromised Known Sender
Specific models can be located on the Email Console
戦術4:分散型サービス拒否(DDoS)
親ロシア派と親ウクライナ派の脅威アクターが採用したもう一つの戦術は、DDoS(分散型サービス拒否)攻撃です。親ロシア派、親ウクライナ派ともに、重要なインフラ、情報資源、政府のプラットフォームを標的とした大規模なDDoS攻撃が確認されています。ウクライナのデジタル変革大臣であるMykhailo Fedorovは、ウクライナの地下ハッカーやボランティアによるIT軍団に、ウクライナの重要インフラを守り、ロシアに対してDDoS攻撃を行うことを呼びかけました [16]。2022年8月1日現在、20万人以上が同グループの公式テレグラムチャンネルに加入しており、DDoSのターゲットとなりうる人物が発表されています [17]。
Darktrace は、さまざまな顧客環境において、同様の親ウクライナ的な DDoS 行動を観察しました。これらのDDoSキャンペーンには、クラウドソースによるDDoS活動と組み合わせた、少量の個人サポートが含まれているように見受けられました。これらのキャンペーンは、さまざまなパブリックソースのDDoSサイトでホストされており、ウクライナのIT軍団などのグループの感情を共有しているように見えました(図3)。

ロシア側からは、新たに出現した著名なグループの一つであるKillnetが、ウクライナに兵器を提供している国の重要インフラに対して大規模なDDoS攻撃を何度も仕掛け、反撃に出ている[18 & 19]。今日、Killnetの支持者は彼らのTelegramチャンネルで8万4千人にまで増えています。同グループはすでに、ドイツ、ポーランド、イタリア、リトアニア、ノルウェーなど、複数のNATO諸国に対して大規模な攻撃を開始しています。このことは、この紛争が、大きな後ろ盾と広範囲な攻撃を行う能力を持つ、新しい急成長中のグループを引き寄せていることを示しています。
DETECT は、異常なDoS/DDoS活動を特定するためのモデルをいくつか保有しています:
Darktrace T1498(Network Denial of Service)の検知 - DDoS攻撃で悪用される主な手法
- Device / Anomaly Indicators / Denial of Service Activity Indicator
- Anomalous Server Activity / Possible Denial of Service Activity
- [RESPOND が有効な場合] Antigena / Network / External Threat / Antigena Suspicious Activity Block
Darktraceは何を観察したか
Darktraceのクロスフリート検知は、ほぼ予想に反していました。アナリストは、紛争に関連したランサムウェア、マルウェア、またはその他のTTPを利用した、紛争に関連した大規模な複合型攻撃を確認しませんでした。その代わりに、APTや紛争に関連した攻撃ではなく、Malware-as-a-Serviceモデルやその他の広く入手可能なツールキットを通じて購入できるマルウェアを使用した、主に日和見的なサイバー事件が観察されました。全体として、紛争による影響がなかったとか、日和見的な攻撃がなくなると言っているわけではありませんが、公開フォーラムで見られたAPTベースの初期攻撃以上の広範なサイバー被害が少なかったことを示す証拠と言えます。
紛争当初から予想されていたもう一つの傾向は、NATOの企業や政府に焦点を当てた制裁措置の発表に対する反応でした。しかし、アナリストたちは、制裁措置の発表による直接的な影響はほとんどなく、限定的な反応に留まったと見ています。NATOの一部の組織に対するサイバー攻撃は行われましたが、予想されたほどには広まらず、影響もありませんでした。最後に、新しい高度なエクスプロイトにさらされる機会が増え、NATO諸国、特に重要な産業に携わる企業の弱体化に利用されると考えられていました。しかし、アナリストは、比較的一般的な脆弱性が、無差別的かつ場当たり的に展開されていることを確認しています。全体として、業界全体が混沌としていると予想される中、Darktrace アナリストは、危機を利用してウクライナ以外の幅広い企業をターゲットにすることはないと考えています。このように予想と現実を比較した結果、今回の紛争は確証バイアスに陥る危険性と、警戒を怠らず予期せぬ事態を想定する必要性を示しています。サイバー戦争は今、「冷たい」と言えるかもしれません。しかし、不意打ちの要素は常に存在しており、自分と自分の組織を守るために準備しておくに越したことはないのです。
今後に期待すること
サイバー攻撃は、金銭的・物理的なコストが低下するにつれて、その頻度が増加することが予想されます。政治的な停戦が成立しても、ハッカー集団は恨みを抱き、規模は小さくとも攻撃を継続する可能性があるのです。
さらに、この紛争が長引けば長引くほど、ハッキング集団の攻撃はより巧妙になる可能性があります。Killnetは、ある出版物の中で、ヨーロッパ5か国を同時にダウンさせることができるほど強力な「ネットワーク兵器」を作成したと購読者に伝えています(図4)[20]。この主張が事実であるかどうかは別として、備えは不可欠です。欧州連合と米国は侵攻開始以来ウクライナを支援しており、EUもウクライナをサイバースペースで支援するためにさらなる支援を行うことを検討していると表明しています [21]。

