本ブログではこれまでに、サイバー犯罪者グループ「TeamTNT」が、暗号資産(旧仮想通貨)採掘ツール(コインマイナー)のペイロードや認証情報を窃取するマルウェアを展開するために、保護されていないRedisインスタンスやインターネット上に露出したDocker API、脆弱なKubernetesクラスタをどのように標的と定めてきたかを解説しました。TeamTNTは現在も、自身のキャンペーンで侵害したクラウド環境を悪用して活発な攻撃活動を続けています。トレンドマイクロは今回、TeamTNTの新たなキャンペーンで使用された検体を解析して、サイバー犯罪への最近の取り組みについて調査分析しました。さらに以前の展開活動と比較することで、同グループがアップグレードされたツールやペイロードを使用していることを確認しました。
TeamTNTは、クラウドサービスプロバイダ(CSP)、特にクラウドサービス上で稼働中のエラスティック・コンピューティングのインスタンス上に保存されているメタデータに狙いを定めた最初のサイバー犯罪者グループの1つです。当時の攻撃活動では、主にクラウドサービスプロバイダが使用する環境メタデータを窃取することを目的としていました。インスタンスメタデータやユーザデータは認証または暗号化されていないため、ユーザはメタデータフィールド内に機密データやクラウドサービスプロバイダに関連する事前承認データなどを保存しないように対策することが重要です。これらのデータが窃取された場合、サーバレス・アーキテクチャなどの他のサービス内で悪用される可能性があります。
クラウドサービスプロバイダの利用者が使用する稼働中のインスタンスが適切に構成されていない、あるいはAPIが外部に露出している、認証情報が流出しているなどのセキュリティ上の欠陥が存在する場合、これらの弱点を侵害できる攻撃者が他のサービスも悪用する可能性があります。そのため法人組織は、重要な認証情報や機密情報がサイバー犯罪者の手に渡らないように保護することが重要です。
■ アップグレードされたTeamTNTの攻撃ツール
トレンドマイクロの解析結果から、今回TeamTNTのキャンペーンから取得した検体は、以前のバージョンよりも専門的な知識を基に開発されたものであると推測されます。バグ修正が施され、攻撃者にとってより多くの厄介なケースに対処できるこれらの検体から、同グループが設定に不備のあるAmazon Web Services(AWS)やKubernetesサービスを狙う手口を著しく高度化させていることがわかります。サイバー犯罪者がクラウド環境での展開活動に目を向けていることを踏まえて、クラウドユーザは改めて責任共有モデルの重要性を理解する必要があります。ユーザは、自身の利用するクラウド環境のセキュリティにおいて重要な役割を担っており、それぞれのクラウドサービス内で実行するデータ、プラットフォーム、アプリケーション、オペレーティングシステムのセキュリティ保護を担当します。そのため、クラウドユーザは、攻撃者に狙われないように、重要なデータをクラウド環境内のどこに配置するかを意識する必要があります。
TeamTNTの攻撃活動では、複数の機能を備えた一体型の検体を手口に組み込むのではなく、よりモジュール化されたものが採用されています。これらの検体には、攻撃範囲や機能が明確に定義されており、同グループがキャンペーンに標的型攻撃を適用するためにどのように高度化してきたかを示しています。
および新バージョン(中、右)の比較図(侵害されたインスタンスから取得)
トレンドマイクロは2021年3月9日に、TeamTNTがどのように脆弱なAWSインスタンスから認証情報を窃取するためのハードコードされたシェルスクリプトを作成したかを詳説しました(英語)。AWSのほかにも、TeamTNTは主要な標的の1つであるKubernetesに特化した攻撃ツールの開発に磨きをかけていることが明らかとなりました。
図3は、2021年8月と9月に入手した、様々なKubernetes環境を攻撃するためにTeamTNTが用いた検体を示しています。これらの検体は、TeamTNTが異なるKubernetes環境に対する複数のペイロードを開発していたことを示唆しています。さらなる調査の結果、これらのペイロードには、感染した環境に少しでも適応するために特別な微調整が施されています。これらの微調整は一般的なものではないのでノイズが少なく、更新されると遠隔操作サーバ(C&Cサーバ)のアドレスが変わります。
