ハッキングされた企業の内部にアクセスし、横方向に移動し、アクセスをエスカレートさせて、ファイルを暗号化する前にデータを流出させる方法をアフィリエイトメンバーを教育するために「Conti」ギャングが使用していたマニュアルと技術ガイドが流出したと話題になっています。
未明にXSSという名の地下サイバー犯罪フォーラムに流出したこのファイルは、Contiグループが企業ネットワークに侵入するために支払っていた報酬に問題があったと思われる個人によってリークされたものです。
この人物は、フォーラムに投稿されたメッセージの中で、ContiグループがCobalt Strikeコマンド&コントロールサーバをホストしているIPアドレスのスクリーンショットを公開していますが、これはContiのアフィリエイトメンバーがハッキングされた企業ネットワークにアクセスするために使用するものです。
さらに「Мануали для работяг и софт.rar」という名前のRARアーカイブも公開しています。これは、大まかに訳すと「ハードワーカーとソフトウェアのためのマニュアル.rar」です。
このアーカイブには、ネットワーク侵入時に様々なハッキングツールや正規のソフトウェアまでを使用する方法が書かれた37のテキストファイルが含まれています。
例えば、流出したマニュアルには、以下のような方法が書かれています。
- RcloneソフトウェアをMEGAアカウントで設定し、データを流出させる。
- AnyDeskソフトウェアを、被害者のネットワークへの永続的なリモートアクセスソリューションとして設定する(Contiの既知の手口)。
- Cobalt Strikeエージェントの設定と使用
- NetScanツールを使用した内部ネットワークのスキャン
- Metasploitペンテストフレームワークを仮想プライベートサーバ(VPS)にインストールする。
- Ngrokセキュアトンネルを使用したRDPによるハッキングされたネットワークへの接続
- 企業内のハッキングされたネットワーク内で昇格し、管理者権限を取得する
- ドメインコントローラの乗っ取り
- Active Directoryからパスワードをダンプする(NTDS dumping)。
- SMBブルートフォース攻撃の実行
- ルーター、NASデバイス、セキュリティカメラへのブルートフォース攻撃
- ZeroLogonエクスプロイトの使用
- Kerberoasting攻撃の実行
- Windows Defenderによる保護の無効化
- シャドーボリュームコピーの削除
- 匿名ネットワーク「Tor」を利用するためにアフィリエイトが自分のOSを設定する方法 など
Ransomware-as-a-Service(RaaS)からの流出は極めて稀ですが、今回公開されたデータは、セキュリティ研究者が画期的だと評するようなものではありませんでした。
今回流出したファイルには、Conti社をはじめとするランサムウェアグループが長年にわたり過去の侵入時に使用してきた基本的な攻撃戦術や技術のガイドが含まれています。
しかし、今回の流出により、一部のセキュリティ企業は、Contiの侵入を検知する能力を向上させるため、より強力な防御プレイブックをまとめて顧客に勧めることができると考えられています。
Comments