ランサムウェアは、正規のKickidler従業員監視ソフトウェアを偵察に使用し、被害者の行動を追跡し、ネットワーク侵入後に認証情報を採取している。
サイバーセキュリティ企業のVaronisと Synacktivが観測した攻撃では、QilinとHunters Internationalのランサムウェア関連会社が、キー入力のキャプチャ、スクリーンショットの撮影、画面のビデオ作成が可能な従業員監視ツールKickidlerをインストールしていた。
Kickidlerの開発者によると、このツールは60カ国の5,000以上の組織で使用されており、視覚的な監視とデータ損失防止機能を提供しているという。
この攻撃は、VMware vSphereのデプロイメントを管理するための無料のWindowsユーティリティであるRVToolsを検索した際に表示されるGoogle広告を、脅威行為者が利用したことから始まった。この広告をクリックすると、RVToolsの偽サイト(rv-tool[.]net)に誘導され、トロイの木馬化されたプログラムのバージョンが宣伝されました。
このプログラムは、SMOKEDHAM PowerShell .NETバックドアをダウンロードして実行するマルウェアローダーであり、Kickidlerをデバイス上に展開するために使用されました。
.jpg)
これらの攻撃は企業の管理者を標的としており、そのアカウントは通常、侵害後に脅威行為者に特権資格情報を提供することになりますが、Varonis社は、被害者のシステムへのアクセスを数日から数週間維持し、検知されずにオフサイトのクラウドバックアップにアクセスするために必要な資格情報を収集した可能性があると考えています。
「近年、攻撃者によるバックアップソリューションの標的が増加していることから、防御側はバックアップシステムの認証をWindowsドメインから切り離すようにしています。この対策により、攻撃者が高レベルのWindows認証情報を取得しても、バックアップにアクセスできなくなります。
「Kickidlerは、管理者のワークステーションからキー入力やウェブページをキャプチャすることで、この問題に対処します。これにより、攻撃者はオフサイトのクラウドバックアップを特定し、それらにアクセスするために必要なパスワードを取得することができます。これは、検知される可能性が高いメモリダンプやその他のリスクの高い手口を使わずに実行されます」。
どちらのケースでも、侵入されたネットワーク上で悪意のある活動を再開した後、ランサムウェアのオペレーターは、被害者のVMware ESXiインフラストラクチャを標的としたペイロードを展開し、VMDK仮想ハードディスクドライブを暗号化し、広範囲に混乱を引き起こしました。
Hunters Internationalが使用した展開スクリプトは、VMware PowerCLIとWinSCP Automationを活用してSSHサービスを有効化し、ランサムウェアを展開し、ESXiサーバー上で実行したとSynacktivは述べている。
攻撃に悪用される正規のRMMソフトウェア
従業員監視ソフトウェアはランサムウェアギャングがよく使うツールではないが、彼らは何年も前から正規のリモート監視・管理(RMM)ソフトウェアを悪用してきた。
CISA、NSA、MS-ISACが2023年1月の共同勧告で警告したように、多くのランサムウェア作戦の一部である攻撃者は、被害者を騙してポータブル・リモート・デスクトップ・ソリューションをインストールさせ、ソフトウェア制御を迂回させ、管理者権限を必要とせずにシステムを乗っ取っている。
2022年10月中旬以降、CISAは、この種の攻撃に関連する複数の連邦民間行政府(FCEB)機関のネットワーク内での悪質な活動も発見している。
最近、攻撃者は脆弱なSimpleHelp RMMクライアントを標的にして管理者アカウントを作成し、バックドアをインストールし、Akiraランサムウェア攻撃の舞台を整える可能性があることが確認されています。
潜在的なセキュリティ侵害を防御するために、ネットワーク防御者はインストールされたリモート・アクセス・ツールを監査し、許可されたRMMソフトウェアを特定することをお勧めします。
また、アプリケーション・コントロールを使用して、許可されていないRMMソフトウェアの実行を防止し、VPNやVDIなどの承認されたリモート・アクセス・ソリューションとともに、許可されたリモート・デスクトップ・ツールの使用のみを強制することが推奨される。
さらに、セキュリティチームは、使用されていない場合は、標準的なRMMポートおよびプロトコルでのインバウンドおよびアウトバウンド接続をブロックする必要があります。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments