-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
米CISAがAkiraランサムウェアに関するアドバイザリを更新
米CISAは11月13日、昨年4月に公開されたAkiraランサムウェアに関するセキュリティアドバイザリを更新。同グループがNutanix AHVの仮想マシン(VM)のディスクファイルを暗号化するようになっている等の最新のTTPや、新たなIoC情報を共有した。
「#StopRansomware: Akira Ransomware」と題されたこのアドバイザリは、CISAをはじめとする米国の諸機関とその他複数国のサイバーセキュリティ/犯罪関連当局が合同でリリースしたもので、Akiraランサムウェアの攻撃チェーン(初期アクセス〜暗号化まで)の詳細のほか、使用ツールやIoC、MITRE ATT&CK情報などが記されている。
元々2024年4月28日に公開された同アドバイザリに今回加えられたアップデートは、主に以下のようなものがある。
Nutanix AHV VMを初めて暗号化
2025年6月のインシデントにおいて、Akiraの脅威アクターらがNutanix AHV VMのディスクファイルを初めて暗号化した旨が新たに共有された。それ以前はSonicWallの脆弱性CVE-2024-40766を悪用してVMware ESXiおよびHyper-VのVMを暗号化する様子が観測されていたが、そこから同グループの能力は拡大したことになる。アドバイザリによれば、2025年9月までにAkiraが主張したランサムウェア収益の総額はおよそ2億4,417万米ドルに上るとされる。
初期アクセスに関するアップデート
13日のアップデートでは、Akiraが初期アクセス時に悪用する脆弱性として以下が追加されている。
- CVE-2020-3580:Cisco適応型セキュリティアプライアンスソフトウェアおよびFirepower Threat DefenseソフトウェアのWebサービスインターフェイスにおけるクロスサイトスクリプティングの脆弱性
- CVE-2023-28252:Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性
- CVE-2024-37085:VMware ESXiのActive Directory統合における認証バイパスの脆弱性
- CVE-2023-27532:Veeam の backup & replication における重要な機能に対する認証の欠如に関する脆弱性
- CVE-2024-40711:Veeam の Veeam Backup & Replication における信頼できないデータのデシリアライゼーションに関する脆弱性
- CVE-2024-40766:SonicOSにおける不適切なアクセス制御の脆弱性
Akiraは、ログイン認証情報を窃取するか、CVE-2024-40766などの脆弱性を悪用することによりSonicWallなどのVPN製品へ不正にアクセス。また初期アクセスブローカーから入手したと思われる侵害済みの認証情報を使用するケースや、ブルートフォース攻撃を用いるケースもあるほか、SharpDomainSprayなどのツールを用いてパスワードスプレー攻撃を仕掛けることもあるとされる。さらに、ルーターのIPアドレスを悪用してSSHプロトコル経由で初期アクセスを獲得したとみられる事例も確認されており、標的ルーターを通じたトンネリングを行ったのち、CVE-2023-27532やCVE-2024-40711といった既知の脆弱性を悪用する旨が共有されている。
検出回避に関するアップデート
当局は、Akiraの脅威アクターが、AnyDeskやLogMeInといったリモートアクセスツールを悪用して持続性を維持し、悪意ある活動をシステム管理者の活動のように見せかけている様子を観測したとされる。Akiraはまた、オープンソースツールImpacketを利用してリモートコマンド「wmiexec.py」を実行するという。さらにアドバイザリでは、EDRシステムをアンインストールするための技術を実装して検出回避を試みる旨も共有された。
権限昇格に関するアップデート
当局は、Akiraのアクターが新たなユーザーアカウントを作成した上でそれを管理者グループに追加し、ターゲット環境での足場を確立する様子を観測したという。また報告されたあるインシデントにおいては、ドメインコントローラーのVMを一時的に停止することによりVMDKファイルの保護措置をバイパスし、当該VMDKファイルをコピーしてから新たに作成したVMにこのファイルを接続していたとされる。これによりNTDS.ditファイルとSYSTEMハイブの抽出が可能となり、最終的にAkiraは権限の高い管理者のアカウントを侵害することができたという。
上記のほか、同アドバイザリではラテラルムーブメントやC2に関するアップデートに加え、いくつかのインシデントにおける初期アクセスからデータ抜き取りまでの時間はたった2時間強しかかかっていなかったことや、新たな亜種(Akira_v2)で暗号化されたファイルには「.akira」または「.powerranges」のいずれかの拡張子か、「.akiranew」または「.aki」のいずれかが追加されることなどの情報も新たに共有されている。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