これらの攻撃から身を守るには
より広範な紛争とサイバーセキュリティの緊張に直面する中、組織はセキュリティスタックを評価し、以下を実践することが極めて重要です:
- 重要な資産は何か、その上でどんなソフトウェアが稼働しているかを把握する。
- ソフトウェアを常に最新の状態に保つ。リモートでコードが実行されるような重要かつ高度な脆弱性には、優先的にパッチを適用する。
- 可能な限り多要素認証(MFA)を実施する。
- 各アカウントに強力でユニークなパスワードを生成するために、パスワードマネージャーの使用を義務付ける
- クラウドや外付けドライブに必要なファイルをバックアップし、定期的にメンテナンスする
- フィッシングメールや不審なウェブサイト、感染したリンクなどの異常を見分けるためのトレーニングを行い、メールアカウントの侵害を未然に防ぐ。
上記のような攻撃によって組織が被害を受けるのを防ぐには、全方位的なアプローチが必要です。この防御は、アタックサーフェスを徹底的に理解し、タイムリーな軽減策を提供することから始まります。これは、Darktrace の製品でサポートすることができます。
- このブログで紹介したように、Darktrace DETECT とDarktrace/Email には、紛争に関連した TTP と攻撃に関連するモデルがいくつかあります。これらのモデルは、セキュリティチームに迅速に警告を発し、異常な行動を可視化するのに役立ちます。
- Darktrace PREVENT /ASM は、外部に面した脆弱な資産を特定するのに役立ちます。これらのデバイスにパッチを適用し、セキュリティを確保することで、悪用されるリスクは劇的に減少します。
- Darktrace RESPOND とRESPOND/Email は、DDoS の着信をブロックしたり、悪意のあるメールリンクをロックするなど、さまざまな脅威に対してターゲットを絞ったアクションを起こすことができます。
Darktraceの脅威インテリジェンスユニットによる本ブログへの寄稿に感謝します。
付録
参考文献リスト
[2] https://www.reuters.com/article/us-ukraine-cybersecurity-idUSKCN0VY30K
[3] https://www.reuters.com/article/us-ukraine-cybersecurity-sandworm-idUSKBN0UM00N20160108
[4 & 11] https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
[6] https://ransomware.org/blog/has-the-ukraine-conflict-disrupted-ransomware-attacks/
[10] https://www.reuters.com/article/ukraine-crisis-cyber-cyprus-idCAKBN2KT2QI
[15] https://www.cisa.gov/uscert/ncas/alerts/aa22-057a
[16] https://attack.mitre.org/groups/G0047/
[17] https://cyware.com/news/ukraine-cert-warns-of-increasing-attacks-by-armageddon-group-850081f8
[18] https://www.bbc.co.uk/news/business-60521822
[19] https://foreignpolicy.com/2022/04/11/russia-cyberwarfare-us-ukraine-volunteer-hackers-it-army/
[20] https://t.me/itarmyofukraine2022
[19 & 20] https://flashpoint.io/blog/killnet-kaliningrad-and-lithuanias-transport-standoff-with-russia/
Like this and want more?
More in this series
Blog
Inside the SOC
PurpleFox in a Henhouse: How Darktrace Hunted Down a Persistent and Dynamic Rootkit



