米国サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は木曜日に、ランサムウェアのアクターが未修正のSimpleHelpリモート監視管理(RMM)インスタンスを標的にして、名前の明かされていないユーティリティ請求ソフトウェアプロバイダーの顧客を侵害していることを明らかにしました。
「この事件は、2025年1月以降、未修正のSimpleHelp RMMバージョンを通じて組織を標的にするランサムウェアアクターの広範なパターンを反映しています」と、同庁は勧告で述べています。
今年初め、SimpleHelpは情報漏洩、権限昇格、リモートコード実行を引き起こす可能性のある一連の欠陥(CVE-2024-57727、CVE-2024-57728、CVE-2024-57726)を公開しました。
これらの脆弱性は、その後、DragonForceのようなランサムウェアグループによって標的を侵害するために繰り返し悪用されています。先月、Sophosは、マネージドサービスプロバイダーのSimpleHelpがこれらの欠陥を利用して脅威アクターによってアクセスされ、その後、他の下流の顧客に転用されたことを明らかにしました。
CISAは、SimpleHelpバージョン5.5.7以前にはCVE-2024-57727を含む複数の脆弱性があり、ランサムウェアのクルーが未修正のSimpleHelpインスタンスにアクセスして下流の顧客を二重恐喝攻撃で狙っていると述べています。
同庁は、SimpleHelpを使用して下流の顧客に接続するサードパーティサービスプロバイダーを含む組織がランサムウェア活動によりよく対応するために実施できる以下の緩和策を示しています –
- SimpleHelpサーバーインスタンスをインターネットから識別して隔離し、最新バージョンに更新する
- 下流の顧客に通知し、エンドポイントを保護するための措置を講じるよう指示する
- 侵害の兆候を探すための脅威ハンティングを実施し、SimpleHelpサーバーからの異常な入出力トラフィックを監視する(下流の顧客向け)
- ランサムウェアによって暗号化されたシステムをインターネットから切断し、オペレーティングシステムを再インストールし、クリーンなバックアップからデータを復元する
- 定期的なクリーンなオフラインバックアップを維持する
- リモートデスクトッププロトコル(RDP)などのリモートサービスをウェブ上に公開しない
CISAは、脅威アクターが提供する復号ツールがファイルの復元に役立つ保証がないため、被害者に身代金を支払うことを推奨していません。
「さらに、支払いは敵対者をさらに組織を標的にするように勇気づけ、他の犯罪者がランサムウェアの配布に関与することを促し、または不正活動を資金提供する可能性があります」とCISAは付け加えました。
Fogランサムウェア攻撃が従業員監視ソフトウェアを展開#
この展開は、Broadcomが所有するSymantecが、他のランサムウェア関連の侵入では観察されていないデュアルユースおよびオープンソースのペンテストツールを組み合わせて、アジアの名前の明かされていない金融機関を標的にしたFogランサムウェア攻撃を詳述したことを受けたものです。
Fogは、2024年5月に初めて検出されたランサムウェアのバリアントです。他のランサムウェア作戦と同様に、金銭的動機を持つクルーは、組織のネットワークにアクセスしてデータを暗号化するために、侵害された仮想プライベートネットワーク(VPN)資格情報とシステムの脆弱性を利用しますが、その前にデータを流出させます。
代替感染シーケンスでは、ZIPアーカイブ内に含まれるWindowsショートカット(LNK)ファイルが使用され、これがメールやフィッシング攻撃を通じて配布されます。LNKファイルを実行すると、Fogロッカーペイロードを含むランサムウェアローダーをドロップするPowerShellスクリプトがダウンロードされます。
攻撃はまた、特権をエスカレートし、メモリ内に直接悪意のあるコードを展開してセキュリティツールを無効にすることで検出を回避する高度な技術の使用によって特徴付けられます。Fogは、WindowsおよびLinuxのエンドポイントの両方を標的にすることができます。
Trend Microによると、2025年4月の時点で、Fogの脅威アクターは、年初から技術、教育、製造、輸送部門に関連する被害者の大多数を含む100人の被害者をデータ漏洩サイトで主張しています。
「攻撃者は、Syteca(旧Ekran)という合法的な従業員監視ソフトウェアを使用しましたが、これは非常に珍しいことです」とSymantecは述べました。「また、ランサムウェア攻撃中に一般的に使用されないオープンソースのペンテストツールであるGC2、Adaptix、Stowawayを展開しました。」
事件で使用された正確な初期アクセスベクトルは不明ですが、脅威アクターはSytecaを配信するために、中国のハッキンググループによって広く使用されているプロキシツールであるStowawayを使用していることが判明しています。GC2は、2023年に中国の国家支援ハッキンググループAPT41によって行われた攻撃で使用されたことがあることに注意が必要です。
また、データ流出のために圧縮データアーカイブを作成するために、7-Zip、Freefilesync、MegaSyncのような合法的なプログラムもダウンロードされました。
攻撃のもう一つの興味深い側面は、攻撃者がランサムウェアを展開した数日後にネットワーク上で持続性を確立するためのサービスを作成したことです。脅威アクターは、ランサムウェアをドロップする前に約2週間を費やしたと言われています。
「これはランサムウェア攻撃では珍しいステップであり、通常は攻撃者がデータを流出させてランサムウェアを展開した後、ネットワーク上での悪意のある活動は停止しますが、この事件の攻撃者は被害者のネットワークへのアクセスを維持したいと考えているようです」とSymantecとCarbon Blackの研究者は述べています。
この珍しい戦術は、会社がスパイ活動のために標的にされた可能性を示唆しており、脅威アクターがFogランサムウェアを展開したのは、彼らの真の目的を隠すための気晴らしや、手っ取り早くお金を稼ぐためである可能性があります。
LockBitパネルのリークが中国を最も標的にされている国の一つとして明らかに#
この発見は、LockBitランサムウェア・アズ・ア・サービス(RaaS)スキームが過去6か月間で約230万ドルを稼いだことを示す発表と一致しており、e犯罪グループがいくつかの挫折にもかかわらず活動を続けていることを示しています。
さらに、TrellixのLockBitの地理的ターゲティングに関する分析によれば、2024年12月から2025年4月までの間に、2025年5月の管理パネルのリークに基づいて、中国がIofikdis、PiotrBond、JamesCraigのアフィリエイトによって最も激しく標的にされている国の一つであることが明らかになりました。他の著名なターゲットには、台湾、ブラジル、トルコが含まれます。
「中国での攻撃の集中は、この市場に対する大きな焦点を示しており、おそらくその大規模な産業基盤と製造部門が理由です」とセキュリティ研究者のJambul Tologonovは述べました。
「Black BastaやConti RaaSグループが時折中国のターゲットを調査するだけで暗号化しないのとは異なり、LockBitは中国の国境内で活動することをいとわず、潜在的な政治的結果を無視するようであり、彼らのアプローチにおける興味深い逸脱を示しています。」
アフィリエイトパネルのリークは、LockBitが「プラハからのxoxo」という匿名のアクターがリークの責任を主張したことに対する検証可能な情報に対して金銭的報酬を発表するきっかけにもなりました。
さらに、LockBitは、2025年3月末にRansomHubの突然の終了から利益を得たようであり、BaleyBeachやGuillaumeAtkinsonを含む後者のアフィリエイトの一部がLockBitに移行し、ランサムウェアの次のバージョンであるLockBit 5.0の開発を進める中でその活動を再開するよう促しました。
「このリークが本当に示しているのは、彼らの不正なランサムウェア活動の複雑で最終的にはあまり華やかでない現実です。利益はありますが、彼らが世界に信じさせたい完璧に組織された、非常に儲かる作戦とはほど遠いものです」とTologonovは結論づけました。
翻訳元: https://thehackernews.com/2025/06/ransomware-gangs-exploit-unpatched.html