進化続けるAkiraランサムウェア、APTスタイルの戦術を用いるように

Akiraランサムウェア、APTスタイルの検出回避や特権昇格戦術を用いるように

（情報源：S-RM、securityonline[.]info）

AkiraランサムウェアグループのTTPが大幅に巧妙さを増していることについて、世界的サイバーセキュリティコンサル企業のS-RMが報告。2023年3月に登場して以降、北米、ヨーロッパ、オーストラリアを中心に数々の中小企業を標的にしてきたAkiraだが、最近では、一般的にAPTグループと結び付けられるような高度な特権昇格手法を採用するようになっているという。

Akiraの新たな攻撃チェーン

S-RMが2024年初頭に対応にあたったインシデントでは、以下のような流れで攻撃が行われ、ランサムウェア展開までに要した時間は6時間にも満たなかったという。なお、被害組織は多国籍農業企業だったとされる。

初期アクセス：侵入口はパッチ未適用のVPN

エントリーポイントは、パッチが未適用で多要素認証も未設定のシスコ製VPNアプライアンス（Cisco ASA VPN）。

第二段階：VMware vCenter ServerのRCE脆弱性を悪用（CVE-2021-21972）

VPN経由で接続したAkiraのアクターは、VMware vCenter Serverに存在するRCEの脆弱性CVE-2021-21972を悪用。悪意あるファイル「healthcheck_beat.jsp」を利用し、コマンドラインツールのNetCat経由でリバースシェルを埋め込み、vCenterサーバーへのリモートアクセスを確保した。

新たなVMを作成して検出回避

vCenterへのアクセスを得たAkiraはその後、デフォルトの管理者アカウントを利用してVMware ESXiハイパーバイザー上に新たなVMを作成。ほぼ視認不能なこのVMにより、同アクターは従来型のEDRツールによる検出を回避して活動を続行できるように。

ドメインコントローラーからNTDS.ditファイルを抽出し、特権昇格

新たなVMでローカル管理者権限を取得したAkiraは、さらに高いアクセス権限を求めてNTDS.ditファイルの抽出を試みた。このファイルは、ユーザーのアカウントデータやパスワードハッシュなどを保管するActive Directoryデータベースで、システムの保護措置によりユーザーが単純に開いたりコピーしたりすることはできなくなっている。またさらなるデータ保護措置として、データベースはSYSTEMレジストリハイブ内に格納された鍵を使って暗号化されている。

VMDKファイルの保護措置を回避するため、Akiraはまず、ドメインコントローラーのVMを一時的にパワーダウン。その後、関連するVMDKファイルを別のディレクトリへコピーし、コピーされたこれらの仮想ハードドライブを、新たに作成された方のVMへ貼り付けた。これにより、NTDS.ditファイルをコピーして7-zipで圧縮することが可能に。Akiraはまた、SYSTEMハイブからの抜き取りを成功させ、パスワードハッシュの復号鍵も手に入れた。

NTDS.ditから得た認証情報を携えラテラルムーブメント＆ランサムウェア展開

上記のようなステップでNTDS.ditファイルを抽出したAkiraは、非常に高い権限を持つドメイン管理者のアカウントを侵害することに成功。これらの認証情報を携えてネットワーク上を移動し、さらなるユーザーアカウントを侵害し、データの窃取とランサムウェアの投下を実施した。

国家支援型アクターの戦術に見られるような高度さ

S-RMによれば、今回のインシデントでAkiraが示した検出回避、特権昇格、ラテラルムーブメントにおける高度なTTPは、中国が支援する脅威アクターグループUTA0178の戦術を思い起こさせるものだという。UTA0178も、仮想ハードドライブのバックアップを利用してNTDS.ditファイルを抽出するという、同様の手法を採用していたことがこれまでに報告されている。こうした重複から、RaaSグループがますます進化を遂げて複雑化しているという事実が浮き彫りになった。このため組織には、定期的なセキュリティ・アップデートと堅牢なパッチ管理システムを導入し、ネットワーク境界およびネットワーク内部のセキュリティを常に最新の状態にしておくことが求められるようになっている。