Versatile Malware: PurpleFox
As organizations and security teams across the world move to bolster their digital defenses against cyber threats, threats actors, in turn, are forced to adopt more sophisticated tactics, techniques and procedures (TTPs) to circumvent them. Rather than being static and predictable, malware strains are becoming increasingly versatile and therefore elusive to traditional security tools.
One such example is PurpleFox. First observed in 2018, PurpleFox is a combined fileless rootkit and backdoor trojan known to target Windows machines. PurpleFox is known for consistently adapting its functionalities over time, utilizing different infection vectors including known vulnerabilities (CVEs), fake Telegram installers, and phishing. It is also leveraged by other campaigns to deliver ransomware tools, spyware, and cryptocurrency mining malware. It is also widely known for using Microsoft Software Installer (MSI) files masquerading as other file types.
The Evolution of PurpleFox
The Original Strain
First reported in March 2018, PurpleFox was identified to be a trojan that drops itself onto Windows machines using an MSI installation package that alters registry values to replace a legitimate Windows system file [1]. The initial stage of infection relied on the third-party toolkit RIG Exploit Kit (EK). RIG EK is hosted on compromised or malicious websites and is dropped onto the unsuspecting system when they visit browse that site. The built-in Windows installer (MSIEXEC) is leveraged to run the installation package retrieved from the website. This, in turn, drops two files into the Windows directory – namely a malicious dynamic-link library (DLL) that acts as a loader, and the payload of the malware. After infection, PurpleFox is often used to retrieve and deploy other types of malware.
Subsequent Variants
Since its initial discovery, PurpleFox has also been observed leveraging PowerShell to enable fileless infection and additional privilege escalation vulnerabilities to increase the likelihood of successful infection [2]. The PowerShell script had also been reported to be masquerading as a .jpg image file. PowerSploit modules are utilized to gain elevated privileges if the current user lacks administrator privileges. Once obtained, the script proceeds to retrieve and execute a malicious MSI package, also masquerading as an image file. As of 2020, PurpleFox no longer relied on the RIG EK for its delivery phase, instead spreading via the exploitation of the SMB protocol [3]. The malware would leverage the compromised systems as hosts for the PurpleFox payloads to facilitate its spread to other systems. This mode of infection can occur without any user action, akin to a worm.
The current iteration of PurpleFox reportedly uses brute-forcing of vulnerable services, such as SMB, to facilitate its spread over the network and escalate privileges. By scanning internet-facing Windows computers, PurpleFox exploits weak passwords for Windows user accounts through SMB, including administrative credentials to facilitate further privilege escalation.
Darktrace detection of PurpleFox
In July 2023, Darktrace observed an example of a PurpleFox infection on the network of a customer in the healthcare sector. This observation was a slightly different method of downloading the PurpleFox payload. An affected device was observed initiating a series of service control requests using DCE-RPC, instructing the device to make connections to a host of servers to download a malicious .PNG file, later confirmed to be the PurpleFox rootkit. The device was then observed carrying out worm-like activity to other external internet-facing servers, as well as scanning related subnets.
Darktrace DETECT™ was able to successfully identify and track this compromise across the cyber kill chain and ensure the customer was able to take swift remedial action to prevent the attack from escalating further.
While the customer in question did have Darktrace RESPOND™, it was configured in human confirmation mode, meaning any mitigative actions had to be manually applied by the customer’s security team. If RESPOND had been enabled in autonomous response mode at the time of the attack, it would have been able to take swift action against the compromise to contain it at the earliest instance.
攻撃の概要

Initial Scanning over SMB
On July 14, 2023, Darktrace detected the affected device scanning other internal devices on the customer’s network via port 445. The numerous connections were consistent with the aforementioned worm-like activity that has been reported from PurpleFox behavior as it appears to be targeting SMB services looking for open or vulnerable channels to exploit.
This initial scanning activity was detected by Darktrace DETECT, specifically through the model breach ‘Device / Suspicious SMB Scanning Activity’. Darktrace’s Cyber AI Analyst™ then launched an autonomous investigation into these internal connections and tied them into one larger-scale network reconnaissance incident, rather than a series of isolated connections.