上記の動向をオンライン検索エンジン「Shodan」のデータで確認したところ、外部に露出したDocker APIの数が減少していることから、TeamTNTがKubernetes上での展開活動に焦点を当てていることは理にかなっていることが見て取れます(図4)。2021年9月に観測された外部に露出したDocker APIの数は836で、12ヶ月前の7,276から減少しています。一方、脆弱なKubernetes APIの数は2021年6月から急激に増加しており、9月には、外部に露出したKubernetes APIの数は161,993にまで達しています(図5)。
大幅に減少していることを示すShodanのデータ
大幅に増加していることを示すShodanのデータ
さらにTeamTNTは、複数のGPUメーカー向けに設計されたツールセットを悪用してGPU搭載端末を侵害する機会を増やすことで、自身のマイニングハッシュレートを向上させることにも注力しています。これは、暗号資産「Monero」をマイニング(採掘活動)した際の実際の報酬が低下していることからも当然のことと言えます。したがって、以前と同じ量のMoneroを採掘するには、より大きな貢献(マイニングのために提供するハッシュ)が必要となりますが、この場合はハッシュレートで示されます。簡単に言えば、ハッシュレート(採掘速度)が大きければ大きいほど、採掘される金額も大きくなります。
■ まとめ
本ブログ記事では、トレンドマイクロが最近観測したTeamTNTのキャンペーンに関する主な調査結果を3つ解説しました。1つ目は、同グループが攻撃ツールを開発するために採用した変更点についてです。今回新たに確認されたペイロードは、複雑な機能を備えた一体型の不正ファイルを使用するのではなく、より専門的な知識を基に開発されており、標的を絞って実行回数を減らし、より正確に展開することで、感染時のノイズを減らしているようです。
2つ目は、TeamTNTがKubernetesを標的とした攻撃ツールを数多く開発している点です。これは、外部に露出したKubernetes APIの数を示すShodanのデータ(図5)によっても裏付けられています。さらに同グループは、自身のソーシャルメディアアカウント上で新たなKubernetesキャンペーンを開始したことにも言及しているため、Kubernetesユーザは、TeamTNTの展開活動に特に警戒する必要があります。ただしTeamTNTは、外部に露出したKubernetes APIを好んで標的としていることが明らかであるにもかかわらず、依然としてクラウドサービスプロバイダを狙っています。
3つ目は、ペイロードがGPUベースの環境を識別し、クラウドサービスプロバイダ内で稼働しているインスタンスを標的とする特定のペイロードを展開することで感染端末の計算能力を悪用し、不正な手段でより多くの暗号資産を採掘するようになった点です。
法人組織がこれまで以上にクラウドサービスに依存するようになった現在、クラウドサービスを標的とする攻撃は、今後ますます活動範囲を拡大させ、巧妙化していくと考えられます。法人組織は、高度化する脅威からシステムやサービスを保護し続けるために、責任共有モデルと最小特権の原則を重視した強力なセキュリティポリシーを策定する必要があります。また、重要なデータを安全に保護するために、メタデータに暗号化や難読化を施したり、機密性の低いメタデータを使用したりすることも推奨されます。AWSでは、AWS Glue Data Catalogを使用してメタデータを暗号化する詳細な例や、各AWSサービスに関連する米国国際武器取引規制(ITAR)管理下のデータのリストを提供しています。
さらに法人組織は、継続的な監視と監査を優先し、定期的にシステムを更新して修正プログラム(パッチ)を適用することも有効な手段です。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「TeamTNT Upgrades Arsenal, Refines Focus on Kubernetes and GPU Environments」
by David Fiser, Alfredo Oliveira
記事構成:高橋 哲朗(セキュリティマーケティンググループ)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro
Research
The post サイバー犯罪者集団「TeamTNT」、高度化させた攻撃ツールでクラウド上のKubernetesやGPU環境を攻撃する手口を解説 first appeared on トレンドマイクロ セキュリティブログ.