日産AUS拠点への攻撃も主張:Akiraランサムウェアの攻撃チェーン概要
(情報源:Sophos、BleepingComputer)
今年3月に初めての攻撃を実施して以来、世界中の組織を脅かし続けているAkiraランサムウェアについて、Sophosがレポートを公開。攻撃チェーンを詳しく解説するとともに、暗号化を行わずにデータの抜き取り・恐喝のみを実施するという新傾向についても報告した。なおAkiraといえば、先週金曜、日産自動車のオーストラリア拠点のネットワークを侵害してデータ約100GB分を盗み出したと主張したことが話題になっている。
関連記事
Threat Report
Silobreaker-CyberAlert
Akiraランサムウェア:「サイバー版の島鉄雄」が野に放たれる
2023.05.08
Silobreaker-CyberAlert
Akiraの攻撃チェーン概要
初期アクセス
・MFA不在のVPN:Sophosによれば、Akiraのアクターが最もよく利用する初期アクセス手段は、多要素認証(MFA)が設定されていないアカウントを狙ってVPNへ不正にログオンするというもの。特に、Cisco ASA SSL VPNやCisco AnyConnectといったシスコ製VPNが標的になったケースが観測されているという。
・MFAに関係なく、VPNソフトウェアの脆弱性を悪用するケースも。Akiraによってある被害組織のインフラへの不正なリモートVPNセッションが確立されたケースでは、Cisco ASAの脆弱性CVE-2023-20269が悪用された可能性が高いとされる。
認証情報アクセス
・Sophosは、AkiraのアクターがLSASSプロセスメモリのミニダンプを行うことでメモリ内に保存されていた認証情報を入手しようとしているケースを頻繁に観測しているという。
・Active Directoryデータベースに保管された認証情報を入手しようとする試みもよく実施される。
・最近観測された数件の事例において、Akiraは特にVeeamの認証情報を重点的に狙っていたとみられるという。また少なくとも1件のケースでは、被害組織のVeeam Backup & Replicationコンポーネントにおける脆弱性CVE-2023-27532が悪用された可能性が高いことを示す形跡が見つかっている。
関連記事:Cubaランサムウェア、Veeamの脆弱性を悪用し米国の重要インフラ組織を標的に:CVE-2023-27532
・このほか、キャッシュされたChromeの認証情報やKeePassのバックアップコードが狙われるケースも確認されている。また、Akiraは認証情報アクセスのためにMimikatzなどのツールやBypassCredGuard.exe、WebBrowserPassView.exeといった多様なプログラムを用いることもあるという。
発見フェーズ
・事実上すべてのケースで、AkiraのアクターはGet-ADComputerやAdfind.exeといったネイティブのコマンドラインユーティリティを利用してActive Directoryの情報を列挙するのが観測されている。
・複数のアカウントを使ってAdvanced IP ScannerやNetscanなどのツールによるネットワークスキャンが行われるケースもあった。
ラテラルムーブメント
・Sophosが確認したケースの中で最も多かったのが、有効なローカル管理者ユーザーアカウントでRDPを使い、標的環境内でのラテラルムーブメントを行うというものだった。またRDPとともにSMBが使われることも多いという。
・そのほか、ImpacketモジュールwmiexecやVmConnect.exeといったツールが使われるケースもあるとされる。
永続性確保と特権昇格
・複数のケースで観測された永続性確立手段の1つは、ユーザーアカウントを作成し、作成したアカウントをネットコマンドを用いてセキュリティの有効化されたローカルグループに追加するというもの。
・ドメインアカウントのパスワードをリセットして将来これらのアカウントへログインできるようにしておくという試みも頻繁に観測されている。
・サービスマネージャーツールnssm.exeによって悪意あるサービス「sysmon」が作成され、sysmonによって実行されるNgrokやLigolo-ngといったトンネリングツールが侵害されたマシンへのリモートアクセス確立に使われるケースもあったという。
防御回避
・観測されたほぼすべてのインシデントにおいて、AkiraのアクターはSophosのエンドポイント検出製品のほか、さまざまなセキュリティモニタリングツールをアンインストールしようとする試みを行っていたとされる。
・Sophos製品のアンインストールが試みられたケースでは、以下の実行ファイルが使われていた:C:\Program Files\Sophos\Sophos Endpoint Agent\uninstallgui.exe.、C:\Program Files\Sophos\Sophos Endpoint Agent\SophosUninstall.exe
・Windows Defenderのリアルタイムモニタリングの無効化が試みられたケースも複数観測されている。
