FortiBleedマルウェアキャンペーン、INC Ransomとの関連が判明

悪名高いFortiBleed悪意ある攻撃活動をめぐり、新たな事実が明らかになりました。研究者らはこのキャンペーンを、単なる認証情報の窃取にとどまらないものと断定しています。実際には、Lynx/INCランサムウェア集団に直接結びついていることが判明しました。セキュリティ専門家の間ではこの集団はINC Ransomとしても知られています。

攻撃インフラの解明

SOCRadarのセキュリティレポートの詳細な分析によると、キャンペーンの運営者は重要な運用サーバーを不注意にも外部に露出させていました。この露出したサーバーには、悪意あるインフラに関する重要なファイル一式が含まれていました。SOCRadarはこのデータを分析することで、今回の攻撃活動の途方もない規模を把握できました。この攻撃活動では、実に86,644台のFortiGateデバイスが侵害されていました。さらに、194カ国、22,405のドメインにまたがる80,000以上のユニークIPアドレスが関与していました。

ランサムウェア運営者との関連

これまで、FortiBleedをめぐる主な懸念は、侵害の規模の大きさに集中していました。専門家はまた、Fortinet製デバイスへの初期侵入経路についても疑問視していました。しかし、今回の最新情報により、実行犯とみられる存在がついに特定されました。Lynx/INCは主に、容赦のない攻撃を仕掛けるランサムウェアグループとして活動しています。2023年以降、同グループは医療、教育、政府、産業分野の企業ネットワークを積極的に標的にしてきました。さらに、攻撃の重点は主に北米と欧州に置かれています。

新たな脆弱性ではなく過去のデータを悪用

興味深いことに、FortiBleedの手口は未発見の新たな脆弱性を悪用したものではありませんでした。その代わりに、運営者は過去の情報漏えいやインフォスティーラーのログからパスワードをかき集めていました。そして、これらの認証情報を公開されているFortiGateデバイスに対して系統的に試行していました。侵入に成功すると、侵害されたゲートウェイは秘密の傍受拠点へと変貌しました。これにより、攻撃者はSSL VPNのトラフィックを監視し、新たな認証情報を継続的に収集できるようになっていました。

ずさんなパスワード管理の危険性

重要なのは、ファームウェアを更新するだけでは、多くの組織にとって問題の解決にならなかったとSOCRadarが指摘している点です。攻撃者がすでにパスワードを入手している場合、そのデバイスはその後も侵入を受ける危険性が非常に高いままでした。これは特に、被害者が過去のインシデント発生後にパスワードを変更していなかった場合に起こっていました。さらに、このデータベースにはFortinet製品のデフォルトの管理者アカウントやシステムアカウントが多数含まれていました。この事実は、多くの被害組織におけるパスワード管理の著しいずさんさを浮き彫りにしています。

影響を受けた業種と対策手順

研究者らは調査の過程で、大きな影響を受けた複数の業種を特定しました。これには通信、政府機関、金融機関、病院、大学、エネルギー事業者、大企業が含まれます。具体的には、流出データの中に111の異なる政府系ドメインに関連する591件の記録が確認されました。さらに、通信業界では実に5,616件もの侵害記録が確認されました。

今すぐ取るべき防御策

FortiGateおよびSSL VPNを利用している組織は、迅速かつ断固たる対応を取る必要があります。管理者アカウントおよびVPNユーザーのパスワードは、すべて直ちに変更することを強く推奨します。さらに、管理者は二要素認証を遅滞なく有効化する必要があります。ログイン履歴をすべて精査し、不審な活動がないか確認してください。加えて、管理ダッシュボードへの外部からのアクセスを制限し、最新のファームウェアアップデートを適用してください。最後に、お使いのデバイスがFortiBleedのデータセットに含まれていた場合は、境界防御が完全に突破されたものとみなす必要があります。したがって、直ちに包括的なインシデント対応調査を開始してください。

翻訳元: https://meterpreter.org/fortibleed-malware-campaign/

ソース: meterpreter.org