Talos IR 対応業務でランサムウェア関連が大幅に増加、教育は依然として最も狙われる分野の 1 つ
ランサムウェアが初めて 2023 年の脅威のトップに ─ Talos インシデント対応チームの 2023 年第 4 四半期レポート
Talos インシデント対応チーム(Talos IR)によると、プレランサムウェア活動(ランサムウェアが展開されるまでの間によく見られる活動)も含め、ランサムウェアが 2023 年第 4 四半期に観測された脅威のトップとなり、インシデント対応業務の 28% を占めました。特に前四半期から 17% 増加しています。
Talos IR は、今四半期に初めて Play、Cactus、BlackSuit、NoEscape の 4 つのランサムウェアの活動を観測しました。
Talos インシデント対応チームの四半期レポート(1 ページの概要)
2023 年第 4 四半期に Talos IR が実際に確認した脅威、攻撃者、戦術の簡単な概要です。
011924 IR Q423.pdf 179 KB
2023 年第 4 四半期の Talos IR の四半期レポートに記載されているように、チームは侵入後のさまざまな活動で数々のインシデントに対応しました。これらの攻撃は規模が限定的でしたが、攻撃者の目的が完全に特定される前に、攻撃チェーンの早い段階でセキュリティの取り組みによって阻止されました。今四半期のその他の主な脅威としては、組織内に潜む脅威による攻撃や、悪意のある QR コードを使用した一連のフィッシング攻撃などがありました。
最も多く狙われた業種は教育と製造業であり、同率でインシデント対応総数の約 50% を占め、医療と行政がそれに続きました。 前四半期と比較すると、教育分野を狙ったインシデントへの対応業務がわずかに増加した一方、製造業に影響を与えたインシデントへの対応業務は 10% 増加しました。
攻撃者がよく教育分野の組織を標的にするのは、ランサムウェア攻撃を行ったり、財務データやログイン情報などの、学生や教員の個人を特定できる機密情報(PII)にアクセスしたりするためです。セキュリティは依然としてコストセンターとみなされているので、学校ではサイバーセキュリティの機能が十分ではなくリソースも限られており、一般的には脆弱性が最も高くなっています。攻撃者は、学校のこうした状況に乗じて無差別に標的を定めているため、堅牢なサイバーセキュリティ プログラムを備えている学区も危険にさらされる可能性があります。流出した個人情報データは相変わらず攻撃者にとって魅力的な標的であり、後続の攻撃に利用されたり、ダーク Web フォーラムで販売されたり、金銭窃盗に利用されたりしています。
製造業は稼働停止に対する耐性が本質的に低いため、この業種ならではの課題に直面しています。その他多くの重要インフラセクターの基礎となるものを生産するという極めて重要な役割を担っているので、製造プロセスが中断すると製造業自体に影響が及ぶだけでなく、サプライチェーンや依存セクターにも連鎖的な影響を与える可能性があります。サプライチェーン攻撃は、製造業にとって非常に関心のある事項です。それは、こうした攻撃によってサプライチェーンの状況が不安定になり、資産や業務、評判を保護するために早急な注意と行動が必要になるためです。
ランサムウェアの活動が増加
Play ランサムウェア
Talos IR は、今四半期に初めて Play ランサムウェア攻撃に対応しました。攻撃者は正規のリモートアクセス ソフトウェアである AnyDesk を使用してアクセスを進め、持続的に攻撃を行っていました。攻撃者は PsExec を使用して、検出を回避するために複数のエンドポイントでセキュリティツールを無効にしました。PsExec は、ユーザーが別のコンピュータ上でプログラムを実行できるようにする IT 管理ユーティリティです。Windows レジストリなどさまざまな場所からログイン情報を収集した後、攻撃者は複数のドメインコントローラを侵害し、これを利用して環境全体にランサムウェアを展開しました。
