Fogランサムウェアのハッカーは、オープンソースのペンテスト・ユーティリティやSytecaと呼ばれる正規の従業員監視ソフトウェアを含む、珍しいツールセットを使用している。
Fogランサムウェアは昨年5月、漏洩したVPN認証情報を利用して被害者のネットワークにアクセスすることが初めて確認された。
侵入後、彼らは「パス・ザ・ハッシュ」攻撃を使って管理者権限を獲得し、Windows Defenderを無効にし、仮想マシン・ストレージを含むすべてのファイルを暗号化した。
その後、この脅威グループは、Veeam Backup & Replication(VBR)サーバやSonicWall SSL VPNエンドポイントに影響を与えるn-day欠陥を悪用することが確認されました。
新しい攻撃ツールセット
シマンテックとCarbon Black Threat Hunterチームの研究者は、先月アジアの金融機関で発生したインシデント対応中に、この異常な攻撃ツールセットを発見しました。
シマンテックは、最初の感染経路を特定することはできませんでしたが、このような攻撃ではこれまで見られなかった複数の新しいツールが使用されていることを記録しました。
その中で最も珍しく興味深いのは、Syteca(旧名Ekran)で、画面のアクティビティやキー入力を記録する正規の従業員監視ソフトウェアである。
攻撃者はこのツールを使って、従業員が遠隔監視されていることに気づかずに入力したアカウント情報などを収集することができる。
Sytecaは、秘密通信とファイル転送のためのオープンソースのプロキシツールであるStowawayによってこっそりとシステムに配信され、ラテラルムーブメントに使用されるImpacketオープンソースフレームワークのPsExecに相当するSMBExecによって実行された。
この攻撃には、コマンド&コントロール(C2)とデータ流出のためにGoogle SheetsまたはMicrosoft SharePointを使用するオープンソースのポストエクスプロイトバックドアであるGC2も関与していました。
GC2はランサムウェア攻撃ではほとんど見られず、以前は中国の脅威グループAPT41による攻撃で使用されていました。
これらのツールとは別に、SymantecはFogランサムウェアの最新の武器として以下のものを挙げている:
- Adapt2x C2 – Cobalt Strikeのオープンソース代替ツールで、エクスプロイト後のアクションをサポートする。
- Process Watchdog – 主要なプロセスを再起動できるシステム監視ユーティリティ
- PsExec – ネットワーク化されたマシンをリモートで実行する Microsoft Sysinternals ツール。
- Impacket SMB – SMBに低レベルのプログラムでアクセスできるPythonライブラリで、被害者のマシンにランサムウェアのペイロードを展開するために使用されると思われます。
Fogランサムウェアは、データの流出を準備し、インフラストラクチャにデータを配信するために、7-Zip、MegaSync、FreeFileSyncユーティリティも使用していました。
「攻撃者が展開したツールセットは、ランサムウェア攻撃としては極めて典型的なものです。
「SytecaクライアントとGC2ツールは、ランサムウェア攻撃で展開されているのを見たことがないツールであり、StowawayプロキシツールとAdap2x C2エージェントビーコンも、ランサムウェア攻撃で使用されているのを見るのは珍しいツールです。
シマンテックが最近のFogランサムウェア攻撃で発見したような珍しいセットは、脅威行為者が検知を回避するのに役立ちます。研究者の報告書は、組織がこのようなインシデントから保護するのに役立つ侵害の指標を提供しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments