APT29のスピアフィッシング攻撃をCortex XDRで検出する方法

This post is also available in: English (英語)

概要

2021年5月27日、Microsoftはある大規模スピアフィッシングキャンペーンが攻撃グループAPT29によるものであると報告しました。同攻撃グループは「SolarStorm」として知られるSolarWindsキャンペーンの背後にいた脅威アクターと同一のグループです。このSolarWindsキャンペーンは、150の組織で3,000個のメールアカウントが標的とされるなど、APTスピアフィッシングキャンペーンとしては対象が大規模なものでした。

本稿はCortex XDRで関連IoC (痕跡情報、indicators of compromise)や攻撃手法を積極的にハントする方法を解説します。

自社環境内でAPT29の攻撃をハントするには

Cortex XDRのアラートを利用した攻撃のハント

  • 既存のアラートセットを使い、アラートのソースとして「rundll32.exe」を含むアラートを探します。
  • Volexityは「Cobalt Strikeが攻撃者に利用されている可能性がある」と述べていますので、Cobalt Strike関連のアラートを探してみてください。

Cortex XDRのXQL Searchで攻撃をハントする

  • APT29の攻撃に帰する既知のIoCのハントには以下のXQLを使えます。

  • この脅威アクターはエクスプロイト試行にISOファイルを使うので、ブラウザがドロップしたISOファイルをハントします。なお、正当な業務目的でISOをダウンロードするケースもあることには注意してください。

  • rundll32.exeがコマンドライン経由でdocuments.dllやGraphicalComponent.dllを読み込んでいないか確認します。

  • C:\dell.sdr ファイルアクセスを使ってFRESHFIREマルウェアをハントします。

Cortex XDR製品によるレスポンス

Cortex XDRマネージド脅威ハンティング

Cortex XDRマネージド脅威ハンティングチームは、同イベントに関連する脅威や活動を積極的にハントして詳細な影響レポートをお客様に通知済みです。

この攻撃を検出したさいのCortex XDRのアラート

ソース 説明
Cortex XDR Analytics BIOC LOLBIN connecting to a rare host (LOLBINが見慣れないホストに接続している)
Cortex XDR Agent Wildfire Malware

結論

APT29に帰するとされる攻撃の影響の大きさ、SolarStorm攻撃で見られた技術力の高さに鑑み、パロアルトネットワークスのお客様には、最新XDR Agentとコンテンツバージョンへの更新と、本稿に示すXQLクエリ、Cortex XDRの既存の保護メカニズムによる脅威ハンティングの実施を強くお勧めします。

追加リソース

Nobeliumによるスピアフィッシング攻撃への迅速なレスポンスを実現するCortex XSOAR