As Darktrace RESPOND was configured in human confirmation mode, it was unable to autonomously block these internal connections. However, it did suggest blocking connections on port 445, which could have been manually applied by the customer’s security team.

特権昇格
The device successfully logged in via NTLM with the credential, ‘administrator’. Darktrace recognized that the endpoint was external to the customer’s environment, indicating that the affected device was now being used to propagate the malware to other networks. Considering the lack of observed brute-force activity up to this point, the credentials for ‘administrator’ had likely been compromised prior to Darktrace’s deployment on the network, or outside of Darktrace’s purview via a phishing attack.
Exploitation
Darktrace then detected a series of service control requests over DCE-RPC using the credential ‘admin’ to make SVCCTL Create Service W Requests. A script was then observed where the controlled device is instructed to launch mshta.exe, a Windows-native binary designed to execute Microsoft HTML Application (HTA) files. This enables the execution of arbitrary script code, VBScript in this case.


There are a few MSIEXEC flags to note:
- /i : installs or configures a product
- /Q : sets the user interface level. In this case, it is set to ‘No UI’, which is used for “quiet” execution, so no user interaction is required
Evidently, this was an attempt to evade detection by endpoint users as it is surreptitiously installed onto the system. This corresponds to the download of the rootkit that has previously been associated with PurpleFox. At this stage, the infected device continues to be leveraged as an attack device and scans SMB services over external endpoints. The device also appeared to attempt brute-forcing over NTLM using the same ‘administrator’ credential to these endpoints. This activity was identified by Darktrace DETECT which, if enabled in autonomous response mode would have instantly blocked similar outbound connections, thus preventing the spread of PurpleFox.

Installation
On August 9, Darktrace observed the device making initial attempts to download a malicious .PNG file. This was a notable change in tactics from previously reported PurpleFox campaigns which had been observed utilizing .MOE files for their payloads [3]. The .MOE payloads are binary files that are more easily detected and blocked by traditional signatured-based security measures as they are not associated with known software. The ubiquity of .PNG files, especially on the web, make identifying and blacklisting the files significantly more difficult.
The first connection was made with the URI ‘/test.png’. It was noted that the HTTP method here was HEAD, a method similar to GET requests except the server must not return a message-body in the response.
The metainformation contained in the HTTP headers in response to a HEAD request should be identical to the information sent in response to a GET request. This method is often used to test hypertext links for validity and recent modification. This is likely a way of checking if the server hosting the payload is still active. Avoiding connections that could possibly be detected by antivirus solutions can help keep this activity under-the-radar.


The server responds with a status code of 200 before the download begins. The HEAD request could be part of the attacker’s verification that the server is still running, and that the payload is available for download. The ‘/test.png’ HEAD request was sent twice, likely for double confirmation to begin the file transfer.

Subsequent analysis using a Packet Capture (PCAP) tool revealed that this connection used the Windows Installer user agent that has previously been associated with PurpleFox. The device then began to download a payload that was masquerading as a Microsoft Word document. The device was thus able to download the payload twice, from two separate endpoints.
By masquerading as a Microsoft Word file, the threat actor was likely attempting to evade the detection of the endpoint user and traditional security tools by passing off as an innocuous text document. Likewise, using a Windows Installer user agent would enable threat actors to bypass antivirus measures and disguise the malicious installation as legitimate download activity.
Darktrace DETECT identified that these were masqueraded file downloads by correctly identifying the mismatch between the file extension and the true file type. Subsequently, AI Analyst was able to correctly identify the file type and deduced that this download was indicative of the device having been compromised.
In this case, the device attempted to download the payload from several different endpoints, many of which had low antivirus detection rates or open-source intelligence (OSINT) flags, highlighting the need to move beyond traditional signature-base detections.



