【資料】

◆APT5: Citrix ADC Threat Hunting Guidance (NSA, 2022/12/13)
[APT5: Citrix ADCのスレットハンティングのガイダンス]
https://media.defense.gov/2022/Dec/13/2003131586/-1/-1/0/CSA-APT5-CITRIXADC-V1.PDF

【関連情報】

◆「Citrix ADC」脆弱性、攻撃グループ「APT5」が悪用か - 米政府指摘 (Security NEXT, 2022/12/14)
https://www.security-next.com/142199
⇒ https://malware-log.hatenablog.com/entry/2022/12/14/000000_2

◆米、ハッカーのスパイ行為警告　シトリックス機器の脆弱性悪用 (ロイター, 2022/12/14 10:06)
https://jp.reuters.com/article/cyber-citrix-china-idJPKBN2SY01U
⇒ https://malware-log.hatenablog.com/entry/2022/12/14/000000_3

【関連まとめ記事】

◆全体まとめ
　◆攻撃組織 / Actor (まとめ)
　　◆標的型攻撃組織 / APT (まとめ)

◆APT5 (まとめ)
https://malware-log.hatenablog.com/entry/APT5

【翻訳】

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
APT5: Citrix ADC スレットハンティングガイダンス
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

エグゼクティブサマリー

APT5は、Citrix® Application Delivery Controller™（ADC™）（以下、
Citrix ADC）に対する能力を実証しています。Citrix ADC を標的とす
ることで、通常の認証制御を回避し、標的の組織への不正アクセスを容
易にすることができます。このため、NSAはパートナーとの協力のもと
、この種の活動の痕跡を探すために組織が取るべき手順を提供するため
に、本脅威狩りのガイダンスを作成しました。このガイダンスは、これ
らの環境を標的とする際に行為者が使用する可能性のあるすべての技術、
戦術、または手順（TTP）を表すものではないことに注意してください
。この活動は、UNC2630 および MANGANESE としても知られる APT5 に
起因するものであるとされています。

はじめに

NSAは、Citrix ADC環境をホストする組織に対して、調査の一環として
以下の手順を実施することを推奨します。これらの検出メカニズムは、
影響を受けるシステム上で潜在的に悪意のある活動を特定する独立した
方法として扱ってください。アーティファクトは、環境とその活動の段
階に基づいて異なる場合があります。そのため、NSAは、他の検出結果
で何も発見されなかった場合でも、すべての肯定的な結果を調査するこ
とを推奨します。

ファイルの完全性

継続的なアクセスを可能にする悪意のある行為者は、おそらく正規のバ
イナリに変更を加える必要があります。したがって、NSAは、組織が定
期的に環境内の主要な実行ファイルをチェックし、実行中のバージョン
に関連する既知の良好なコピーから逸脱していないかを確認することを
推奨します。キーとなる実行ファイルは、Citrix ADCアプライアンスを
適切に実行するために不可欠なバイナリです。これらのファイルには、
nsppe、nsaaad、nsconf、nsreadfile、およびnsconmsgが含まれますが
、これらに限定されるものではありません。この比較を容易にするため
に、シェルから次のコマンドを実行できます。

cd /netscaler ; for i in "nsppe nsaaad nsconf nsreadfile nsconmsg"; do md5 ${i} ; done

MD5ハッシュは、ベンダーの既知の良いハッシュまたはベンダーか
らダウンロードした既知の良いコピーからのそれぞれのバイナリーのハ
ッシュと比較されるべきです。偏差がある場合は、さらに調査が必要で
す。

さらに、次のコマンドは、APT5 の 1 つの手法による改ざんを示すこと
ができます。これは、1行の出力で示されますが、それ以外の出力はあ
りません。

procstat -v $(pgrep -o -i nsppe) | grep "0x10400000 " | grep "rwx"

NSA はまた、組織がシステムのフォレンジック履歴を作成するために、
定期的に技術サポートバンドル1 および/または実行環境のスナップシ
ョットを取り、オフラインまたはその他の不変の場所に保存することを
推奨しています。これらのバックアップは、実行中のインスタンスを比
較したり、疑わしい活動が確認された場合にイベントを再構築したりす
るために使用することができます。

行動チェック

正規のバイナリの改変に加え、APT5の活動の一部は、様々なシステムロ
グで確認できる可能性があります。様々なシステムログで確認すること
ができます。NSA は、組織が dmesg や ns.log を含むすべてのシステ
ムログに対してオフデバイスのロギングメカニズムを活用し、以下の活
動を積極的に監視することを推奨しています。

