2022年4月28日
<<報道資料>>
ソフォス株式会社
攻撃者が1台のサーバーに5か月間も潜入し、そのサーバーからツールをオンラインで検索・入手して更なる攻撃を仕掛けていたことがソフォスの調査で明らかに
~攻撃者は、クリプトマイナーとLockbitランサムウェアも展開~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、攻撃者が米国の地方政府のサーバーに侵入し、5カ月間にわたって侵入したサーバーからハッキングツールとIT管理ツールを入手して攻撃に悪用していた方法と経緯に関する調査結果を発表しました。また、攻撃者は、データを外部に流出させ、Lockbitランサムウェアを展開する前に、クリプトマイナーもインストールしていました。これらの調査結果の詳細は、ソフォスが新しく公開した記事「Lockbitランサムウェアを展開する前に、政府機関のコンピュータに長期間常駐していた攻撃者」で参照できます。この調査からこの脆弱なサーバーに複数の攻撃者が侵入していたことが伺えます。この攻撃は、ソフォスのインシデントレスポンスチームによって封じ込められ、調査されました。
( https://news.sophos.com/ja-jp/2022/04/12/attackers-linger-on-government-agency-computers-before-deploying-lockbit-ransomware-jp/ )
ソフォスの主任セキュリティ研究者であるアンドリュー・ブラントは次のように述べています。「この攻撃は非常に乱雑なものでした。ソフォスの研究者は、攻撃を受けていた組織と協力し、未熟と思われる攻撃者がサーバーに侵入し、ネットワークを嗅ぎまわり、侵入したサーバーからGoogleで検索して、ハッキングツールと正規の管理ツールの海賊版と無料版を入手して攻撃に使用していたことを突き止めました。この攻撃者は侵入した後に何をすべきか迷っていたようです。侵入してから約4カ月が経過した後、攻撃内容が変化し、これまでとは全く異なるスキルを持つ人物が攻撃に参加したことを示唆するような活動も見られました。これらの攻撃者は、さらにセキュリティソフトのアンインストールも試みています。最終的にデータを盗み出しており、Lockbitランサムウェアを展開して複数台のマシンのファイルを暗号化しています」
●攻撃の順序
ソフォスの研究者は、この攻撃の最初の起点は、外部からサーバーにアクセスできるように設定されていたファイアウォールのリモートデスクトッププロトコル(RDP)のオープンポートであることを突き止めました。攻撃者がサーバーに侵入したのは、2021年9月でした。次に侵入したサーバーのWebブラウザを使用して、ハッキングに使用できるツールを検索して、インストールしようとしていました。また、ツールを検索しているときに、アドウェアを拡散している不審なダウンロードサイトにアクセスしてしまい、攻撃者が求めていたハッキングツールではなくアドウェアがこのサーバーに展開されたケースもありました。
今回の調査では、1月中旬に攻撃者の行動が大きく変容し、高度なスキルを有する攻撃者による活動が集中していたことが分かりました。これらの攻撃者は、攻撃を受けていた組織がメンテナンス終了後に保護機能を不用意に無効にしたことを悪用して、悪意のあるクリプトマイナーを展開し、セキュリティソフトウェアをアンインストールしようとしていました。次に、攻撃者はデータを収集して漏洩させ、Lockbitランサムウェアを展開しました。ランサムウェア攻撃は一部しか成功せず、攻撃者がデータを暗号化できなかったマシンもありました。
●常に組織を保護するために
攻撃のためにインストールが試行されたツールには、Advanced Port Scanner、FileZilla、LaZagne、mimikatz、NLBrute、Process Hacker、PuTTY、Remote Desktop Passview、RDP Brute Forcer、SniffPass、およびWinSCPがありました。また、ScreenConnectやAnyDeskなどの商用のリモートアクセスツールもインストールされていました。
先述のブラントは次のように述べています。「ITチームのメンバーが明確な目的を持ってこれらのツールをダウンロードしていない限り、ネットワーク上のマシンにこれらのツールが存在していることは、攻撃が進行している、あるいは差し迫っている危険な信号です。また、ネットワークのスキャンなど、予期しない、あるいは通常とは異なるネットワークアクティビティも攻撃の兆候となります。ネットワーク内部からのみアクセスできるマシンでRDPログインが何度も失敗している場合、ブルートフォースツールを使用してラテラルムーブメントを実行している可能性があります。ITチームがインストールしていない、あるいは過去に使用したことがあり、しばらく使用していない市販のリモートアクセスツールが突然利用され接続されている場合も同様に攻撃の恐れがあります。堅牢でプロアクティブな24時間365日体制の多層防御を講ずることが、長期にわたるこのような攻撃とその発展を防止する鍵になります。最も重要となる最初のステップは、多要素認証の導入や、VPN接続がない場合にRDPポートへのリモートアクセスをブロックするファイアウォールのルール設定など、攻撃者がネットワークにアクセスできないように適切な対策を講ずることです」
詳細については、ソフォスニュースの記事「Lockbitランサムウェアを展開する前に、政府機関のコンピュータに長期間常駐していた攻撃者」(※現在翻訳中。翻訳後、日本語が表示されます)を参照してください。
https://news.sophos.com/ja-jp/2022/04/12/attackers-linger-on-government-agency-computers-before-deploying-lockbit-ransomware-jp/
●その他の資料
* Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus/)のようなソフォスのエンドポイント製品は、攻撃者による操作や振る舞いを検出してユーザーを保護します。
* 進化を続けるサイバー脅威の状況の詳細については、「2022年版ソフォス脅威レポート」を参照してください。
https://www.sophos.com/ja-jp/labs/security-threat-report.aspx
* SophosLabs Uncutでは、最新の脅威インテリジェンスを提供しており、さまざまなタイプの脅威に関する戦術、手法、手順(TTP)を公開しています。
https://news.sophos.com/ja-jp/category/sophoslabs/sophoslabs-uncut/
* Sophos News SecOpsでは、攻撃者の行動に関する情報、インシデントレポート、セキュリティ運用のプロフェッショナル向けのアドバイスなどを掲載しています。
https://news.sophos.com/ja-jp/category/security-operations/
* 24時間365日体制で攻撃の阻止、無力化、調査を行うソフォスのRapid Responseサービスの詳細をご覧ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response
* Sophos Rapid ResponseとManaged Threat Responseチームがお届けする「インシデント対応の専門家からの重要な4つのヒント」を参照してください。
https://www.sophos.com/ja-jp/whitepaper/four-key-tips-from-incident-response-experts
* 受賞歴のあるソフォスのニュースサイトNaked Security(https://nakedsecurity.sophos.com/ja/)とSophos News(https://news.sophos.com/ja-jp/)で最新のセキュリティニュースとソフォスの解説をご覧ください。
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>>
ソフォス株式会社
攻撃者が1台のサーバーに5か月間も潜入し、そのサーバーからツールをオンラインで検索・入手して更なる攻撃を仕掛けていたことがソフォスの調査で明らかに
~攻撃者は、クリプトマイナーとLockbitランサムウェアも展開~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、攻撃者が米国の地方政府のサーバーに侵入し、5カ月間にわたって侵入したサーバーからハッキングツールとIT管理ツールを入手して攻撃に悪用していた方法と経緯に関する調査結果を発表しました。また、攻撃者は、データを外部に流出させ、Lockbitランサムウェアを展開する前に、クリプトマイナーもインストールしていました。これらの調査結果の詳細は、ソフォスが新しく公開した記事「Lockbitランサムウェアを展開する前に、政府機関のコンピュータに長期間常駐していた攻撃者」で参照できます。この調査からこの脆弱なサーバーに複数の攻撃者が侵入していたことが伺えます。この攻撃は、ソフォスのインシデントレスポンスチームによって封じ込められ、調査されました。
( https://news.sophos.com/ja-jp/2022/04/12/attackers-linger-on-government-agency-computers-before-deploying-lockbit-ransomware-jp/ )
ソフォスの主任セキュリティ研究者であるアンドリュー・ブラントは次のように述べています。「この攻撃は非常に乱雑なものでした。ソフォスの研究者は、攻撃を受けていた組織と協力し、未熟と思われる攻撃者がサーバーに侵入し、ネットワークを嗅ぎまわり、侵入したサーバーからGoogleで検索して、ハッキングツールと正規の管理ツールの海賊版と無料版を入手して攻撃に使用していたことを突き止めました。この攻撃者は侵入した後に何をすべきか迷っていたようです。侵入してから約4カ月が経過した後、攻撃内容が変化し、これまでとは全く異なるスキルを持つ人物が攻撃に参加したことを示唆するような活動も見られました。これらの攻撃者は、さらにセキュリティソフトのアンインストールも試みています。最終的にデータを盗み出しており、Lockbitランサムウェアを展開して複数台のマシンのファイルを暗号化しています」
●攻撃の順序
ソフォスの研究者は、この攻撃の最初の起点は、外部からサーバーにアクセスできるように設定されていたファイアウォールのリモートデスクトッププロトコル(RDP)のオープンポートであることを突き止めました。攻撃者がサーバーに侵入したのは、2021年9月でした。次に侵入したサーバーのWebブラウザを使用して、ハッキングに使用できるツールを検索して、インストールしようとしていました。また、ツールを検索しているときに、アドウェアを拡散している不審なダウンロードサイトにアクセスしてしまい、攻撃者が求めていたハッキングツールではなくアドウェアがこのサーバーに展開されたケースもありました。
今回の調査では、1月中旬に攻撃者の行動が大きく変容し、高度なスキルを有する攻撃者による活動が集中していたことが分かりました。これらの攻撃者は、攻撃を受けていた組織がメンテナンス終了後に保護機能を不用意に無効にしたことを悪用して、悪意のあるクリプトマイナーを展開し、セキュリティソフトウェアをアンインストールしようとしていました。次に、攻撃者はデータを収集して漏洩させ、Lockbitランサムウェアを展開しました。ランサムウェア攻撃は一部しか成功せず、攻撃者がデータを暗号化できなかったマシンもありました。
●常に組織を保護するために
攻撃のためにインストールが試行されたツールには、Advanced Port Scanner、FileZilla、LaZagne、mimikatz、NLBrute、Process Hacker、PuTTY、Remote Desktop Passview、RDP Brute Forcer、SniffPass、およびWinSCPがありました。また、ScreenConnectやAnyDeskなどの商用のリモートアクセスツールもインストールされていました。
先述のブラントは次のように述べています。「ITチームのメンバーが明確な目的を持ってこれらのツールをダウンロードしていない限り、ネットワーク上のマシンにこれらのツールが存在していることは、攻撃が進行している、あるいは差し迫っている危険な信号です。また、ネットワークのスキャンなど、予期しない、あるいは通常とは異なるネットワークアクティビティも攻撃の兆候となります。ネットワーク内部からのみアクセスできるマシンでRDPログインが何度も失敗している場合、ブルートフォースツールを使用してラテラルムーブメントを実行している可能性があります。ITチームがインストールしていない、あるいは過去に使用したことがあり、しばらく使用していない市販のリモートアクセスツールが突然利用され接続されている場合も同様に攻撃の恐れがあります。堅牢でプロアクティブな24時間365日体制の多層防御を講ずることが、長期にわたるこのような攻撃とその発展を防止する鍵になります。最も重要となる最初のステップは、多要素認証の導入や、VPN接続がない場合にRDPポートへのリモートアクセスをブロックするファイアウォールのルール設定など、攻撃者がネットワークにアクセスできないように適切な対策を講ずることです」
詳細については、ソフォスニュースの記事「Lockbitランサムウェアを展開する前に、政府機関のコンピュータに長期間常駐していた攻撃者」(※現在翻訳中。翻訳後、日本語が表示されます)を参照してください。
https://news.sophos.com/ja-jp/2022/04/12/attackers-linger-on-government-agency-computers-before-deploying-lockbit-ransomware-jp/
●その他の資料
* Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus/)のようなソフォスのエンドポイント製品は、攻撃者による操作や振る舞いを検出してユーザーを保護します。
* 進化を続けるサイバー脅威の状況の詳細については、「2022年版ソフォス脅威レポート」を参照してください。
https://www.sophos.com/ja-jp/labs/security-threat-report.aspx
* SophosLabs Uncutでは、最新の脅威インテリジェンスを提供しており、さまざまなタイプの脅威に関する戦術、手法、手順(TTP)を公開しています。
https://news.sophos.com/ja-jp/category/sophoslabs/sophoslabs-uncut/
* Sophos News SecOpsでは、攻撃者の行動に関する情報、インシデントレポート、セキュリティ運用のプロフェッショナル向けのアドバイスなどを掲載しています。
https://news.sophos.com/ja-jp/category/security-operations/
* 24時間365日体制で攻撃の阻止、無力化、調査を行うソフォスのRapid Responseサービスの詳細をご覧ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response
* Sophos Rapid ResponseとManaged Threat Responseチームがお届けする「インシデント対応の専門家からの重要な4つのヒント」を参照してください。
https://www.sophos.com/ja-jp/whitepaper/four-key-tips-from-incident-response-experts
* 受賞歴のあるソフォスのニュースサイトNaked Security(https://nakedsecurity.sophos.com/ja/)とSophos News(https://news.sophos.com/ja-jp/)で最新のセキュリティニュースとソフォスの解説をご覧ください。
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
