Playランサムウェアグループに関する合同アドバイザリを米CISA等がリリース
(情報源:CISA – December 18, 2023)
米CISA、FBIおよびオーストラリアサイバーセキュリティセンター(ADSC)が、Playランサムウェアグループに関する合同アドバイザリをリリース。Playは2022年6月以降、北米、南米、ヨーロッパの多様な企業や重要インフラ組織を標的にしてきたグループで、2023年10月までにおよそ300の組織が被害を受けたとされる。先月には、RaaSとして運用されることになったとの報道があった。
PlayのTTP
アドバイザリでは、FBI捜査官によって特定されたPlayのTTPが紹介されている。
初期アクセス
Playは、正規アカウントを悪用したり、インターネットに接続されているアプリケーションを悪用したりすることで被害者ネットワークへの初期アクセスを獲得するという。この際、特に以下の脆弱性が利用される。
・FortiOSの脆弱性CVE-2018-13379およびCVE-2020-12812
・Microsoft Exchangeの脆弱性CVE-2022-41040およびCVE-2022-41082(ProxyNotShell)
このほか、RDPやVPNが用いられるケースも確認されている。
検出/防御回避
・Playランサムウェアのアクターは、ネットワーク情報の列挙やアンチウイルスソフトの探索のためにAdFind(Active Directory情報の収集ツール)やGrixba(情報スティーラー)といったツールを用いる。
・また、アンチウイルスソフトを無効化するためにGMERやIOBit、PowerToolといったツールを使う。
・Microsoft Defenderに対抗するためPowerShellスクリプトが用いられたケースも観測されている。
ラテラルムーブメントとファイル実行
・ラテラルムーブメントおよびファイル実行には、Cobalt StrikeやSystemBCなどのC2アプリケーションのほか、PsExecのようなツールが使われる。
・ネットワーク上で永続性を確保した後、Playのアクターは保護されていないクレデンシャルを探し、クレデンシャルダンパーMimikatzを使ってドメイン管理者アクセスを取得する。
・さらなる特権昇格の糸口を探すため、Windows Privilege Escalation Awesome Scripts(WinPEAS)が使われるとの報告もある。
・その後、実行ファイルの配布がグループポリシーオブジェクト(GPO)を通じて行われる。
データ抽出と暗号化
・Playのアクターは、盗んだデータを分割し、WinRARなどのツールを使って.RAR形式のファイルへと圧縮して抽出することが多い。
・このデータはWinSCPを使ってアクターの制御するアカウントへと転送される。
・データ抜き取り後、ファイルはAES-RSAの混合暗号によって断続的に暗号化される。
・暗号化後、ファイル名の末尾には拡張子「.play」が追加され、ファイルディレクトリC:にランサムノート(ReadMe[.]txt)が残される。
二重恐喝戦術
Plyaランサムウェアは二重恐喝戦術を用いるグループで、データを盗み取ってからシステムを暗号化する。被害者は身代金を暗号資産で支払うよう要求されるが、これを拒むと、Torのリークサイト上で「盗んだデータを公開する」と脅される。
このほか、合同アドバイザリにはPlayが用いる正規ツールのリストやIoC、対策などが記載されている。
12月19日:その他のサイバーセキュリティ関連ニュース
新攻撃手法「SMTP Smuggling」により、認証回避してなりすましメールを送信できるように
SecurityWeek – December 18, 2023
認証メカニズムをバイパスしてなりすましメールを送信することを可能にする新たな攻撃手段「SMTP Smuggling」について、研究者Timo Longin氏とSEC Consult社が報告。両者によると、メッセージデータがどこで終了するかに関する理解がSMTPの送信サーバーと受信サーバーとで異なる場合、攻撃者はこの違いを悪用できるという。
SMTP Smugglingの手法を用いることで、攻撃者はマイクロソフト、Amazon、PayPal、eBay、GitHub、Outlook、Office365、Tesla、Mastercardなどの有名ブランドのものを含む何百万種類ものドメインに偽装したEメールを送信できるようになるとされ、実際にLongin氏らはアドレス「admin(at)outlook.com」が送信元であるかのように見せかけた偽メールの送信を実演している。
この手法が実現可能となっているのは、主要EメールサービスプロバイダーのSMTPサーバーセットアップ方法に関係しているとされ、これらプロバイダーにはGMX(Ionos)、マイクロソフト、シスコが含まれるという。Longin氏らはこの問題について7月後半に上記3社へ報告しており、GMXとマイクロソフトは問題を修正済み。しかしシスコはこれを脆弱性とみなしておらず、修正も行っていないことから、Cisco Secure Emailインスタンスのデフォルトの設定に対しては今なおSMTP Smugglingが実行可能だという。とはいえユーザーは、設定を変更することで攻撃を予防できる。
SEC Consultによれば、今回同社はすべてのSMTPソフトウェアを分析したわけではないことから、このほかにも脆弱なサーバーが存在する可能性もあり得るとのこと。
注意:OutlookのゼロクリックRCEに関する新情報を専門家らが明らかに(CVE-2023-35384、CVE-2023-36710)
The Hacker News – December 18, 2023
すでにパッチリリース済みのMicrosoft Windowsの2つのセキュリティ脆弱性CVE-2023-35384、CVE-2023-36710について、脅威アクターがこれらの脆弱性を連鎖させることで、ユーザーのインタラクションなしにOutlook上でリモートコード実行を実施できることが明らかになった。
CVE-2023-35384はWindows HTMLプラットフォームにおけるセキュリティ機能バイパスの脆弱性で、今月初めには、Microsoft、Proofpoint、Palo Alto Networks Unit 42により、ロシアの脅威アクターAPT29が、Exchangeサーバー内の標的のアカウントに不正アクセスするためにこの脆弱性を盛んに悪用していることが報告されている。一方、CVE-2023-36710はWindows Media Foundation Coreにおけるリモートコード実行の脆弱性。両者を連鎖させてカスタムの音声ファイルをダウンロードすることで、リモートコードの実行が可能になるのだという。
リスクを軽減するため、組織にはマイクロセグメンテーションを使用して、リモートのパブリックIPアドレスへのSMB接続をブロックすることが推奨されている。また、NTLMを無効にするか、認証メカニズムとしてNTLMを使用しないようにユーザーをProtected Usersセキュリティグループに追加することも推奨されている。
新イスラエル派ハッカーグループPredatory Sparrow、約7割のイラン給油所のサービスを妨害
Security Affairs – December 18, 2023
親イスラエル派のハッカーグループPredatory Sparrowが、イラン全土のガソリンスタンドに対してサイバー攻撃を行った疑いが持たれている。この攻撃によりイランの給油所の約70%でサービスが中断されたほか、首都テヘランでは多くのガソリンスタンドが手動での営業を余儀なくされたという。なお、中断されていたサービスは徐々に復旧しつつあるとのこと。イラン国営テレビの報道によれば、Predatory Sparrowは声明で、今回の攻撃は緊急サービスに損害がもたらされないような形で行ったと述べたという。石油省は、今回のサイバー攻撃について外国のアクターが行ったものだと述べ、燃料値上げの計画との関連は否定した。また、イランのサイバーセキュリティを担当する民間防衛組織が、調査の中で今回の障害に関して考えられる原因をすべて検討していると述べた。中東をめぐるサイバー空間の状況は依然として深刻であり、何百もの親ハマス派、親イスラエル派のグループが多数のサイバー攻撃を仕掛けているという。