・さらなる防御回避・アクティビティ秘匿のために、Akiraのアクターはよく、runasを用いて自らがログインしているのとは別のユーザーのコンテキストでコマンドを実行する。これにより、Akiraのアクティビティを追跡するのがより困難になるという。
コマンド&コントロール(C2)
・C2用に、AkiraのアクターはAnyDeskを使って標的ネットワーク内の複数システムへの持続的なリモートアクセスを確立することが多いとされる。
・あるケースでは、カスタムのトロイの木馬が投下され、AkiraのIPアドレス170.130.165[.]171との通信や足場の確保が行われていたという。
・観測されたほぼすべてのケースで、AkiraのアクターはWinRAR、WinSCP、rclone、MEGAといった多様なツールを使って機密性の高い情報を抜き取っていた。また少なくとも2件においては、ランサムウェアバイナリの展開が行われることなく、データ抽出のみが実施されていたという。
インパクトフェーズ
・上述の2件を除き、観測されたほぼすべてのケースでランサムウェアの展開が試行された。なおこの2件では、多数の「README.txt」ファイルが投下された以外に暗号化が行われた兆候は一切観測されなかったという。
・Akiraはこのインパクトフェーズ(データ抜き取りおよびランサムウェア展開フェーズ)に至るまで、最初のアクティビティ観測時から数えて1日〜25日間、標的環境内に滞在していたという。
・一部のサーバーに対してはランサムウェアが手動で実行されることもあったが、暗号化は主としてSMBを通じて実施されるという。
・Akiraのランサムウェアはファイルを暗号化して「akira」という拡張子を追加し、「akira_readme.txt」というランサムノートをデバイス上に作成して、ボリュームシャドウコピーを削除していたという。
暗号化不在の事例は新戦術へのシフトを示している可能性も
上述のように、ここ数か月間に暗号化なしでデータ抜き取りのみが行われる事例が確認されているが、これについてSophosは、Akiraがランサムウェア展開によって生じる検出リスクを回避して被害組織を恐喝できるよう、新戦術を採用し始めていることを示しているかもしれないと指摘している。
Akiraは最近、日産オーストラリア・NZ部門を攻撃したと主張
Akiraランサムウェアといえば米国の組織を標的にすることが圧倒的に多いが、先週には日系企業がリークサイトに掲載された。同ランサムウェアグループは12月22日、データリークブログサイトにおいて、日本の自動車メーカー日産自動車のオーストラリア部門(Nissan Australia)のネットワークを侵害し、100GB分のデータを盗み出したと主張。また、日産との身代金交渉が決裂したため、数日以内に盗んだデータをアップロードするつもりだと述べたという。Akiraによれば、盗まれたデータには従業員の個人情報やNDA、プロジェクト情報、クライアントや取引先に関する情報が含まれるとされている。
日産は12月5日にサイバー攻撃被害を開示も、攻撃者の名は明かしておらず
日産は12月5日にWebサイト上でサイバー攻撃を受けたことについて開示していたが、攻撃の実行者が誰だったかなどの詳細は明かしていない。一方で22日には、オーストラリアおよびニュージーランドのシステムの一部が攻撃者によって侵害されていたことを認める内容のアップデートが追加されている。同社は今も調査を続けており、本インシデントの影響範囲についてはまだ確認できない状態とのこと。
12月22~25日:その他のサイバーセキュリティ関連ニュース
「Wall of Flippers」がFlipper ZeroによるBluetoothスパム攻撃を検知
BleepingComputer – December 23, 2023
Pythonベースの新しいプロジェクト「Wall of Flippers(WoF)」は、Flipper ZeroやAndroidデバイスによって仕掛けられるBluetoothスパム攻撃を検知するという。このスパム攻撃はBluetoothのプロトコルBluetooth Low Energy(BLE)を利用し、Bluetoothに接続したという偽の通知を大量に送信するというもの。単なる嫌がらせ目的ならさほど害はないと思われるが、悪意あるハッカーなどに使われれば、Bluetooth対応の補聴器や心拍数モニタリングツールなどに影響を与える恐れがある。
しかしWoFを使ってこういった攻撃を検出し、その発信元を特定することで、ユーザーは適切な対処を行うことができるという。WoFは現在LinuxとWindowsで実行可能で、常時機能する設計となっており、近くのBTLEデバイスの状態や、潜在的な脅威などについて常にユーザーへ最新情報を伝えられるようになっている。このプロジェクトは今後もアップデートが行われるようだ。WoFのインストールと設定方法については、開発者のGitHubリポジトリに掲載されている。なお、BleepingComputerはこのプロジェクトをテストしておらず、スクリプトの安全性を保証できないと断った上で、インストールする前に必ずコードを検証するよう呼びかけている。