別の Play ランサムウェアの対応業務では、攻撃者がユーザーのログイン情報を入手した後、組織のヘルプデスクに電話をかけて新しい多要素認証(MFA)デバイスを登録することで MFA をバイパスしようとしたと Talos IR は判断しましたが、信頼度は高くありません。これは、電話で被害者を騙そうとするソーシャルエンジニアリングの手法、「ビッシング」の一例です。Talos は、初期アクセスを成功させるためにビッシングを使用する他のランサムウェアやサイバー犯罪者グループを認識していますが、ビッシングはこれまで Talos が Play ランサムウェアのアフィリエイトの手法だと考えていたものではありません。また、攻撃者はオープンソースの Windows パスワードスプレーツール SharpSpray と、SurfShark および BlueVPS の仮想プライベートネットワーク(VPN)および仮想プライベートサーバー(VPS)プロバイダーに関連する IP アドレスを利用していました。Play ランサムウェアのアフィリエイトによって利用されたこれらの手法やツールは、オープンソースのレポートではこれまで情報がなかったので、新しく採用された手法である可能性があります。
ご紹介したインサイトについて Talos のインシデント対応担当者が語った内容を以下の『Talos IR On Air』の最新動画でご覧いただけます。
攻撃者はネットワークに侵入すると、「whoami」や「net group /domain」といった、システムの所有者や権限グループに関する情報を提供する列挙コマンドを実行しました。次に、ローカルセキュリティ機関サブシステムサービス(LSASS)のメモリからログイン情報をダンプし、Remote Desktop Protocol(RDP)を悪用して侵入を拡大しています。データの流出には、アーカイブツール WinRAR とオープンソースのファイル転送プロトコル(FTP)ツール WinSCP の組み合わせが使用されました。Talos IR は、スケジュールされたタスクやレジストリのスタートアップ項目など、攻撃者によって展開された複数の永続化メカニズムを特定しました。攻撃者は、ランサムウェアのバイナリを実行する前に複数のセキュリティツールを無効にし、ボリュームのシャドウコピーを削除していました。その狙いは、検出を回避し、システムの復旧を妨げることです。
2022 年 6 月に初めて発見された Play(別名 Playcrypt)ランサムウェアグループは、官民を問わず世界中の 300 以上の組織を標的としてきました。Play ランサムウェアのアフィリエイトは通常、被害者のネットワークに不正にアクセスし、ファイルを暗号化する際に「.PLAY」拡張子を付加します。Play ランサムウェア攻撃で利用される初期アクセス手段は、ソーシャルエンジニアリングから一般向けアプリケーションの脆弱性の悪用までさまざまです。
BlackSuit ランサムウェア
Talos IR はランサムウェアの対応業務において、BlackSuit ランサムウェアのインシデントに初めて対応しました。このインシデントで攻撃者は、窃取した VPN ログイン情報を使用して、MFA が有効になっていないアカウントにアクセスしました。攻撃者は、ログイン情報窃取ツール Mimikatz を使用してメモリからログイン情報をダンプする前に、ネットワークと権限グループを列挙していました。CVE-2020-1472 として追跡されている特権昇格の脆弱性「ZeroLogon」が攻撃者に悪用されています。この脆弱性により、認証されていない攻撃者がリモートでドメインコントローラにアクセスし、ドメイン管理者アクセスを取得できます。攻撃全体でコマンド & コントロール(C2)通信を行うために、正規のリモートアクセス ソフトウェア ScreenConnect も使用されていました。
2023 年 5 月に初めて発見された BlackSuit ランサムウェアは、Royal ランサムウェアの名称変更であることが疑われています。2022 年 9 月に初めて発見された Royal は、2022 年 5 月に自主的に活動を停止した Conti ランサムウェアの後継であるという仮説が立てられていました。Royal と Conti は、製造業、医療・公衆衛生(HPH)、教育などの重要インフラセクターを主な標的としていたことで知られています。BlackSuit ランサムウェアの活動はこのパターンを踏襲しており、2023 年は年間を通して主に教育セクターを標的としていました。年明けからすでに教育業界で被害が出ていることから、2024 年もこの傾向が継続すると予想されます。
Cactus ランサムウェア