If Darktrace RESPOND was enabled in autonomous response mode at the time of the attack it would have acted by blocking connections to these suspicious endpoints, thus preventing the download of malicious files. However, as RESPOND was in human confirmation mode, RESPOND actions required manual application by the customer’s security team which unfortunately did not happen, as such the device was able to download the payloads.
結論
The PurpleFox malware is a particularly dynamic strain known to continually evolve over time, utilizing a blend of old and new approaches to achieve its goals which is likely to muddy expectations on its behavior. By frequently employing new methods of attack, malicious actors are able to bypass traditional security tools that rely on signature-based detections and static lists of indictors of compromise (IoCs), necessitating a more sophisticated approach to threat detection.
Darktrace DETECT’s Self-Learning AI enables it to confront adaptable and elusive threats like PurpleFox. By learning and understanding customer networks, it is able to discern normal network behavior and patterns of life, distinguishing expected activity from potential deviations. This anomaly-based approach to threat detection allows Darktrace to detect cyber threats as soon as they emerge.
By combining DETECT with the autonomous response capabilities of RESPOND, Darktrace customers are able to effectively safeguard their digital environments and ensure that emerging threats can be identified and shut down at the earliest stage of the kill chain, regardless of the tactics employed by would-be attackers.
Credit to Piramol Krishnan, Cyber Analyst, Qing Hong Kwa, Senior Cyber Analyst & Deputy Team Lead, Singapore
付録
Darktraceによるモデル検知
- Device / Increased External Connectivity
- Device / Large Number of Connections to New Endpoints
- Device / SMB Session Brute Force (Admin)
- Compliance / External Windows Communications
- Anomalous Connection / New or Uncommon Service Control
- Compromise / Unusual SVCCTL Activity
- Compromise / Rare Domain Pointing to Internal IP
- Anomalous File / Masqueraded File Transfer
RESPOND Models
- Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
- Antigena / Network / External Threat / Antigena Suspicious Activity Block
- Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
- Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
- Antigena / Network / External Threat / Antigena Suspicious File Block
- Antigena / Network / External Threat / Antigena File then New Outbound Block
IoC一覧
IoC - Type - Description
/C558B828.Png - URI - URI for Purple Fox Rootkit [4]
5b1de649f2bc4eb08f1d83f7ea052de5b8fe141f - File Hash - SHA1 hash of C558B828.Png file (Malware payload)
190.4.210[.]242 - IP - Purple Fox C2 Servers
218.4.170[.]236 - IP - IP for download of .PNG file (Malware payload)
180.169.1[.]220 - IP - IP for download of .PNG file (Malware payload)
103.94.108[.]114:10837 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
221.199.171[.]174:16543 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
61.222.155[.]49:14098 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
178.128.103[.]246:17880 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
222.134.99[.]132:12539 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
164.90.152[.]252:18075 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
198.199.80[.]121:11490 - IP - IP from Service Control MSIEXEC script to download PNG file (Malware payload)
MITRE ATT&CK マッピング
Tactic - Technique
Reconnaissance - Active Scanning T1595, Active Scanning: Scanning IP Blocks T1595.001, Active Scanning: Vulnerability Scanning T1595.002
Resource Development - Obtain Capabilities: Malware T1588.001
Initial Access, Defense Evasion, Persistence, Privilege Escalation - Valid Accounts: Default Accounts T1078.001
Initial Access - Drive-by Compromise T1189
Defense Evasion - Masquerading T1036
Credential Access - Brute Force T1110
Discovery - Network Service Discovery T1046
Command and Control - Proxy: External Proxy T1090.002
参考文献
- https://blog.360totalsecurity.com/en/purple-fox-trojan-burst-out-globally-and-infected-more-than-30000-users/
- https://www.trendmicro.com/en_us/research/19/i/purple-fox-fileless-malware-with-rookit-component-delivered-by-rig-exploit-kit-now-abuses-powershell.html
- https://www.akamai.com/blog/security/purple-fox-rootkit-now-propagates-as-a-worm
- https://www.foregenix.com/blog/an-overview-on-purple-fox
- https://www.trendmicro.com/en_sg/research/21/j/purplefox-adds-new-backdoor-that-uses-websockets.html
Blog
OT
$70 Million in Cyber Security Funding for Electric Cooperatives & Utilities



