3 Min Read
認証情報を窃取するFortiBleedキャンペーンの背後にいる初期アクセスブローカー(IAB)組織が、ランサムウェアの攻撃者と連携して活動していることが判明しました。この大規模な攻撃活動の被害者は、さらに大きな脅威に直面していることになります。
SOCRadarが今週発表した調査結果は、FortiBleedの攻撃者と2つのランサムウェア・アズ・ア・サービス(RaaS)集団、Inc RansomとLynxとの関連性を明らかにしています。SOCRadarの研究者は、キャンペーンのインフラの背後にいる運用者が、両集団の身代金交渉パネルに実際にログインし、「身代金要求に直接関与している」ことを発見しました。
SOCRadarのブログ記事によると、「FortiBleedにまで遡って追跡可能なインフラを使い、両方のパネルを操作する単独の運用者を発見したことは、この攻撃キャンペーンで収集されたFortiGateの認証情報がランサムウェア展開のために引き渡されている、あるいは直接使用されていることを示す、これまでで最も明確な証拠です」とのことです。
ランサムウェア集団との関連性は、この一連の事件における最新の展開です。セキュリティ保護が不十分なFortinet FortiGateファイアウォールを狙った攻撃は、先月セキュリティコンサルタントのVolodymyr「Bob」Diachenko氏によって最初に発見されました。その後SOCRadarは、この攻撃が「FortiBleed」と名付けられたグローバルな攻撃キャンペーンの一部であることを突き止めました。このキャンペーンでは数千台のデバイスが侵害され、Golangベースのスニファーを使ってファイアウォールを認証情報窃取装置に変える手口が使われていました。
この初期アクセスを狙ったキャンペーンは、世界中の430,000台のFortiGateデバイスを標的にしていました。SOCRadarによると、FortiBleedのスニファーは現在約12,000台のFortiGateファイアウォールにインストールされていますが、これまでの調査では当該IABが30,000台を超えるデバイスの認証情報を保有していたことが示されています。
FortiBleed被害者に次に待ち受けるのはランサムウェア攻撃か
SOCRadarの調査結果は、FortiBleedキャンペーンのインフラにおける「運用上のセキュリティ上の不備」に端を発しており、これにより研究者たちはこのIAB組織の内部ファイル、ログ、運用文書にアクセスすることができました。FortiBleedの運用者の活動に加え、SOCRadarの脅威調査ユニット(STRU)は、Incに関連するオープンディレクトリを発見しました。そこには被害者が重複するデータセットが含まれていました。
STRUはさらに、キャンペーンのFortiGate標的一覧が記載された内部追跡文書を発見しました。この文書には、どの認証情報が使用されたか、どのネットワークにアクセスされたか、ランサムウェアが展開されたかどうかといったデータが含まれていました。
STRUは、脅威アクターが409の標的で管理者レベルのアクセス権を獲得していたことを突き止めました。同社によると、「そのうち354件では、攻撃者がVPN侵害、ドメインコントローラーへのアクセス、ドメイン管理者権限の獲得という一連の攻撃チェーンを完全に成し遂げていました」とのことです。「STRUは、このアクセスに起因する少なくとも12件のランサムウェア展開を確認しており、影響を受けた組織全体で数百台のエンドポイントが暗号化されています」。
SOCRadarの最高情報セキュリティ責任者(CISO)であるEnsar Seker氏はDark Readingに対し、同社はFortiBleedの攻撃に直接関連する広範なランサムウェア展開をまだ確認していないものの、「境界セキュリティ機器へのアクセスはランサムウェア集団にとって明確な侵入経路となり得るため、組織はこの露出をランサムウェア攻撃前の重大な侵入リスクとして扱うべきです」と述べています。
同氏によると、現時点で確認されている活動の大半は「認証情報の窃取、被害者のプロファイリング、アクセスのブローカー行為、データ窃取による恐喝リスクといった性質に近い」とのことで、SOCRadarの現時点での見立てでは、このIAB集団はInc・Lynx両RaaS集団とは別組織であり、これらの集団はおそらくアクセス権に対して対価を支払っているとみられます。
同氏は、「証拠が示しているのは、侵害されたFortinet環境と関連する被害者データが収集・検証され、場合によっては収益化されたり下流に流されたりする、いわばアクセス供給層の存在です」と述べており、IncとLynxは侵害されたデバイスの背後にいる最初の攻撃者ではなく、そのアクセス権とデータの下流利用者として動いているとの見方を示しています。
攻撃者、Nextcloudのゼロデイと見られる脆弱性を悪用か
SOCRadarの調査ではまた、FortiBleedのIAB集団について言及されています。この集団はこれまで名称こそ判明していないものの、約20人からなる組織立った活動体で、中核メンバーは少数の運用者で構成されていることが分かっています。報告書によれば、この集団は認証情報の窃取以外にも手口を持っており、「少なくとも1件」のゼロデイ脆弱性を保有しているとのことです。
報告書では、この未公開のゼロデイ脆弱性について具体的な名称は明かされていませんが、SOCRadarは報道機関へのメールで、影響を受けるベンダーがNextcloudであること、そしてFortiBleedに関連する脅威アクターがゼロデイアクセスを拡大するためにこの脆弱性を積極的に悪用していることを確認しています。
Dark ReadingはNextcloudにコメントを求めましたが、記事執筆時点では回答が得られていません。
Seker氏によると、STRUはNextcloudのゼロデイに関する活動を、Inc・Lynxの攻撃ではなくFortiBleedの「アクセスブローカー行為・侵入フェーズ」に関連するものと評価しています。「言い換えれば、この脆弱性の悪用は初期侵害またはアクセス拡大を支える役割を果たしているように見える一方、ランサムウェアのブランドは下流での収益化チャネルの一つである可能性があります」。
SOCRadarは、帰属の妥当性を検証するためこの活動の調査を継続し、今後発表予定のホワイトペーパーでさらなる分析結果を示すとしています。
翻訳元: https://www.darkreading.com/threat-intelligence/fortibleed-actors-inc-lynx-ransomware-gangs