Talos IR は、今四半期に初めて Cactus ランサムウェア攻撃に対応しました。攻撃者は流出したログイン情報を使用してアクセス権を獲得していましたが、この VPN アカウントは MFA で保護されていませんでした。攻撃を通して攻撃者は複数のアカウントを作成し、管理者グループに追加しました。これらのアカウントは、検出の回避、特権昇格、環境内での永続化のために使用されていました。攻撃者は、RDP、スケジュールされたタスク、および Windows Management Instrumentation Command(WMIC)を悪用して環境への侵入を拡大しています。いずれも、同様のランサムウェア攻撃でよく確認される手法です。アカウントポリシー、ユーザー権限、暗号化されたバージョンのパスワードが含まれている security レジストリキーファイルが攻撃者によって複製されましたが、security を逆にした「ytiruces」という名前に変更されていました。このファイルをコピーすることで、攻撃者はログイン情報へのアクセスを維持しようとしていた可能性があります。こうしておけば、後で復号して使用できます。Talos IR は、名前を逆にしたレジストリファイルの複製を他にもいくつか確認しています。これは、すでに持ち出されたファイルや分析されたファイルをマークするための手口である可能性があります。
2023 年 3 月に初めて発見された Cactus はサービスとしてのランサムウェア(RaaS)として活動し、脆弱性を悪用して、初期アクセスのためにマルバタイジングを利用することが知られています。Cactus ランサムウェアの標的や被害者は不特定多数かつ無差別的です。暗号化されたファイルの末尾には「.cts1」というファイル拡張子が付加されます(数値は被害者によって異なります)。Talos IR は、Cactus ランサムウェアのアフィリエイトがカスタムスクリプトを使用してセキュリティツールを無効にし、ランサムウェアを配布していることを確認しています。
NoEscape ランサムウェア
Talos IR は、今四半期に初めて NoEscape ランサムウェアに対応しました。攻撃者は、Citrix NetScaler Web アプリケーション デリバリ コントローラ(ADC)およびゲートウェイアプライアンスに存在する認証バイパスの脆弱性「Citrix Bleed」を悪用していました。Citrix 社は 2023 年 10 月にこの脆弱性に対するパッチをリリースしています。CVE-2023-4966 として追跡されているこの脆弱性を突くと、セッショントークンを取得することで、パスワードと MFA の要件をバイパスできるようになります。CVE-2023-4966 の悪用は、NoEscape ランサムウェア アフィリエイトによる新しい脆弱性の利用を示していますが、Citrix Bleed の標的化は、同グループがこれまで仮想デスクトップ インフラストラクチャを攻撃してきた状況と一致しています。この攻撃は、当初は LockBit 3.0 ランサムウェア アフィリエイトが主導していた、より広範な大規模攻撃の一環のようです。Talos では、影響を受けたシステムにパッチを適用するだけでなく、アクティブなセッショントークンもすべて無効にすることを推奨しています。というのは、いずれかのセッショントークンが窃取された場合、攻撃者に悪用される可能性があり、組織は攻撃に対して脆弱なままになるからです。
NoEscape のアフィリエイトは環境に対するアクセス権を取得した後、ITarian 社のリモート監視および管理(RMM)ソリューションなど、永続化メカニズムをいくつかインストールしていました。Talos IR はこれまで、ランサムウェアグループがリモートアクセス ユーティリティ ITarian を使用した事例を確認したことはありませんでした。攻撃者は、ITarian と他のツールによって付与されたアクセス権を利用して特権認証情報をさらに盗み出し、後でランサムウェアを展開するための準備を整えました。ITarian は、TeamViewer、Atera、AnyDesk、Syncro など、Talos IR がランサムウェア対応業務でよく見かける RMM と非常によく似ています。これらを使用すれば、ファイルやワークステーションにリモートでアクセスできます。Cobalt Strike や Sliver といった、プレランサムウェア活動でよく見られる他のツールもいくつか使用されていました。この 2 つの侵入テストとレッドチームのツールキットは、永続化、コード実行、ラテラルムーブメント(侵入拡大)で頻繁に使用されます。Sliver が使用されていたのは興味深い点です。Talos IR は 2022 年後半以降、ランサムウェア攻撃チェーンで Sliver が使用された事例を見たことがありません。Sliver インプラントは PEzor を使用して圧縮されていました。これは、ウイルス対策製品で検出されブロックされないように実行ファイルの内容を難読化するツールです。攻撃者は PsExec を利用し、ネットワーク上で 2 つのランサムウェアのペイロードをコピーして実行しました。