What is the Bipartisan Infrastructure Deal?
The Bipartisan Infrastructure Law passed by congress in 2021 aimed to upgrade power and infrastructure to deliver clean, reliable energy across the US to achieve zero-emissions. To date, the largest investment in clean energy, the deal will fund new programs to support the development and deployment of clean energy technology.
Why is it relevant to electric municipalities?
Section 40124 of the Bipartisan Infrastructure Law allocates $250 million over a 5-year period to create the Rural and Municipal Utility Cybersecurity (RMUC) Program to help electric cooperative, municipal, and small investor-owned utilities protect against, detect, respond to, and recover from cybersecurity threats.1 This act illuminates the value behind a full life-cycle approach to cyber security. Thus, finding a cyber security solution that can provide all aspects of security in one integrated platform would enhance the overall security posture and ease many of the challenges that arise with adopting multiple point solutions.
On November 16, 2023 the Office of Cybersecurity, Energy Security, and Emergency Response (CESER) released the Advanced Cybersecurity Technology (ACT) for electric utilities offering a $70 million funding opportunity that aims to enhance the cybersecurity posture of electric cooperative, municipal, and small investor-owned utilities.
Funding Details
10 projects will be funded with application submissions due November 29, 2023, 5:00 pm ET with $200,000 each in cash prizes in the following areas:
- Direct support for eligible utilities to make investments in cybersecurity technologies, tools, training, and improvements in utility processes and procedures;
- Funding to strengthen the peer-to-peer and not-for-profit cybersecurity technical assistance ecosystem currently serving eligible electric utilities; and
- Increasing access to cybersecurity technical assistance and training for eligible utilities with limited cybersecurity resources. 2
To submit for this award visit: https://www.herox.com/ACT1Prize
How can electric municipalities utilize the funding?
While the adoption of hybrid working patterns increase cloud and SaaS usage, the number of industrial IoT devices also continues to rise. The result is decrease in visibility for security teams and new entry points for attackers. Particularly for energy and utility organizations.
Electric cooperatives seeking to enhance their cyber security posture can aim to invest in cyber security tools that provide the following:
Compliance support: Consider finding an OT security solution that maps out how its solutions and features help your organization comply with relevant compliance mandates such as NIST, ISA, FERC, TSA, HIPAA, CIS Controls, and more.
Anomaly based detection: Siloed security solutions also fail to detect attacks that span
the entire organization. Anomaly-based detection enhances an organization’s cyber security posture by proactively defending against potential attacks and maintaining a comprehensive view of their attack surface.
Integration capabilities: Implementation of several point solutions that complete individual tasks runs the risk of increasing workloads for operators and creates additional challenges with compliance, budgeting, and technical support. Look for cyber security tools that integrate with your existing technologies.
Passive and active asset tracking: Active Identification offers accurate enumeration, real time updates, vulnerability assessment, asset validation while Passive Identification eliminates the risk of operational disruption, minimizes risk, does not generate additional network traffic. It would be ideal to find a security solution that can do both.
Can secure both IT and OT in unison: Given that most OT cyber-attacks actually start in IT networks before pivoting into OT, a mature security posture for critical infrastructure would include a single solution for both IT and OT. Separate solutions for IT and OT present challenges when defending network boundaries and detecting incidents when an attacker pivots from IT to OT. These independent solutions also significantly increase operator workload and materially diminish risk mitigation efforts.
Darktrace/OT for Electric Cooperatives and Utilities
For smaller teams with just one or two dedicated employees, Darktrace’s Cyber AI Analyst and Investigation features allow end users to spend less time in the platform as it compiles critical incidents into comprehensive actionable event reports. AI Analyst brings all the information into a centralized view with incident reporting in natural language summaries and can be generated for compliance reports specific to regulatory requirements.
For larger teams, Darktrace alerts can be forwarded to 3rd party platforms such as a SIEM, where security team decision making is augmented. Additionally, executive reports and autonomous response reduce the alert fatigue generally associated with legacy tools. Most importantly, Darktrace’s unique understanding of normal allows security teams to detect zero-days and signatureless attacks regardless of the size of the organization and how alerts are consumed.
Key Benefits of Darktrace/OT
- Anomaly-based detection and real-time response
- Secures IT, OT, and IoT in unison
- Active and Passive Asset Identification
- Automated security reporting
- Attack surface management and vulnerability assessment
- Covers all levels of the Purdue Model
.png)
参考文献
