Akiraランサムウェアの一団は、被害者のネットワーク上で暗号化攻撃を開始するために保護されていないウェブカメラを使用し、Windowsで暗号化装置をブロックしていたEDR(Endpoint Detection and Response)を効果的に回避していることが発見された。
サイバーセキュリティ企業のS-RMチームは、ある顧客企業で最近発生したインシデント対応中に、この一風変わった攻撃方法を発見した。
注目すべきことに、Akiraは、被害者のEDRソリューションによってブロックされたWindows上に暗号化ツールを展開しようとした後、初めてウェブカメラに軸足を移した。
Akiraの異例の攻撃チェーン
脅威者はまず、標的となった企業で公開されたリモート・アクセス・ソリューションを介して企業ネットワークにアクセスし、おそらく盗んだ認証情報を活用するか、パスワードを総当たりで入力しました。
アクセス権を獲得した後、正規のリモート・アクセス・ツールであるAnyDeskを展開し、二重の恐喝攻撃の一部として使用するために会社のデータを盗み出しました。
次に、Akiraはリモート・デスクトップ・プロトコル(RDP)を使用して横方向に移動し、ランサムウェアのペイロードを展開する前に、できるだけ多くのシステムに存在を拡大しました。
最終的に、脅威当事者はランサムウェアのペイロード(win.exe)を含むパスワードで保護されたZIPファイル(win.zip)をドロップしましたが、被害者のEDRツールはこれを検出して隔離し、実質的に攻撃をブロックしました。
この失敗の後、Akiraは別の攻撃経路を探り、ファイルの暗号化に使用できる他のデバイスがないかネットワークをスキャンし、ウェブカメラと指紋スキャナーを発見しました。
S-RMの説明によると、攻撃者がウェブカメラを選んだ理由は、リモート・シェル・アクセスや不正なビデオ・フィードの閲覧に対して脆弱だったからだという。
さらに、AkiraのLinux暗号化ソフトと互換性のあるLinuxベースのOS上で動作していた。また、EDRエージェントを搭載していなかったため、ネットワーク共有上のファイルをリモートで暗号化するのに最適なデバイスでした。
出典:S–RM:S-RM
S-RMが確認したところによると、脅威者はウェブカメラのLinuxオペレーティングシステムを利用して、同社の他のデバイスのWindows SMBネットワーク共有をマウントしました。その後、ウェブカメラ上でLinux暗号化ツールを起動し、それを使ってSMB経由でネットワーク共有を暗号化し、ネットワーク上のEDRソフトウェアを効果的に回避した。
「このデバイスは監視されていなかったため、被害組織のセキュリティ・チームは、ウェブカメラから影響を受けたサーバーへの悪意のあるサーバー・メッセージ・ブロック(SMB)トラフィックの増加に気付かなかった。
「Akiraはその後、被害者のネットワーク上でファイルを暗号化することができた。
S-RMは、ウェブカメラの欠陥に対して利用可能なパッチがあり、この攻撃、あるいは少なくともこのベクターは回避可能であったと述べている。
このケースは、EDR保護が包括的なセキュリティ・ソリューションではなく、組織は攻撃から保護するためにEDRのみに依存すべきではないことを示している。
さらに、IoTデバイスはコンピュータほど綿密に監視・保守されていないが、それでも重大なリスクをもたらす。
このため、この種のデバイスは、本番用サーバーやワークステーションなど、より機密性の高いネットワークから隔離する必要がある。
同様に重要なことは、IoTデバイスであっても、すべてのデバイスはファームウェアを定期的に更新し、攻撃に悪用される可能性のある既知の欠陥にパッチを当てることである。
Comments