FortiBleedキャンペーン、INCおよびLynxランサムウェア集団に関連と判明

研究者らは、ゼロデイ脆弱性が疑われるものが関与している可能性についても調査を進めています。

Image

「FortiBleed」と名付けられた大規模な認証情報窃取キャンペーンが、ランサムウェア・アズ・ア・サービス(RaaS)組織であるINC ransomおよびLynxの2つと関連していることが、サイバーセキュリティ企業SOCRadarが水曜日に公開したブログ記事で明らかになりました。 

研究者によると、FortiBleedのインフラにアクセス権を持つある攻撃者が、INCとLynxの双方の交渉パネルにログインしていたことが確認されています。 

一部の攻撃では、Nextcloudというコンテンツコラボレーションプラットフォームの脆弱性が悪用された可能性があります。この分析はまだ進行中であり、現時点では公式のアドバイザリや共通脆弱性識別子(CVE番号)はまだ割り当てられていません。 

「Nextcloudの問題は、攻撃者の広範な運用フローの一環として使われていたと見られ、おそらく初期侵害後の拡大やインフラへのアクセス確保のために利用されたと考えられます」と、SOCRadarのCISOであるEnsar Seker氏はCybersecurity Diveに語りました。

すべての事例でNextcloudが関与していたわけではなく、また侵害がこのゼロデイの悪用に完全に依存していたわけでもありません。 

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は先月、ハッカーらが数万件に及ぶ侵害されたFortinet製ファイアウォールおよび仮想プライベートネットワーク(VPN)の認証情報を使い、政府機関と民間企業の双方を標的にしていると警告していました。 

多層的な攻撃構造

SOCRadarによると、このキャンペーンに関連するある攻撃者は、認証トラフィックを傍受するための独自開発によるGolangベースのツールを使い、初期アクセスブローカーとして活動していたとみられています。このハッキング活動には20人が関与しているとみられ、研究者らは現在、この活動に関する追加の詳細を含む続報の作成に取り組んでいます。 

研究者らは、19,000台のFortinet製デバイスでトラフィックの盗聴を確認しました。一連の通知を行った結果、この台数は11,000台まで減少しています。

Fortinetは先月、このキャンペーンによってリスクにさらされている可能性がある顧客に通知するため、政府当局と連携していると発表しました。 

研究者らによると、攻撃者らは409件の標的で管理者レベルのアクセス権を獲得し、354件の標的を完全に侵害しています。これまでにSOCRadarは12件のランサムウェア展開を確認しており、数百台のエンドポイントが暗号化されています。 

翻訳元: https://www.cybersecuritydive.com/news/fortibleed-campaign-traced-to-inc-and-lynx-ransomware-operations/824348/

ソース: cybersecuritydive.com