REvil が復活?それとも模倣犯か?
エグゼクティブサマリー
Akamai の研究者は、Akamai の顧客企業の 1 社に対する分散型サービス妨害(DDoS)キャンペーンを監視しています。攻撃者は、悪名高いランサムウェア・アズ・ア・サービス(RaaS)グループ、REvil との関連を主張しています。
今のところの攻撃は、キャッシュバスティング手法を使用した HTTP/2 GET リクエストの大量送信で、標的の Web サイトに過剰な負荷をかけるというものです。
リクエストには、支払い要求、ビットコイン(BTC)ウォレット、およびビジネスと政治に関する要求が組み込まれています。
REvil が仕掛けたと主張している従来の類似キャンペーンに比べて、今回の攻撃は規模が小さく、また、脅迫攻撃にはこれまで見られなかった政治的な目的が関連しているようです。
今のところ BTC ウォレットに履歴はなく、REvil の使用が判明している既知の BTC ウォレットにも関連付けられていません。
概要
悪名高いランサムウェアグループである REvil は、当然のことながらセキュリティコミュニティーではよく知られています。REvil が注目されたのは、 2021 年の Kaseya に対するランサムウェア攻撃への関与が指摘されてからでした。また、 REvil は同年に行われた JBS に対する壊滅的な攻撃でも主要な役割を果たしました。REvil は、ロシア政府により 2022 年 3 月に 解体されたと伝えられています。 同政府は REvil メンバーを取り締まり、その一環として、 Colonial Pipelineに甚大な被害を与えたキャンペーンの開始をサポートしたメンバーを逮捕しました。
先週、Akamai Security Intelligence Response Team(SIRT)は、ホスピタリティ業界の当社顧客が REvil を名乗るグループからレイヤー 7 攻撃を受けていることを確認しました。この投稿では、今回の攻撃について説明するとともに、REvil グループとの関連が噂されているこれまでの攻撃との比較も行います。
攻撃
2022 年 5 月 12 日、SIRT チームは、REvil との関連を主張するグループからの攻撃について Akamai の顧客から通報を受けました。私たちは直ちにデータの分析を開始し、他の攻撃データと相互参照を行って、この主張の信憑性について検討しました。
今回の攻撃は組織的な DDoS 攻撃で、トラフィックのピークは 15 kRps に達し、単純な HTTP GET リクエストで構成されていました。リクエストパスには、標的に対して支払いを要求する 554 バイトのメッセージが含まれていました。メッセージは、攻撃停止の条件として、あるウォレットアドレスに BTC を送金するよう指示していました。さらに、特定地域に関する要求として、標的となった企業に、その特定の国全域での業務停止を求めていました。企業がビジネスと政治に関する要求に従わず、指定された期日までに支払いを行わなかった場合、攻撃を続行してグローバルな事業活動に影響を与えると脅迫したのです。
このキャンペーンは、 Impervaが公開したパターンと類似していました。標的となった企業の運用チームや経営陣に向けられた脅迫メッセージの一部として、URL に「revil」の文字列が含まれていたのです。
攻撃の詳細と侵害指標
キャッシュバスティング
脅迫が含まれるリクエストパスは静的でしたが、ランダムに生成された 8 文字のユニークな文字列が末尾に付加されていました。また、8 文字のユニークなクエリー文字列も追加されていました。これは典型的なキャッシュバスティング手法です。すべてのリクエストがユニークになるので、キャッシングを回避して、結果的にオリジン・ウェブ・サーバーからの取得が必要なリクエストになります。
HTTP ヘッダー
さらに、攻撃中のすべてのリクエストにおいて、「Accept」リクエストのヘッダーに、承認されたメディアタイプの静的なリストが長々と含まれていました。この組み合わせと順番は、ある程度ユニークであり、攻撃イベント中に攻撃元の身元を割るのに役立つ可能性があります。
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
また、User-Agent リクエストのヘッダーにも注目すべき点があります。攻撃イベント全体を通じてすべての攻撃元で、ばらつきの無い、単一で静的な User-Agent 文字列が観察されました。
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
HTTP GET リクエストのヘッダーも「典型的な」パターンと比べると順番がばらばらで、独自に開発した DDoS 攻撃ツールを使用している可能性があります。こうした値はキャンペーン毎に変わる可能性があるので、単にパターンのシグネチャーを書き込むだけでは、侵害指標(IoC)の観点では防御者の役に立たないかもしれません。
今回の攻撃キャンペーンでは、数千もの攻撃元においてこうした値は静的な状態でした。つまり、防御者は、信号対雑音識別およびシグネチャー書き込み、および/またはブロックプロセスを利用して、類似したパターンを特定できる可能性があります。
プロキシとルーター
