ハッカーがIISサーバーに侵入、翌日にはネットワーク全体へランサムウェアを展開

ハッカーが侵害したMicrosoft IISサーバーを足がかりに初期侵入を果たし、24時間以内に企業ネットワーク全体へこれまで確認されていなかったランサムウェアペイロードを展開していたことが分かりました。2026年6月に観測されたこの侵入は、極めて統制が取れ、作戦運用に成熟したチェーンであることを浮き彫りにしています。

今回のキャンペーンは、ハンズオンキーボードによる素早い侵入と自動化された横展開を組み合わせたもので、単一の被害者にとどまらず作戦を拡大できる脅威アクターの存在を示しています。

侵入は、インターネットに公開されたIISサーバーの侵害から始まりました。攻撃者はここにASP.NET製のウェブシェルをアップロードし、足場を確立しています。

その後3時間という短い時間の中で、攻撃者はIISワーカープロセスを通じてコマンドを実行し、cmd.exeやPowerShellを呼び出して偵察やシステム操作を行いました。

ユーザーアカウント制御(UAC)のバイパスによって権限を昇格させたほか、リモートデスクトッププロトコル(RDP)を有効化し、ローカルの永続化用アカウントも作成しました。

防御回避は攻撃の初期段階から行われていました。エンドポイントセキュリティツールは、wmicやMpCmdRun.exeといった正規ユーティリティを悪用して無力化の標的にされています。

セキュリティ製品・サービス

認証情報の窃取は、SAM(Security Account Manager)ハイブを保護されたアーカイブにダンプする手法で行われました。さらに横展開の過程では、rundll32.exeとcomsvcs.dllを用いたLSASSメモリダンプも実施されています。

この二段構えの認証情報窃取手法により、即座のアクセスとドメイン全体への拡張可能なアクセスの両方が可能になりました。

堅牢な指揮統制(C2)チャネルを維持するため、攻撃者はrevsocks(リバースSOCKSプロキシ)、Chisel(chrome.exeに偽装)、Cloudflare Tunnelクライアントなど、複数のトンネリング手法を展開しました。

これらのツールはポート443経由で冗長な暗号化チャネルを確立し、ネットワーク制御を効果的に回避しました。ペイロード配信インフラには外部IPでホストされたリソースやステージング用ドメインが含まれ、一部のファイルは検出を逃れるために拡張子を.jpgに偽装していました。

Symantec Threat Hunter Teamの調査結果によると、この攻撃は南アジアのIT サービス企業を標的にしたもので、最終的に「Spirals」と名付けられた新たなRust製ランサムウェアファミリーの展開へとつながりました。

横展開は同日夜のうちに、Windows Management Instrumentation(WMI)を用いて開始され、おそらくドメイン管理者の認証情報を使い、多数のシステムを次々と標的にしていきました。

侵害されたIISサーバー

この活動の速度と広がりから、事前にActive Directory資産の下調べが行われていたことがうかがえます。翌日になると攻撃者はPsExecへと手法を切り替え、1分間に数十台のマシンに対してBase64エンコードされたPowerShellペイロードを一斉展開しました。

このペイロードはまずMicrosoft Defenderの保護機能を無効化し、続いてVMware、Veeam、SQL Server、Oracle、SAPといったバックアップ・仮想化・データベース関連サービスを停止させました。

これは暗号化前にファイルへのアクセスを確保するための措置であり、現代のランサムウェア攻撃に典型的な手口です。

bitsadmin.exeに偽装したSpiralsランサムウェアのペイロードは、Windowsディレクトリ、ユーザーのデスクトップ、SYSVOLドメインスクリプト、ドメインコントローラー上のネットワーク共有など、複数の戦略的な場所に配置されました。

この配置によって、直接実行だけでなくドメインレプリケーション機構を介した伝播も可能になっていました。

暗号化には、ECDH P-256公開鍵で保護されたファイルごとのAES-128鍵が使用され、強固な暗号的分離が確保されていました。

処理性能を最適化するため、5MBを超えるファイルはチャンク単位で断続的に暗号化する手法が採られていました。

このランサムウェアにはさらに、プロセス終了・難読化・権限昇格の各機能も組み込まれており、完成度の高い成熟したコードベースであることを示しています。

ランサムノートはC:\RECOVERY_SECTION.logに書き込まれ、被害者をTorベースの交渉ポータルへ誘導するとともに、6日以内にデータを流出させると脅迫していました。これは二重恐喝モデルであることを裏付けるものです。

コンピュータサイエンス

調査担当者は「Spirals」ブランドに言及するオニオンサイトを特定していますが、攻撃者の特定には至っていません。

注目すべき点として、攻撃者は複数のトンネリング用バイナリを、IISのウェブアプリケーションパスやWindowsタスクスケジューラと整合性のあるディレクトリに配置しており、悪性の痕跡を正規の運用構造に紛れ込ませていました。

tunn.exe、revsocks.exe、cloudflared-windows-amd64.exeといったツールは、検出を回避しつつ永続性を維持できるよう戦略的に配置されていました。

これまでのところ確認されているのは単一の事案のみですが、その統制の取れた運用、実行の速さ、多層的な回避手法は、より広範なキャンペーンを展開しうる脅威アクターの存在を強く示唆しています。

IISの悪用、迅速な権限昇格、自動化された横展開、そして企業全体を巻き込むランサムウェア展開という一連の組み合わせは、攻撃のタイムラインが極端に圧縮される傾向が強まっていることを浮き彫りにしています。

IISサーバーをインターネットに公開している組織は、今回の事案を重大な警告として受け止めるべきです。特に、攻撃者が初期侵入からドメイン全体の侵害に至るまで1日足らずで到達できる点は看過できません。

𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年、どちらが最適か? コスト・自動化・対応力を比較: 無料ガイドをダウンロード

翻訳元: https://gbhackers.com/iis-server-breached/

ソース: gbhackers.com