リサーチャーが徹底分析 脅威アクターAmoeba（アメーバ）の実態とその手口を解き明かす：CODE BLUE 2023レポート（2/2 ページ）

[高橋睦美，ITmedia]

AmoebaのTTPはどこが優れているのか？

　リー氏は続けて、Amoebaが利用しているTTP（戦術、技術、手順）について解説した。

　Amoebaは初期アクセスからマルウェアのインストールやラテラルムーブメント、そして暗号化という4つの段階を経てサイバー攻撃を実施している。

　初期アクセスで彼らがターゲットにしているのは、Zoho ManageEngine Desktop CentralやMicrosoft Exchange Server、Pulse SecureのVPN、あるいはWebの脆弱性など、「インターネットに面し、外部からアクセス可能なサービス」だ。さらに「彼らはターゲットとなるサービスに関する情報を積極的に収集し、初期侵入手法に素早く反映させています」（リー氏）

　マルウェアのインストールでは、Cobalt Strike Beaconのようによく使われるツールに加え、バッチスクリプトなど最低限の機能を備えたシンプルなツールを用いる傾向がある。

　「つまりAmoebaは被害者の環境に長期的なアクセスを維持することには関心がなく、むしろ素早く次のステージに移りたいと考えていることが分かります」（リー氏）

　その次のステージというのがラテラルムーブメントだ。ここでは何らかのマルウェアやツールを使うのではなく、ターゲットの環境に元からあるRDPや「PsExec」といった機能を使った「Living off the Land」（環境規制型）攻撃が実行されている。これも目的は明確で「EDR（Endpoint Detection and Response）などセキュリティ製品の検知をかいくぐり、より活動しやすくするために使われています」とリー氏は説明した。

　最後が暗号化だ。Amoebaは当初、チャン氏が紹介したように、カスタムツールのColdLockを使っていたが、最近ではBestCryptやBitLockerといった合法的なツールが用いられるようになった。リー氏によると、この狙いはEDRなどのセキュリティ製品の検知を回避するためだという。つまり、いかに自身の活動を隠しつつ、素早く目的を達成するかに彼らがフォーカスしていることが分かる。

　リー氏はこの他、調査の過程で複数のバッチスクリプトを入手したが、そこからも幾つか興味深い事柄が判明した。

　まず収集されたスクリプトはほぼ似たようなものだった。リー氏は「これらのスクリプトはあらかじめ準備されたものと考えられます。もしかすると脅威アクターは、ランサムウェア活動をより効率的にスケールアップさせるため、標準手順書を用意しているのかもしれません」と語る。

　奇妙なことに、スクリプトの中にはロシア語のメッセージも含まれていた。ただリー氏はこれについて「偽旗作戦であり、ロシア由来の攻撃であるとアナリストに思わせようとしたもの」と判断している。

　一連の調査からはAmoebaと別のランサムウェアグループ「Hades」とのつながりも見えてきた。

　Hadesは2020年12月から攻撃を展開しているランサムウェアアクターだ。リー氏は「特徴の一つは『Revil』や『Conti』といった他の有名なランサムウェアファミリーのランサムノートをコピーして使うことで、自分たちの出自を隠して操作をかく乱しようと試みていると考えられます」と話す。Hadesについてはすでに「EvilCorp」や「Hafnium」「GoldWinter」とのつながりが指摘されているが、同氏らはさらに、Amoebaとの関係性も考えられるとした。

　根拠の一つは、どちらも公になる前からPxoryLogonの脆弱性を悪用していたことだ。また、暗号化にBitLockerやBestCryptを使うこと、C2サーバのIPアドレスが共通であることなども両者のつながりを示唆するものだという。

　ただリー氏によると、Hadesのアクターは経験が浅いように思える節があるという。「彼らは重要な機密文書を盗んだと宣言して脅迫を実行しましたが、リーク内容を見るとそれほど重要なものではありませんでした。また、被害者へのレスポンスも遅いようです」（リー氏）

　つまり、Hadesはランサムウェア攻撃を実行しながらも、そのオペレーションにフォーカスしているわけではなく、別の収入源を持っている可能性が考えられる。こうした情報を基に「Hadesランサムウェアギャングは氷山の一角で、背後にはさらに大きな脅威アクターがいるのではないかと考えられます。それはAmoebaかもしれません」と述べた。

予算不足か陽動か？　Amoebaの背景とは

　過去に発生した侵害事件を踏まえて、米国政府は2020年9月、Amoebaのメンバー5人を訴追している。起訴状では、彼らが中国の民間セキュリティ企業であるChengdu 404に所属し、同社は中国国家安全部（MSS）などの委託を受け、ペネトレーションテストなどのサービスを展開していることも記されていた。

　このことから「Amoebaは政府から委託を受けて活動している、民間の請負業者である可能性があります。そして複数のチームに分かれ、それぞれ異なる目的を持ってオペレーションしていると考えられます」とリー氏は述べた。

　Amoebaには、いわゆるAPTとしてさまざまな諜報活動を実行しているアクターもあれば、全世界でランサムウェア攻撃を展開し、金銭的な利益を得ようとしているアクターもある。

　一つの仮説として、「中国の経済停滞によって政府からの予算がカットされ、金銭的な問題を抱えているためにこうした攻撃を仕掛けている可能性もあります。一方で、諜報活動を隠蔽（いんぺい）し、痕跡をごまかし、偽旗作戦を目的に攻撃を展開している可能性もあります」（リー氏）

　Amoebaは正規のツールを使って、痕跡を残さないよう注意を払いつつ、ときにロシアや東方のハッカーを装いながら、諜報活動とランサムウェア攻撃の両方面で活動している。まだ明瞭なTTPが明らかになっていないため検知や対応は難しいのも事実だが、パッチの適用やシステムのアップデート、脅威インテリジェンスの活用とTTP、IoCの把握を通じて備えて欲しいと両氏は呼びかけた。