ああ、あの感じ、みんなも経験あるだろう。企業からの告知メールや、しつこいマーケティングキャンペーンで、受信トレイがデジタルゴミ箱と化している状態だ。まさに、新たに確認された脅威アクターであるUNC6692が武器としているのが、この混沌とした状況なのだ。日々デジタル上の「汚れ」と格闘している我々にとって、攻撃者はゼロデイ脆弱性のような隠密な手法を磨き上げるか、あるいはランサムウェアで一獲千金を狙うだろうと予想していた。しかし、今回の手口は? これは、純粋な「量」で増幅された、古き良き心理戦であり、驚くほど効果的だ。
UNC6692のやり口は…率直に言って、その卑劣さにおいて、ある種の「天才」と呼ぶにふさわしい。まず、メールの津波から始まる。単なるスパムメール数通ではない、デジタルなヒドラと戦っているような感覚に陥らせる、圧倒的な洪水を仕掛けてくる。そして、相手が右往左往しているまさにその時、あなたのIT部門、あるいは「IT部門になりすました誰か」がMicrosoft Teamsに現れ、この混乱を解決する手助けを申し出る。まるで、路上でひっくり返った買い物袋を拾うのを手伝ってくれるふりをして、財布をスッたようなものだ。
ただの古びた手口か?
車輪の再発明ではない、と? ITサポートになりすます? やったことある、それで? 偽のログインページに誘導する? 退屈だ。だが、今回の連携こそが、この攻撃の悪質さの核心なのだ。攻撃者は被害者のブラウザ(具体的にはMicrosoft Edge、これは…奇妙だが、詳細が重要だろう)をチェックし、偽のメールボックス修復ユーティリティを表示させる。このユーティリティは、裏でAutoHotKeyスクリプトのダウンロードと実行を黙々と行い、そしてJavaScriptベースのバックドア「Snowbelt」をデプロイする。これは、Chromiumブラウザ拡張機能として偽装されている。まるでマルウェアのマトリョーシカ人形のようで、それぞれの層が、本当のダメージが進行している間に、あなたを虚偽の安心感へと誘い込むように設計されているのだ。
そして、持続性(Persistence)? ああ、それも抜かりない。AutoHotKeyスクリプトへのショートカットは、Windowsのスタートアップフォルダに放り込まれる。ウィンドウレスのEdgeプロセスがSnowbeltをロードし、次に現れるかもしれないどんな空っぽのEdgeプロセスも ruthlessly に駆逐するよう、2つのタスクがスケジューリングされる。これはデジタルな感染症であり、彼らはそれが根付くことを確実にしているのだ。
GTIGは、「UNC6692キャンペーンは、現代の攻撃者がソーシャルエンジニアリングと技術的な回避策をどのように組み合わせて環境に足がかりを得るかを示している。[…] 信頼できるクラウドプラットフォームに悪意のあるコンポーネントをホストすることで、攻撃者はしばしば従来のネットワーク評判フィルターを回避し、正当なクラウドトラフィックの大量に紛れ込むことができる」と指摘している。
さて、ここからが話が面白くなり、正直に言って、私の懐疑主義がフル稼働する部分だ。AWS S3バケットにホスト? 信頼できるクラウドプラットフォームを使って悪意のあるトラフィックを隠蔽? これは単にバックドアを仕掛けるだけでなく、そのバックドアを可能な限り見えなくすることなのだ。彼らは森に隠れているのではなく、「木々」の中に隠れているのだ。正規のビジネスが依存しているインフラストラクチャそのものを使って、自分たちの存在を覆い隠している。それは賢明で、まったくもって邪悪な手口だ。誰がお金を得ているのか? 明らかに、UNC6692の背後にいる者たち、そしておそらく彼らが窃取したデータを購入している者たちだ。本当の疑問は、我々が彼らをいつまで許し続けるのか、ということだ。
「スノー」マルウェアの正体は?