NoEscape は 2023 年 5 月に登場した RaaS であり、データの窃取や分散型サービス拒否(DDoS)攻撃など、複数の脅迫戦術を駆使して被害者から支払いを強要します。NoEscape は利益分配型のモデルを使用していますが、これはランサムウェアの開発者と、お金を払ってランサムウェアを使用するアフィリエイトやユーザーとの間で身代金の収益を分配するモデルです。多くの RaaS グループと同様に、NoEscape はさまざまな業界のあらゆる規模の組織を無差別に標的にしています。2023 年 12 月に Talos は、NoEscape の開発者が「出口詐欺」を働き、運営を停止する前に一部のアフィリエイトの預金と身代金を持ち逃げしたという、ダーク Web 上の主張を監視し始めました。NoEscape のリークサイトは 2023 年 12 月 9 日に閉鎖され、現在もオフラインになっています。
2023 年 12 月 19 日、米連邦捜査局(FBI)は、2021 年後半から活動していた ALPHV(BlackCat)ランサムウェアを阻止する取り組みを発表しました。今四半期 Talos IR では観測されませんでしたが、ALPHV は LockBit ランサムウェアに続き、2023 年に最も活動が多かったランサムウェアグループの 1 つです。法執行機関は、その能力を大幅に向上させている LockBit ランサムウェアグループに対抗するために、さらなるリソースを投入しました。Talos は法執行機関のこうした取り組みを評価しています。ここで注目すべきは、2023 年 12 月に LockBit ランサムウェアグループがロシア語圏のダーク Web フォーラムに ALPHV と NoEscape のアフィリエイト、および ALPHV の開発者を募集する旨を投稿したことです。現時点ではこの新しい戦略に関する情報が不足しているので、ALPHV のアフィリエイト候補者の誰かが LockBit について検討したか、または LockBit に異動したかどうかを判断するのは時期尚早です。ただし、もしも ALPHV と LockBit が協力することになれば、この戦術・手法・攻撃能力の潜在的な融合により、さらに強力で高度な検出回避機能を備えたランサムウェアの亜種が生まれる可能性が高く、検出と緩和の取り組みが複雑になり、新年を迎える中でランサムウェアの状況が大きく変わる可能性があります。
その他確認された脅威
組織内に潜む脅威への対応事例として、自分のアカウントが適切に停止されなかったことに不満をもった元従業員が、ネットワークスイッチのすべての設定をリモートで無効にしてからスイッチを再起動し、スイッチの機能を工場出荷時のデフォルト設定に戻した、というものがありました。スイッチは、ネットワークデバイスを接続し、すべてのトラフィックを管理するのに役立つハードウェアです。スイッチで障害が発生すると、ネットワークのダウンタイムや生産性の低下につながり、ネットワークがセキュリティリスクにさらされる危険性があります。Talos では、機密データの秘密保持、完全性、可用性を保護するために、組織が安全なオフボーディング手順を導入することを推奨しています。
ある一連のフィッシング攻撃では、複数の従業員が悪意のある QR コードが記載されたスピアフィッシングメールを受け取り、コードをスキャンしたところ偽の Microsoft 365 サインインページに誘導されました。公開情報でも、この手口が増加傾向にあるとの報告がなされています。攻撃者は盗まれたログイン情報を入手し、MFA 疲労攻撃を実行しました。その結果、最終的に何人かの従業員が自分のモバイルデバイスでプッシュ通知を承認しています。MFA 疲労攻撃では、攻撃者がユーザーに何度も MFA プッシュ通知を送り、通知を受け取ったユーザーが誤ってアクセスを許可することを狙っています。
