単要素認証が標的に…　脅威アクターKarakurt、Active Directoryの正規の認証情報を使いFortigate VPNサーバーに侵入

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

アナリスト：

Rory Morrissey

(Intelligence Architect @Machina Record)

Articles

Article.1

脅威アクターKarakurt、Active Directoryの正規の認証情報を使いFortigate VPNサーバーに侵入

Article.2

Windowsの権限昇格の脆弱性、CISAが連邦政府機関にパッチ適用を指示

脅威アクターKarakurt、Active Directoryの正規の認証情報を使いFortigate VPNサーバーに侵入

単要素認証が使われるFortigate VPNが標的に

脅威アクターKarakurtによる複数の恐喝事例を、最近NCCグループの研究者が確認しました。Karakurtは、単要素認証が使われるFortigate Virtual Private Network（VPN）サーバーを標的とし、正規のActive Directoryの認証情報を使って被害者の環境にアクセスします。Karakurtは通常、侵入した環境内に1か月以上存在し、検出回避のため、環境寄生型（living off the land）の技術を使用し、暗号化は行いません。

「Zerologon」の悪用を試みた例も

Karakurtは、確認されたすべてのインシデントにおいてドメイン管理者レベルの権限を獲得しましたが、権限昇格の方法は不明のままです。このグループが脆弱性CVE-2020-1472（別名「Zerologon」）の悪用を試みた事例もあります。また、Sysinternalのツール「PsExec」やリモートデスクトッププロトコル（RDP）を使用してプライマリ・ドメインコントローラーへのラテラルムーブメントを達成するほか、補助的な持続メカニズムとしてAnyDeskを使用します。

確認された全てのケースでデータの抜き取りに成功

Karakurtは、偵察（discovery）行動を盛んに行い、エンコードされたPowerShellコマンドによってDNSゾーンエクスポートを作成しました。完了後、Karakurtは環境を離れてから再び侵入し、ファイル共有上の被害者の秘密データにアクセスできるサーバーを特定します。Karakurtは、おそらくRcloneを使用して、確認されたすべての事例でデータの抜き取りに成功したと考えられています。

情報源：

https://research.nccgroup.com/2022/02/17/detecting-karakurt-an-extortion-focused-threat-actor/?_hsmi=204361162&_hsenc=p2ANqtz-9WJfAtDHOpiTyq3iH0ZQccuDHd-_Hp_7ohjGe_jYsxq8bKJ_KiPBcXnMTUmFl6gUdZ7qpDaQuW2oLiE-ojrYa1FJjfLA

アナリストのコメント

影響範囲

Fortigate VPNで単要素認証を使用しているすべての組織。

見解

6月に初めて確認されたこの脅威グループは、データの抜き取りとその後の恐喝に特化しており、2021年9月以降、標的となった被害者の数はすでに40に達しています。Karakurtは、攻撃対象に応じて「環境寄生型（living off the land）」のアプローチを取る（つまり、標的の環境にすでに存在するツールや機能を利用する）ことが多いと、研究者は述べています。

このグループは、VPNの正規の認証情報を使用して最初のアクセスを確立しますが、認証情報をどのように入手するかは今のところ不明です。脆弱なVPNデバイスを悪用している可能性がありますが、いずれのケースにおいても、ユーザーアカウントに対する多要素認証の実施に一貫性がないか、そもそも実施されていませんでした。

関連記事：ゼロトラストセキュリティとは？5つの構成要素と対策の具体例

緩和のための戦略

攻撃を検出・軽減するためには…

✔️ 単要素認証が使われるFortinet VPNアクセスを使用している組織には、ドメインコントローラのMicrosoft-Windows-DNS-ServerのログにEvent ID 3150の痕跡がないかを確認することや、環境内でAnyDeskまたはPsExecが不正に使用されていないかを確認すること、そして、Windowsホストのデフォルトとして使用されている命名規則（例：DESKTOP-XXXXXX）でVPNプールから認証するホストの形跡を探すことを、強く推奨します。これらは、12月以降のいずれかの時点で見られるなら、Karakurtによる攻撃の痕跡である可能性があります。

✔️ 脅威を直ちに取り除くために、Fortinet VPNを使うVPNアクセスで多要素認証を実施しましょう。

✔️ 必ず、すべてのドメインコントローラーにすべてのパッチを適用しましょう。また、重大な脆弱性には基本的にパッチを適用しましょう。

関連記事：「Karakurtランサムウェアグループが医療機関を標的に、米保健福祉省が注意喚起」（2022年8月25日サイバーアラート：GitLabの重大なRCEバグのパッチがリリース：CVE-2022-2884に掲載）

Windowsの権限昇格の脆弱性、CISAが連邦政府機関にパッチ適用を指示

SYSTEM権限の獲得が可能に

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、新たな権限昇格の脆弱性（CVE-2022-21882）を、悪用が確認済みの脆弱性カタログに追加しました。この脆弱性はWindows Win32kに影響を与え、攻撃者はこれを悪用することでSYSTEM権限を獲得できるようになります。

2月18日までのアップデートを指示

CISAは連邦政府機関に対し、この脆弱性への対策として2022年2月18日までに自組織のシステムをアップデートするよう命じました。

情報源：

1.https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-actively-exploited-windows-bug/?_hsmi=203114517&_hsenc=p2ANqtz-_t9Qv3unBx1i5mE576bG3eMtTipcJ8Y-JHsIp9srHliXzCq-D9vfvcbl43Z-LkE5u41ckZiZsRT-6WGYomMqMOSwbu2w

2.https://www.cisa.gov/uscert/ncas/current-activity/2022/02/04/cisa-adds-one-known-exploited-vulnerability-catalog?_hsmi=203114517&_hsenc=p2ANqtz-8TlzELFMWHsFOFCv61A35p5O–mafsNwTvPhOLyn4VSSThqiePcUaQ4b2z9WOwQ8T7jMLEQ7i-dxeke6uMmRat7InqkQ

アナリストのコメント

影響範囲

この脆弱性により、1909バージョン以降のWindows 10、Windows 11、および2019以降のWindows Serverを搭載しているシステムのうち、2022年1月の月例セキュリティ更新プログラムが適用されていないシステムが影響を受けます。

見解

セキュリティ研究者らがこの脆弱性に対するエクスプロイトをテストしたところ、エクスプロイトをコンパイルすることに成功し、Windows 10上でそれを使ってSYSTEM権限で基本的なWindowsアプリケーションを開くことができました。同エクスプロイトは、Windows 11システム上では機能しませんでした。

1月の定期的なWindowsセキュリティ更新プログラムに関しては、重大なバグを引き起こすという理由から多くの管理者がパッチ適用を見送ったため、システムはさらなる影響を受ける恐れがあります。

緩和のための戦略

2022年1月11日以降のWindowsセキュリティパッチを、システムに適用する必要があります。