FortiBleedを利用した認証情報窃取キャンペーン、INCおよびLynxランサムウェア攻撃との関連が判明

数十万台のFortiGateファイアウォールを密かに侵害してきた大規模な認証情報窃取キャンペーン「FortiBleed」に、現在進行中のランサムウェア活動との関連性があることが確認されました。

SOCRadarの脅威リサーチユニット(STRU)は、FortiBleedのインフラへのアクセス権を持つ攻撃者が、INC RansomとLynxの両方の交渉パネルを実際に運用していたことを発見しました。これにより、大規模なファイアウォール認証情報の窃取とランサムウェア展開との関連性が初めて裏付けられました。

STRUはこれまで、世界中で43万台を超えるFortiGateファイアウォールを標的とした大規模な認証情報窃取活動として、FortiBleedについて報告してきました

この脅威アクターは初期アクセスブローカーとして活動しており、FortiOSに標準搭載されている「diagnose sniffer packet」コマンドを悪用し、20種類以上のプロトコルにわたって認証トラフィックを受動的に傍受する、「FortigateSniffer」と呼ばれる独自のGoツールを使用しています。

この作戦の規模と金銭目的は当初から明らかでしたが、窃取されたアクセス権が実際にどこへ渡っていたのかは、これまで未解明のままでした。

Shodan、Censys、Validin、および社内のIPブロックスキャンを用いて継続的にマッピングを行った結果、このキャンペーンに関連する運用サーバーが約200台さらに発見されました。

この拡大したインフラ全体において、STRUは150カ国以上、約11,250件のFortiGateポータルに対するスキャン活動を追跡し、そのうち409件のターゲットで管理者レベルのアクセスが確認されました。

さらにそのうち354件では、VPN侵害からドメインコントローラへのアクセス、そして最終的にドメイン管理者権限の奪取まで、攻撃チェーン全体が完遂されていました。

STRUが確認したところによると、このアクセス権に起因するランサムウェア展開は少なくとも12件に上り、被害組織全体で数百台のエンドポイントが暗号化されたとのことです。

新たに発見されたあるサーバーで運用上のセキュリティ上の不備があったことから、STRUは攻撃者の内部環境を可視化することができ、これが以下で述べる帰属特定の根拠となりました。

その内部環境の中で、STRUはある一人の攻撃者がINC RansomとLynxランサムウェアの両方の交渉パネルにログインし、身代金要求のやり取りに直接関与している様子を発見しました。

INC Ransomは2023年半ばから活動している多産なRaaS(Ransomware-as-a-Service)グループであり、Lynxはその約1年後に登場し、INCの進化版であると広く見なされています。

FortiBleedにまで遡ることができるインフラを使い、一人の攻撃者が両方のパネルを運用していたという事実は、この作戦を通じて窃取されたFortiGateの認証情報が他者に引き渡されている、あるいは直接ランサムウェア展開に利用されていることを示す、これまでで最も明確な証拠です。

この点は被害者の重複によっても裏付けられています。FortiBleed自身のインフラから得た標的データと、別途発見されたINC関連の公開ディレクトリを比較したところ、両方のデータセットに一致する被害者が見つかりました。これは両方の作戦が同一の組織を追跡していたことを裏付ける、独立した証拠です。

STRUは、FortiGateの標的を管理するために使われていた内部の追跡文書を回収しました。この文書には、どの認証情報が使用されたか、どのネットワークにアクセスしたか、そして最終的にランサムウェアが展開されたかどうかが記録されていました。

分析の結果、この作戦は約20人体制の組織化されたグループによって行われていることが判明しました。少数の中核メンバーが影響の大きい侵入を主導し、専門のスペシャリストや下働きを担うジュニアオペレーターの層がそれを支える構造になっています。

今回の調査により、FortiBleedがランサムウェア経済圏の傍らに存在する独立した作戦ではなく、その経済圏に直接流れ込んでいることが明らかになりました。

数十万台ものファイアウォールにわたって認証トラフィックを傍受してきた同じアクセスブローカーのインフラが、一人の共通の攻撃者を通じて、現在活動中の2つのランサムウェアブランドとつながっていたのです。

FortiGateのインフラを運用している組織にとって、今後はFortiBleedへの露出をランサムウェア攻撃の前兆となり得るものとして扱うべきでしょう。

SOCRadarが近く発表予定のホワイトペーパーでは、インフラの全容、グループの組織構造、攻撃者が使用するツール、そして侵害指標(IOC)の全容を詳述するほか、現在責任ある開示のプロセスにある少なくとも1件の未公開ゼロデイ脆弱性に対する、このグループによるAIツールの活用についても別途調査結果が報告される予定です。

翻訳元: https://cyberpress.org/fortibleed-credential-theft-campaign/

ソース: cyberpress.org