QR コードを利用したフィッシング攻撃が懸念される理由は、攻撃が成功すると、従業員はおそらく自分のモバイルデバイスを使用するからです。そうなると、防御側の可視性が失われてしまいます。さらに、Secure Email Gateway(SEG)などのほとんどの電子メール セキュリティ ソリューションでは、悪意のある QR コードを検出することができません。新型コロナの流行後はテレワークが普及し、自分のモバイルデバイスを使用してビジネス情報にアクセスする従業員が増えています。サイバーセキュリティ企業 Agency の 2023 年のレポートによると、回答者の 97% が自分のデバイスから仕事用のアカウントにアクセスしています。Talos では、ビジネス情報にアクセスすることのできる、管理されていないすべてのモバイルデバイスに、モバイルデバイス管理(MDM)プラットフォーム、または Cisco Umbrella などの同様のモバイルセキュリティツールを導入することを推奨しています。
公開情報によると、2023 年には QR コードのフィッシングが大幅に増加しています。Talos IR は QR コードを使用したフィッシング攻撃に初めて対応しました。これは攻撃者が被害者を騙し、フィッシングメールに埋め込まれた悪意のある QR コードを自分のモバイルデバイスでスキャンさせるという手口です。その結果、被害者のモバイルデバイス上でマルウェアが実行されてしまい、アタックサーフェス(攻撃対象領域)が変化します。というのも、企業ネットワークの外部では、個人所有のデバイスに対する企業のセキュリティプロトコルと監視システムの制御と可視性が、企業が管理するハードウェアと比べて低くなるからです。さらに、Secure Email Gateway(SEG)などのほとんどの電子メール セキュリティ ソリューションでは現在、悪意のある QR コードを検出することができません。
初期アクセス
初期アクセスを獲得する手段として最も多く観測されたのは、有効なアカウントでの流出したログイン情報の使用と、外部公開されたアプリケーションへの攻撃が同率で 28%、これに僅差でフィッシングが続きました。今四半期のフィッシングへの対応業務では、ログイン情報を盗むために作成された偽のログインサイトに誘導する方法として、悪意のあるリンクと QR コードが使用されたことが確認されています。
セキュリティの弱点
今四半期に Talos IR が対応した案件では、MFA が導入されていない、すべてのユーザーアカウントで MFA が適切に導入されているわけでない、システムの設定ミスやパッチ未適用がある、といった問題が 36% ありました。Talos IR は、RDP などの重要なサービスで MFA が有効になっていれば防げたはずの攻撃をたびたび目にしています。すべてのユーザーアカウント(従業員、請負業者、ビジネスパートナーなど)に MFA の導入を拡大することを Talos IR は推奨しています。
いくつかの事例では、攻撃者が MFA 疲労攻撃を仕掛けて MFA をバイパスしようとしていました。ユーザーは、自分のデバイスに大量のプッシュ通知が何度も送られてきた場合の正しい対応手順を明確に理解しておく必要があります。組織では、このようなインシデントを報告するための特定のチャネルと連絡先について従業員を教育することをお勧めします。迅速かつ正確に報告することで、セキュリティチームは問題の本質を迅速に特定し、状況に効果的に対処するための対策を実施できます。
古くなったシステムは攻撃者に悪用される危険があるので、ソフトウェアのアップデートを常に最新の状態に維持しておくことは、組織のセキュリティ態勢にとって極めて重要です。攻撃者は、このようなソフトウェアの脆弱性を悪用して、特権昇格や侵入拡大など、侵入後の多くの目的を達成することがよくあります。脆弱性とパッチの管理が非常に重要ですが、企業ネットワークは複雑なため、すべてのセキュリティパッチを直ちに適用することがいつでも可能というわけではありません。Talos IR は、最大の脅威となる脆弱性に優先的に対応して悪用されないようにすることを推奨しています。
最も多く観察された MITRE ATT&CK 手法
以下の表に、今四半期の Talos IR 対応業務で確認された MITRE ATT&CK の手法と、関連する例を記載しています。一部の手法は複数の戦術に該当する可能性があるので、どう使用されたかに基づいて最も関連性の高い戦術に分類しました。ここに記載しているものがすべてではありません。
MITRE ATT&CK のフレームワークから得られた主な調査結果は以下のとおりです。
- 外部公開されたアプリケーションへの攻撃は、初期アクセスの獲得手段として今四半期に多く観測されたものの 1 つであり、インシデント対応総数の 28% を占め、前四半期からわずかに増加しました。