攻撃期間中、HTTP ヘッダーは静的な状態のままでしたが、攻撃に参加している IP はかなり巧みに分散されていました。攻撃元を分類すると、参加している IP の多くは、MikroTik の、プロキシサービスを提供するデバイスまたはサーバーのいずれかに該当するようでした。プロキシノードはある程度固定されているようでした。というのも、プロキシ機能を利用するためには、少なくともユーザー名とパスワードが必要だからです。これらは、インターネットで広く開示されているプロキシではなく、誰かが見つけて手当たり次第に利用できるものではありません。攻撃者とプロキシシステムの間にはある程度の連携が必要であり、既存のプロキシボットネットへのアクセスが利用され、販売された可能性が高いと考えられました。
Meris ボットネット
攻撃元で特定された MikroTik デバイスの数を考慮すると、今回の攻撃をサポートしているのは MikroTik ベースの Meris ボットネットではないかという仮説が浮上してきました。しかし、攻撃中に収集された情報に基づいてこの仮説の真偽を確かめることは困難です。また、MikroTik 以外の攻撃元が使用しているプロキシサービスは、Meris による攻撃が進化した際に Meris の運用者が使用していたものと同様の方法で保護されているように見えました。
これまで Meris は、記録的な非常に規模の大きい DDoS 攻撃が可能だと考えられてきました。過去の事例では、2 mRps を超えるリクエストで 2 Tbps 以上の圧倒的な攻撃を展開し、HTTP パイプラインと高度な手法を巧みに利用しています。対照的に、今回のキャンペーンのピークは約 15 kRps(または報告されたピーク Rps の 0.6% 以下)であり、高度とは言い難いレベルでした。
多くの攻撃元が攻撃トラフィックにプロキシサービスを提供している MikroTik デバイスであり、こうした方法でプロキシを利用するためにはプロキシサービスに適用されるユーザー名とパスワードを事前に把握しておく必要がある、という事実に変わりはありません。もしかしたら、Meris ボットネットは「売り出し中」なのかもしれません。闇市場で悪性のプロキシネットワークが販売されるのは有り得る話です。また、これが「ブリング・ユア・オウン・ボットネット」(自分のボットネットを持ち込む)型のケースである可能性もあります。この場合、Meris にサポートされた攻撃者が、それほど高度ではなく拡張性も低いツールを使用して攻撃を仕掛けてくるかもしれません。
REvil の典型的な手口
REvil が本当に復活したのか、または模倣犯の犯行なのか検討するためには、REvil の手口として知られてきたパターンを調べ、2 つの状況を比較して違いを明らかにする必要があります。
REvil は、これまで RaaS グループとして活動しており、ツールキットと専門知識を武器にしながら組織に対するランサムウェア攻撃を請け負ってきました。この点は、ランサムウェアグループの Conti に似ています。Conti については 以前の投稿で詳しく取り上げています。
今回の攻撃には、このグループとしては「新しい」種類の手口が見られます。これまで、REvil が三重脅迫の一手段として DDoS を利用した 前例はありますが 、この手法は彼らにとって一般的な戦術ではありません。REvil 一味は RaaS プロバイダーですが、今回のインシデントにランサムウェアは登場していません。通常、彼らは標的とするネットワークや組織へのアクセスを獲得して機微な情報の暗号化や窃盗を図り、復合化や最高額入札者への情報漏洩の停止と引き替えに支払いを要求したり、機密情報や損害を与える情報を公開すると脅したりするのです。
また、今回の攻撃にはやや政治的な動機が見られ、標的となった企業のビジネスモデルに関する最近の判決に関連があるようです。これまで REvil は、純粋な営利主義を公言してきました。彼らの攻撃はエスカレートする傾向が強く、データの破壊、または組織に損害を与える可能性のある機密情報の公開予告が含まれ、こうした脅迫に屈して従順に支払うことを期待するものでした。過去に報告された他の攻撃では、REvil と政治的なキャンペーンのつながりは見つかりませんでした。
REvil が収益性の高いビジネスモデルとして DDoS 脅迫を試している可能性も否定できませんが、より有力だと考えられるのは、これまでの DDoS 脅迫キャンペーンを新たなキャンペーンに再利用して恐れさせる戦術であるという説です。 DD4BC から Fancy Lazarus 、そして REvil に至るまで、DDoS 脅迫に関してはいかに恐れさせるかが最も重要であり、被害者を支払いに追い込むには、悪名高いグループの名前を利用して各業界の経営陣やセキュリティチームを震えあがらせることほど効果的な方法はありません。
結論
脅迫グループが手法を変更する場合、新しいビジネスモデルへの転換、スキルセットの劇的な変化、グループの分裂などさまざまな理由が考えられます。あるいは、関連のない模倣犯がそのグループの悪い評判を利用して、近視眼的で感情的に反応する被害者から簡単に金銭を得ようと目論んでいるのかもしれません。今回紹介したケースがどれに当てはまるのか、現時点でははっきりしていません。しかし、特に先月は REvil 復活の可能性が話題になっており、他の組織もこのように変化した手法やキャンペーンの被害に遭うかもしれないので、注意を喚起したいと考えました。
Akamai SIRT の目標は、新たな発見を追跡、検知、文書化、公開して、Akamai と Akamai の顧客、およびインターネット全体のセキュリティと安定性を守ることです。これからも、こうした攻撃の監視を続け、ブログを適宜更新していきます。
