Spiralsと呼ばれる新たなランサムウェア集団が、初期侵入からデータ窃取、暗号化まで一連の企業侵害を24時間未満で完了させていたことが分かりました。
この攻撃は6月に発生したもので、公開ネット上に露出していたInternet Information Services(IIS)サーバーを侵害し、南アジアのITサービス企業に侵入しました。
Symantecの脅威ハンティングチーム(Threat Hunter Team)の研究者によると、攻撃者は初期アクセス権を獲得しASP.NET製のWebシェルをアップロードした後、迅速に行動を進めたとのことです。
Spiralsのオペレーターはその後、ユーザーアカウント制御(UAC)を回避し、リモートデスクトップを有効化した上で、永続的なアクセスを維持するためにローカルアカウントを作成しました。攻撃者はさらに、認証情報を窃取しようとSAMレジストリハイブとLSASSプロセスのメモリもダンプしています。
Symantecの調査担当者によれば、攻撃者は侵害したホスト上のセキュリティソフトウェアの削除を試み、WMIを使って10台を超えるシステムへ横展開し、revsocks、Chisel、Cloudflareトンネルを用いて冗長なリモートアクセス経路を複数確立していたとのことです。
暗号化の段階に備え、PowerShellのペイロードによってMicrosoft Defenderが無効化され、脅威定義が削除されたほか、Veeam、VMware、Hyper-V、SQL Server、Oracle、PostgreSQLを含む、バックアップ・データベース・仮想化関連の製品23種に紐づくサービスが停止されました。
Symantecの報告によると、Spiralsのペイロード(bitsadmin.exe)の展開は、初期侵害からわずか24時間足らずのうちに行われたとのことです。
「オペレーターはSYSTEM権限で動作するPsExecを使い、被害者のネットワーク全体にランサムウェアのペイロードを展開し始めました」と研究者らは説明しています。
「このペイロードはbitsadmin.exeという名前が付けられており、Background Intelligent Transfer Serviceに関連する正規のWindowsユーティリティになりすます狙いがあったとみられ、影響を受けたマシン上のファイルを暗号化しました」
SpiralsはRustで書かれたランサムウェアファミリーで、攻撃者が管理するECDH P-256公開鍵によって保護されたAES-128鍵を使用します。
このランサムウェアは、処理を高速化するため5MBを超えるファイルに対して間欠暗号化(intermittent encryption)を採用しています。
C:\ドライブにはRECOVERY_SECTION.logという名前の身代金要求メモが投下され、身代金交渉のための指示が記載されています。
被害者は、身代金を支払わなければ6日以内に窃取したデータを公開すると脅迫されます。
恐喝用ポータルの存在が確認されているものの、Symantecがこれまでに観測したSpiralsの事例は1件のみであり、この新種ファミリーがより広範なサイバー犯罪での展開を意図したものなのか、それとも今回のITサービス企業への攻撃のために特別に作られたカスタムペイロードなのかは、現時点では不明です。
Symantecの報告書には、文書化されたSpirals攻撃に関連するネットワーク上の痕跡やファイルハッシュが記載されており、世界中の組織がこの脅威集団に対する防御策を構築する助けとなります。
攻撃者より先に、あらゆる防御層をテストせよ
セキュリティチームが記録できている攻撃の成功件数はわずか54%、アラートが出るのはたった14%に過ぎません。残りは環境内を気づかれないまま通り抜けています。
Picusのホワイトペーパーでは、breach and attack simulation(侵害・攻撃シミュレーション)がSIEMやEDRのルールをどのようにテストし、脅威が検知をすり抜けるのを防ぐかを解説しています。