- ScreenConnect、SplashTop、AnyDesk などのリモートアクセス ソフトウェアは、今四半期の対応業務の約 4 分の 1 で使用されました。
- Windows イベントログの消去やファイルの削除といった痕跡隠しが、最も多く見られた防衛回避手法でした。
- 対応業務の 24% で、攻撃者は RDP、SSH、SMB などのリモートサービスを悪用して、侵入拡大を図りました。
| 初期アクセス(TA0001) | 例 |
| T1190 外部公開されたアプリケーションへの攻撃 | インターネットに公開されている脆弱なアプリケーションへの攻撃に成功 |
| T1078 有効なアカウント | 窃取または流出したログイン情報を利用 |
| T1566 フィッシング | ユーザーを騙してマルウェアをダウンロードさせるために悪意のある電子メールを送信 |
| 実行(TA0002) | 例 |
| T1059.001 コマンドとスクリプトインタープリタ:PowerShell | クライアントの Active Directory 環境に関する情報を取得するために PowerShell コードを実行 |
| T1059.003 コマンド & コントロール スクリプト インタープリタ:Windows コマンドシェル | Web シェルを使用して侵害されたマシン上でコマンドを実行 |
| 永続化(TA0003) | 例 |
| T1053.005 スケジュールされたタスク / ジョブ:スケジュールされたタスク | サーバーに侵入した後、スケジュール設定されたタスクを作成 |
| T1136 アカウントの作成 | ユーザーを作成し、ローカル管理者グループに追加 |
| T1133 外部リモートサービス | 流出したログイン情報を使用して VPN にログイン |
| 防御の回避(TA0005) | 例 |
| T1218.011 システムバイナリプロキシ実行:Rundll32 | Rundll32 を使用して悪意のある DLL ファイルを実行 |
| T1134.002 アクセストークンの操作:トークンを使用したプロセスの作成 | 「run as」コマンドを使用して新しいプロセスを作成 |
| T1562.001 防御の妨害:ツールの無効化または改変 | Windows Defender を無効化 |
| ログイン情報へのアクセス(TA0006) | 例 |
| T1003.001 OS ログイン情報のダンプ:LSASS メモリ | 「lsass.exe」を使用して、メモリからパスワードハッシュを窃取 |
| T1003.003 OS 認証情報のダンプ | NTDSDump を使用してログイン情報を収集 |
| 検出(TA0007) | 例 |
| T1018 リモートシステムの検出 | ping を使用してリモートシステムを検出 |
| T1482 ドメイン信頼の検出 | ドメイン信頼関係の情報を取得 |
| ラテラルムーブメント(侵入拡大)(TA0008) | 例 |
| T1210 リモートサービスのエクスプロイト | RDP などのリモートサービスを悪用 |
| T1021.004 リモートサービス:SSH | SSH を使用して侵入拡大を試行 |
| 収集(TA0009) | 例 |
| T1005 ローカルシステムのデータ | データを収集し、後で感染したマシンから持ち出せるように準備 |
| T1560 収集データのアーカイブ | 準備したデータを WinRAR を使用してアーカイブ |
| コマンド & コントロール(TA0011) | 例 |
| T1219 リモートアクセス ソフトウェア | 侵害を受けたシステムでリモートアクセスツールを発見 |
| T1105 侵入ツールの転送 | 「Invoke-WebRequest」などの PowerShell コマンドを使用して外部システムからツールを転送 |
| データ漏洩(TA0010) | 例 |
| T1048.003 代替プロトコル経由のデータ漏洩:暗号化されていない非 C2 プロトコル経由のデータ漏洩 | FTP を使用してファイルを漏洩 |
| T1041 C2 チャネル経由のデータ漏洩 | 既存の C2 チャネル経由でデータを窃取 |
| 影響(TA0040) | 例 |
| T1486 データ暗号化による被害 | Cactus ランサムウェアの展開と重要なシステムの暗号化 |
| T1486 システムリカバリの妨害 | ランサムウェアの実行前にシャドウボリュームのコピーを削除 |
本稿は 2024 年 01 月 24 日に Talos Group
Tags:
