攻撃者は、クリプトマイナーとLockbitランサムウェアも展開
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、攻撃者が米国の地方政府のサーバーに侵入し、5カ月間にわたって侵入したサーバーからハッキングツールとIT管理ツールを入手して攻撃に悪用していた方法と経緯に関する調査結果を発表しました。また、攻撃者は、データを外部に流出させ、Lockbitランサムウェアを展開する前に、クリプトマイナーもインストールしていました。これらの調査結果の詳細は、ソフォスが新しく公開した記事「Lockbitランサムウェアを展開する前に、政府機関のコンピュータに長期間常駐していた攻撃者」で参照できます。この調査からこの脆弱なサーバーに複数の攻撃者が侵入していたことが伺えます。この攻撃は、ソフォスのインシデントレスポンスチームによって封じ込められ、調査されました。
ソフォスの主任セキュリティ研究者であるアンドリュー・ブラントは次のように述べています。「この攻撃は非常に乱雑なものでした。ソフォスの研究者は、攻撃を受けていた組織と協力し、未熟と思われる攻撃者がサーバーに侵入し、ネットワークを嗅ぎまわり、侵入したサーバーからGoogleで検索して、ハッキングツールと正規の管理ツールの海賊版と無料版を入手して攻撃に使用していたことを突き止めました。この攻撃者は侵入した後に何をすべきか迷っていたようです。侵入してから約4カ月が経過した後、攻撃内容が変化し、これまでとは全く異なるスキルを持つ人物が攻撃に参加したことを示唆するような活動も見られました。これらの攻撃者は、さらにセキュリティソフトのアンインストールも試みています。最終的にデータを盗み出しており、Lockbitランサムウェアを展開して複数台のマシンのファイルを暗号化しています」
攻撃の順序
ソフォスの研究者は、この攻撃の最初の起点は、外部からサーバーにアクセスできるように設定されていたファイアウォールのリモートデスクトッププロトコル(RDP)のオープンポートであることを突き止めました。攻撃者がサーバーに侵入したのは、2021年9月でした。次に侵入したサーバーのWebブラウザを使用して、ハッキングに使用できるツールを検索して、インストールしようとしていました。また、ツールを検索しているときに、アドウェアを拡散している不審なダウンロードサイトにアクセスしてしまい、攻撃者が求めていたハッキングツールではなくアドウェアがこのサーバーに展開されたケースもありました。
今回の調査では、1月中旬に攻撃者の行動が大きく変容し、高度なスキルを有する攻撃者による活動が集中していたことが分かりました。これらの攻撃者は、攻撃を受けていた組織がメンテナンス終了後に保護機能を不用意に無効にしたことを悪用して、悪意のあるクリプトマイナーを展開し、セキュリティソフトウェアをアンインストールしようとしていました。次に、攻撃者はデータを収集して漏洩させ、Lockbitランサムウェアを展開しました。ランサムウェア攻撃は一部しか成功せず、攻撃者がデータを暗号化できなかったマシンもありました。
常に組織を保護するために
攻撃のためにインストールが試行されたツールには、Advanced Port Scanner、FileZilla、LaZagne、mimikatz、NLBrute、Process Hacker、PuTTY、Remote Desktop Passview、RDP Brute Forcer、SniffPass、およびWinSCPがありました。また、ScreenConnectやAnyDeskなどの商用のリモートアクセスツールもインストールされていました。
先述のブラントは次のように述べています。「ITチームのメンバーが明確な目的を持ってこれらのツールをダウンロードしていない限り、ネットワーク上のマシンにこれらのツールが存在していることは、攻撃が進行している、あるいは差し迫っている危険な信号です。また、ネットワークのスキャンなど、予期しない、あるいは通常とは異なるネットワークアクティビティも攻撃の兆候となります。ネットワーク内部からのみアクセスできるマシンでRDPログインが何度も失敗している場合、ブルートフォースツールを使用してラテラルムーブメントを実行している可能性があります。ITチームがインストールしていない、あるいは過去に使用したことがあり、しばらく使用していない市販のリモートアクセスツールが突然利用され接続されている場合も同様に攻撃の恐れがあります。堅牢でプロアクティブな24時間365日体制の多層防御を講ずることが、長期にわたるこのような攻撃とその発展を防止する鍵になります。最も重要となる最初のステップは、多要素認証の導入や、VPN接続がない場合にRDPポートへのリモートアクセスをブロックするファイアウォールのルール設定など、攻撃者がネットワークにアクセスできないように適切な対策を講ずることです。」
詳細については、ソフォスニュースの記事「Lockbitランサムウェアを展開する前に、政府機関のコンピュータに長期間常駐していた攻撃者」(※現在翻訳中。翻訳後、日本語が表示されます。 )を参照してください。