🛡 概要
サイバーセキュリティ企業The DFIR Reportによると、最近の攻撃により、ある脅威アクターがPlay、RansomHub、DragonForceの3つのランサムウェア・アズ・ア・サービス(RaaS)オペレーションに関連付けられています。攻撃は2024年9月に発生し、被害者はDeskSoftの世界時計アプリケーションEarthTimeを偽装した悪意のあるファイルを実行しました。このファイルは、.NETベースのSectopRATマルウェアをシステムに展開します。
🔍 技術詳細
悪意のあるアプリケーションは、複数のマルウェアサンプルに署名していることで知られる、取り消された証明書で署名されていました。攻撃者は、まず新しいローカルアカウントを作成し、管理者権限を持たせ、SystemBCプロキシトンネリングツールを展開しました。次に、RDPを使用してドメインコントローラーを侵害し、IPconfigやNLtestなどのWindowsユーティリティを利用してホストを列挙しました。攻撃者はさらに、PowerShellスクリプトをバックアップサーバーで実行し、Veeamの資格情報を取得しました。
攻撃の6日後、SectopRATを使用してBetrugerという第二のバックドアを展開し、ドメインコントローラー上でさまざまなコマンドを実行して追加の偵察を行いました。Betrugerは、複数のプレランサムウェアツールの機能を統合したもので、画面キャプチャ、キーストロークの記録、権限の昇格、ネットワークの発見、資格情報の窃取を可能にします。この機能は、攻撃の準備段階で必要なツールの数を減らすために特別に開発されたことを示唆しています。
⚠ 影響
この攻撃により、組織は深刻な影響を受ける可能性があります。攻撃者は、Veeamデータベースをダンプし、DCSync攻撃を実行して資格情報を収集しました。また、Windows Defenderのセキュリティ機能を無効にするためにレジストリキーを変更し、時間を操作する可能性のある活動を行いました。攻撃の最終目的はランサムウェアの配布ですが、ファイルを暗号化するマルウェアは実行されていませんでした。それでも、攻撃者は体系的にデータをアーカイブし、FTP経由で外部へ漏洩させました。
🛠 対策
組織は、今回の攻撃から学び、適切な対策を講じる必要があります。まず、マルウェアの侵入を防ぐために、信頼できるソースからのみアプリケーションをダウンロードし、実行することが重要です。また、定期的なセキュリティ監査や脆弱性スキャンを行い、システムのアップデートを怠らないようにしましょう。さらに、ユーザー教育を実施し、フィッシング攻撃や悪意のあるファイルに対する警戒心を高めることが必要です。最後に、データのバックアップを定期的に行い、万が一の事態に備えることが重要です。
