FortiBleedによる認証情報窃取キャンペーン、Lynxランサムウェアとの関連が判明

大規模な認証情報窃取キャンペーン「FortiBleed」が、INCおよびLynxランサムウェア組織と関連していることが判明しました。この結果は、窃取されたFortinet製品の認証情報が今後のネットワーク侵入活動に利用される狙いだったことを示唆しています。

今月初め、73,000台を超えるFortinet製デバイスから盗まれた認証情報を格納したサーバーが、インターネット上に公開された状態で発見されました。研究者らによると、このサーバーにはダウンロード済みのFortiGate設定ファイル、侵害されたデバイスから収集された認証情報のほか、パスワードハッシュの解読やクレデンシャルスタッフィング攻撃に使用されるインフラが含まれていました。

このキャンペーンは、露出した認証情報の件数の多さと、その大規模な窃取活動から「FortiBleed」と名付けられました

SOCRadarによるその後の調査では、この攻撃活動において「FortiGate Sniffer」と呼ばれるカスタムのパケットスニッフィングツールが使用されていたことが明らかになりました。このツールにより、攻撃者は侵害したFortiGateファイアウォール上でネットワークトラフィックから直接、VPN認証情報やその他の認証データを傍受できていたとみられます。

SOCRadarの脅威リサーチユニット(STRU)による最新の調査では、この認証情報窃取活動がINCおよびLynxランサムウェア・アズ・ア・サービス(RaaS)グループのメンバーと直接結びついていることが示されています。

研究者らはBleepingComputerに対し、FortiBleedのインフラの一部として使用されていたWindowsサーバーを特定したことでこの関連性を発見したと説明しています。

「当社の脅威リサーチチームは、FortiBleedインフラに属するWindowsサーバーを特定し、これにより脅威アクターの手口についてさらなる知見が得られました」とSOCRadarはBleepingComputerに語っています。

「そのサーバーの調査中、収集した痕跡の分析から、脅威アクターがLynx/INCランサムウェアグループ双方のランサムウェア交渉パネルにアクセスしていたことが判明しました」

SOCRadarはBleepingComputerに対し、両ランサムウェアグループの管理パネルにアクセスしているブラウザセッションを示すスクリーンショットを共有しました。これらの画像には、ランサムウェア交渉時に使用された被害者とのチャットを含む交渉用ダッシュボードが写っています。

研究者らによると、これはFortiBleedインフラへのアクセス権を持つ人物が、これらのランサムウェアグループの交渉プラットフォームにも関与していたことを示す直接的な証拠だとしています。

さらに同社は、当初このキャンペーンに関連付けられていたサーバー以外に200台以上の追加の運用サーバーを特定したほか、FortiBleedの過程で収集された被害者情報が、後にINCランサムウェアのリークサイトに掲載された組織と一致することを発見したこと、そしてこの攻撃活動がそれぞれ役割を持つ約20人のメンバーで構成されているとみられる証拠を確認したことも明らかにしています。

SOCRadarはまた、このキャンペーンが当初の想定よりもはるかに大規模であったとも述べています。

研究者らによると、この攻撃活動は世界中で430,000台を超えるFortiGateファイアウォールを標的とし、約19,000台のデバイスにトラフィックスニッファーを展開していたということです。

被害を受けた組織への通知後、侵害されたデバイスの数は約11,000台にまで減少しました。研究者らは、この攻撃活動で使用されたサーバーを約500台特定したとも述べています。

また研究者らは、攻撃者が初期侵入後にアクセスを拡大する手段として、これまで公表されていなかったNextcloudのゼロデイ脆弱性を悪用したとみています。ただし、技術的な詳細はまだ公開されていません。

SOCRadarはさらに、侵害されたシステム上で「adminin」というユーザー名を用いた永続的なバックドアアカウントを発見したこともBleepingComputerに伝えており、ランサムウェアの復号キーの復旧作業も引き続き進めているとしています。

INC Ransomは2023年半ば以降、ランサムウェア・アズ・ア・サービスのプラットフォームとして運用されており、医療、教育、政府機関など世界中のさまざまな分野の組織を標的にしてきました。

Lynxは2024年半ばに出現したグループで、セキュリティ研究者の間では新たな恐喝グループというより、INCランサムウェアギャングのリブランドであると考えられています。

SOCRadarによると、侵害指標(IoC)や攻撃者の帰属に関する証拠、さらなる技術分析を盛り込んだ2本目の技術ホワイトペーパーが、調査完了後に公開される予定です。

攻撃者に先んじて、あらゆるレイヤーをテストする

セキュリティチームが記録できているのは、成功した攻撃のわずか54%に過ぎず、アラートが発報されるのはそのうちたった14%です。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMやEDRのルールをテストし、検知をすり抜ける脅威を防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/

ソース: bleepingcomputer.com