ランサムウェアグループがデータ窃取にMicrosoft Azure関連ツールを用いるケースが増加

佐々山 Tacos

2024.09.18

9月18日：サイバーセキュリティ関連ニュース

ランサムウェアグループがデータ窃取にMicrosoft Azure関連ツールを用いるケースが増加

BleepingComputer – September 17, 2024

BianLianやRhysidaなどのランサムウェアグループが、データ窃取・抽出のためにマイクロソフトのクラウドサービスAzure関連のツールAzure Storage ExplorerおよびAzCopyを利用するケースが増えているという。サイバーセキュリティ企業のmodePUSHが報告した。

Azure Storage ExplorerはMicrosoft AzureのGUIマネージメントツールで、AzCopyはAzureストレージ間の大規模なデータ移動を助けるコマンドラインツール。modePUSHが観測した攻撃では、ランサムウェアグループがこれらのツールを使ってターゲット組織のネットワークからデータを盗み出し、Azure Blobストレージ内に保管していたという。保管されているデータはその後、攻撃者自身のストレージへと移動させることが可能になっていたとされる。

ランサムウェアグループによるAzureの利用が増加している理由として、まず同サービスが多くの企業に使われる信頼されたエンタープライズグレードのサービスであり、ファイアウォールやセキュリティツールにブロックされづらい点が挙げられる。この特質のために、Azureを用いたデータ転送の試みは、従来のRcloneやMEGAsyncを使う手法よりも検出を回避できる可能性が高いとされる。また、Azureはそのスケーラビリティとパフォーマンスの高さゆえ、大量の非構造化データを処理することができるため、できる限り短時間で多数のファイルを抽出したい攻撃者にとっては魅力的なツールとなっているという。

Windows Hyper-VのゼロデイにPoCエクスプロイト登場：CVE-2024-38080

Securityonline[.]info – September 16, 2024

Windows Hyper-Vにおけるゼロデイ脆弱性CVE-2024-38080の詳細な分析とPoCエクスプロイトコードを、セキュリティ研究者のPwndorei氏が公開。今年7月の開示・修正版リリース時点で悪用事例の存在が明かされていた脆弱性ではあるものの、このPoCにより、攻撃者にエクスプロイトを再現するためのロードマップが提供されてしまったことから、Hyper-Vを利用する組織が攻撃に晒されるリスクがさらに高まっている。なお、どのような攻撃でどのアクターが悪用しているかなどの詳細は不明。

CVE-2024-38080は、Windows Hyper-Vに影響を与える特権昇格の脆弱性。Pwndoreiの分析によれば、原因はVidExoBrokerIoctlReceive関数内の問題にあり、I/O 要求パケット（IRP）内のデータ検証に不備があることに起因するという。攻撃者はVidExoBrokerIoctlSend関数を通じて悪意あるIRPリクエストを送信することにより、カーネルの非ページプールで整数オーバーフローを引き起こすことが可能。この結果、バッファオーバーフローが生じてBSOD（ブルースクリーンエラー）を発生させることができるという。

公開されているPoCは上記のようなクラッシュを引き起こさせるものだが、CVE-2024-38080はSYSTEM権限への昇格にも悪用され得る。これが成功した場合には攻撃者がシステムを完全に乗っ取ることも懸念されることも踏まえると、未対応の利用者には早急なパッチ適用が推奨される。