Snowbeltで扉を開けたら、いよいよ本番だ。さらなる「お宝」— より多くのAutoHotkeyスクリプト、ZIPアーカイブ、そして極めつけには「Snowglaze」と「Snowbasin」と名付けられたコンポーネントのダウンロードが始まる。PythonベースのトンネラーであるSnowglazeは、攻撃者のコマンド&コントロールサーバーへの安全なWebSocketトンネルを確立する。これは、あなたの侵害されたネットワークから彼らの「悪の巣窟」への、プライベートで暗号化された道路のようなものだ。SOCKSプロキシ操作を可能にし、つまり彼らはあなたのネットワークを経由してトラフィックをルーティングし、あたかも「あなた」がそれを行っているかのように見せかけることができる。彼らにとっては便利だが、あなたにとっては恐ろしい。
一方、Snowbasinは、持続的なバックドアだ。ローカルHTTPサーバーとして機能し、コマンドの実行、スクリーンショットの取得、そして見つけられる限りのあらゆるデータを吸い上げる準備ができている。Snowbelt、Snowglaze、Snowbasinという一連のセットアップは、連携された攻撃だ。単一のツールではなく、サイバー犯罪の「スイスアーミーナイフ」であり、初期侵入からラテラルムーブメント、そして最終的にはあなたの機密情報への深層探索までを可能にするように設計されている。彼らは単にデータを盗んでいるのではなく、あなたのデジタル王国の全体像をマッピングしているのだ。
ラテラルムーブメントは特に恐ろしい。SnowglazeはPsExecセッションをシステムに確立するために使用され、管理者アカウントを列挙する。次に、RDPを使ってバックアップサーバーに飛び移る。おそらく、そのSnowglazeトンネルを経由してだ。そこから、LSASSプロセスのメモリ—認証情報の宝庫—をダンプし、LimeWire(そう、あの「LimeWire」、どうやらマルウェアのデータ窃取ツールとして復活したらしい)を使ってそれを窃取する。その後、Pass-The-Hash攻撃を使ってドメインコントローラーに到達し、FTK Imagerのようなツールを掴み、ADデータベースファイル、SAM、System、Securityのレジストリハイブを引っ張り出す。あなたのネットワークの最も重要なデータの、完全かつ体系的な「根こそぎ採掘」だ。
なぜこの「スノー」キャンペーンは懸念されるのか?
これは単なる新しいマルウェアの話ではない。それは「方法論」の話だ。UNC6692は、古い戦術に、執拗で圧倒的なアプローチ、そしてクラウドインフラストラクチャの巧妙な利用を組み合わせることで、依然として極めて強力になり得ることを証明している。彼らはファイアウォールを回避するだけでなく、人間の心理—我々が圧倒され、助けを求め、慣れ親しんだものを信頼しがちな傾向—をも回避しているのだ。そして、正規のクラウドトラフィックに紛れ込むことで、従来のセキュリティツールでさえ彼らを見つけるのが困難になっている。これは、心理的な操作と技術的な回避策の巧妙な融合であり、新しいアンチウイルスを導入するだけでは不十分な、よりニュアンスのある防御が必要となるだろう。
初期のAPT攻撃を少し彷彿とさせる。あの頃は、忍耐と綿密な計画が重視されていた。しかし、これは…より速く感じられる。より「力任せ」でありながら、後段では外科医のような正確さを持っている。Active Directoryデータベースを直接狙うという事実は、率直に言って、憂慮すべきレベルの野心を示している。彼らは一攫千金を狙っているのではなく、内側から解体することを目指しているのだ。そして率直に言って、2000年代初頭の復活したP2Pファイル共有アプリケーションを使ってデータを窃取しているという事実は、最も obscure なツールが最も危険なものになり得るということを、 stark に思い出させる。
🧬 関連インサイト
よくある質問
「スノー」マルウェアは何をするのか?
「スノー」マルウェアは、UNC6692脅威アクターによって使用されるモジュラーフレームワークである。そのコンポーネントであるSnowbelt、Snowglaze、Snowbasinは連携して、認証情報の窃取、ネットワーク内でのラテラルムーブメント、データ窃取のための永続的なバックドアの確立を行う。
UNC6692はどうやって被害者のシステムに侵入したのか?
UNC6692は二段構えのアプローチを用いる:まず、被害者に大量のメールを浴びせかけ、次にMicrosoft Teamsのようなプラットフォームを介してITサポートになりすまし、ユーザーをユーティリティとして偽装された悪意のあるコードのダウンロードと実行に誘導する。
この攻撃は特定の企業を標的としているのか?
記事では特定の被害者は名指しされていないが、攻撃の巧妙さから、価値のあるデータを持つ組織、おそらくこのような手の込んだキャンペーンに必要な労力とリソースに見合うだけの、より大規模な企業を標的としていることが示唆される。