・pb_policyのインスタンスが、予想される管理者の活動にリンクされて
　いない状態でログに表示される。ログに表示される例。

　・行為者は、「pb_policy」を2回実行するツールを活用していること
　　が確認されています。
　　これにより、ns.logに以下のようなログが作成されます。

　　 [hostname] pb_policy: Changing pitboss policy from X to Y
　　 [hostname] pb_policy: Changing pitboss policy from Y to X

ここで、XとYはお使いのシステムでの定数値です。

・ログにギャップがある、またはデバイス上のログとリモート・ログ・ソ
　リューションのログが不一致である。
・その環境の ID プロバイダから有効な SAML トークンが発行されたとい
　う対応する記録がない、正当なユーザー・アカウントの活動。
・ユーザー権限の不正な変更。
・crontabファイルへの不正な変更、および/または/var/cron/tabs/や他
　の場所での疑わしいファイルの存在。

　　・この活動に関連するファイルは、影響を受ける組織の一部（すべて
　　　ではありません）の/tmpで発見されています。
　　・以下のコマンドは、このアクティビティに関連するファイルを見つ
　　　けるのに役立ちます。これらのファイルはすべての環境で発見され
　　　ているわけではありませんが、発見された場合、その存在は行為者
　　　の活動を示している可能性があります。

　　　find / -type f -name “res*” | grep -E ‘res($|\.[a-z]{3})$’

検出方法

このキャンペーンで使用されているマルウェアを検出するために使用で
きるYARAシグネチャを以下に示します。このキャンペーンでアクターが
使用したマルウェアを検出するために使用できるYARAシグネチャを以下
に提供します。

rule tricklancer_a {
 strings:
 $str1 = "//var//log//ns.log" nocase ascii wide
 $str2 = "//var//log//cron" nocase ascii wide
 $str3 = "//var//log//auth.log" nocase ascii wide
 $str4 = "//var//log//httpaccess-vpn.log" nocase ascii wide
 $str5 = "//var//log//nsvpn.log" nocase ascii wide
 $str6 = "TF:YYYYMMddhhmmss" nocase ascii wide
 $str7 = "//var//log//lastlog" nocase ascii wide
 $str8 = "clear_utmp" nocase ascii wide
 $str9 = "clear_text_http" nocase ascii wide
condition:
 7 of ($str*)
}
rule tricklancer_b {
 strings:
 $str1 = "nsppe" nocase ascii wide
 $str2 = "pb_policy -h nothing" nocase ascii wide
 $str3 = "pb_policy -d" nocase ascii wide
 $str4 = "findProcessListByName" nocase ascii wide
 $str5 = "restoreStateAndDetach" nocase ascii wide
 $str6 = "checktargetsig" nocase ascii wide
 $str7 = "DoInject" nocase ascii wide
 $str8 = "DoUnInject" nocase ascii wide
 condition:
 7 of ($str*)
}
rule tricklancer_c {
 strings:
 $str1 = "is_path_traversal_or_vpns_attack_request" nocase ascii wide
 $str2 = "ns_vpn_process_unauthenticated_request" nocase ascii wide
 $str3 = "mmapshell" nocase ascii wide
 $str4 = "DoUnInject" nocase ascii wide
 $str5 = "CalcDistanse" nocase ascii wide
 $str6 = "checkMyData" nocase ascii wide
 $str7 = "vpn_location_url_len" nocase ascii wide
condition:
 5 of ($str*)
}

緩和策

上記の検出方法による結果が得られた場合、NSAは、お客様の環境で適
用可能な範囲で、活動を軽減するために以下の手順を推奨します。

• すべてのCitrix ADCインスタンスを、ADCにアクセスする前に有効なユ

ーザー認証（理想的には多要素）を必要とするVPNまたは他の機能の背
後に移動する。

• Citrix ADCアプライアンスを環境から分離し、悪意のあるアクティビテ

ィを確実に抑制します。

• Citrix ADCを既知の正常な状態に復元します。

悪意のある活動の兆候がない場合でも、Citrix ADCアプライアンスが最
新のアップデートで最新バージョンを実行していることを確認します。

まとめ

この分析から得られた指標とコンテキストは、この悪意ある活動に対す
る防御の目的で組織が使用することができます。NSA は、この活動に対
する理解を深め、防衛産業基盤、DoD、および USG の全体的なセキュリ
ティ姿勢を改善するために使用できるように、追加の洞察や発見があれ
ば NSA サイバーセキュリティコラボレーションセンターで共有するこ
とを要請します。

謝辞

NSA は、Citrix およびその他の業界パートナーの皆様に感謝いたします。
このガイドの作成にご協力いただきました。

追加情報

[1] https://support.citrix.com/article/CTX227560/citrix-adc-logs-collection-guide
[2] https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-availablefor-citrix-adc-citrix-gateway/