出典: classicpaintings via Alamy Stock Photo
DragonForceランサムウェア集団は、マネージドサービスプロバイダー(MSP)のリモート監視および管理(RMM)ツールを攻撃し、サプライチェーン攻撃を実行しました。
このニュースはSophosからのもので、同社は今日、名前の明かされていないMSPと、2023年に出現し、そのユニークなランサムウェア・アズ・ア・サービス(RaaS)スキームで知られるようになったDragonForceによって行われた攻撃に関する調査を発表しました。このグループは、リモート監視および管理(RMM)ツールSimpleHelpの3つの脆弱性の連鎖を悪用し、複数のエンドポイントにランサムウェアを展開し、下流の顧客を攻撃しました。
このMSPサプライチェーン攻撃は、犯罪の裏社会でアフィリエイトハッカーにとってますます人気のある選択肢となっているグループの最新の活動を示しています。
DragonForceがSimpleHelpのバグを攻撃
SimpleHelpは、顧客サポートおよびリモートアクセスツールであり、多くのビジネスシナリオで使用されています。しかし、多くの他のリモートアクセスツールと同様に、脆弱性(この場合のように)や技術サポート詐欺/ソーシャルエンジニアリング攻撃を通じて高レベルのアクセスを得ようとする脅威アクターにとっても人気のターゲットです。
1月に公開された脆弱性には、CVE-2024-57727として追跡される複数のパストラバーサル脆弱性、CVE-2024-57728としての任意のファイルアップロード脆弱性、およびCVE-2024-57726としての権限昇格脆弱性が含まれています。
関連:PicusがCVEsを安全に優先度を下げるためのエクスポージャーバリデーションを開始
SimpleHelpのスポークスパーソンはDark Readingに対し、この深刻な脆弱性のセットはSimpleHelpバージョン5.5.7およびそれ以前に影響を与え、「バグの通知を受けてから48時間以内に、調査、開発、各脆弱性に対する修正の検証を行い、アップデートをリリースしました」と述べています。
スポークスパーソンはさらに、「ほとんどの顧客は新しいリリースを発行した後すぐにアップデートしますが、今回はセキュリティブリテンに従ってそうしました。私たちの知る限り、セキュアなリリースにアップデートした(または古いリリースのユーザーに無料で提供したパッチを適用した)顧客は、これらの脆弱性の悪用によって影響を受けていません。残念ながら、CVEと脆弱性の詳細はその後すぐに公開され、一部の顧客がアップデートする前に公開されました。私たちはセキュリティを非常に重視しており、セキュリティの姿勢を強化するための積極的な対策に投資し続けています。」と述べています。
顧客は、まだ行っていない場合は、SimpleHelpインスタンスを修正済みのバージョンにアップデートすることをお勧めします。
Sophosは述べました、そのマネージド検出および応答(MDR)製品がクライアントのコンピュータ上で「SimpleHelpインストーラーファイルの疑わしいインストール」を検出し、「インストーラーは、MSPがクライアントのためにホストおよび運営している正当なSimpleHelp RMMインスタンスを介してプッシュされました」と指摘しました。
関連:GitLabのAIアシスタントが開発者をコード盗難にさらす
SimpleHelpインスタンスを顧客に悪意を持ってプッシュすることに加えて、攻撃者はMSPへのアクセスを利用して多くの顧客にアクセスしました。MSPのクライアントの1つは、MDRおよび拡張検出および応答(XDR)機能を介してネットワークへの攻撃者のアクセスを遮断することができましたが、多くの他の下流の顧客はランサムウェアとデータ盗難の影響を受け、二重恐喝攻撃に至りました。
DragonForce: 「顧客中心」のランサムウェア
Sophosは、DragonForce自身またはそのアフィリエイトのいずれかがMSP攻撃を実行したかどうかを言うことはできませんでしたが、いずれにせよ、このキャンペーンは脅威アクターが地下エコシステムで急速に注目を集めていることをさらに示しています。
それは部分的には「顧客中心」の慣行によるものであり、アフィリエイトが自分の「ブランディング」をDragonForceのインフラストラクチャとツールの上に使用できるユニークなモデルを利用しているためです。3月31日、著名なRaaS集団RansomHubのリークサイトがオフラインになりましたが、メンバーの一部が何らかの形でDragonForceに移行したようです。
そして、敵対的買収の奇妙な兆候の上に、DragonForceは3月19日に「カルテル」になると発表したのと同時期に、BlackLockおよびMamonaランサムウェア集団のリークサイトを改ざんしたようです。先週発表されたSophosの調査によると。この集団はまた、英国の小売業者に対する高プロファイルの攻撃を主張しました。Harrods、Marks & Spencer、およびCo-opです。
SophosのCounter Threat Unitの脅威インテリジェンスディレクターであるRafe Pillingは、Dark Readingに対し、プロモーションの観点から、DragonForceはLockBit以来最も攻撃的なものの1つであると述べています。
「[DragonForceは]現在最も著名なブランドの1つであり、地下フォーラムで積極的に広告を出しています」とPillingは言います。「彼らはまた、アフィリエイト/パートナーに有利な利益分配(80/20の分割)を提供しており、これがグループが彼らと協力する動機になる可能性があります。現在、ランサムウェア事件の観点では最も活発なグループではありませんが、Akiraがそのスポットを保持していますが、今後数ヶ月でそれが変わるかもしれません。」
Rapid7の脅威分析シニアディレクターであるChristiaan Beekは、DragonForceを「アフィリエイトしていないまたは追放された脅威アクターにとって魅力的なハブであり、特に4月のRansomHubの消失後に」と呼びます。Beekは、これまでに70以上の公に報告された攻撃がこのグループにリンクされていると言います。
「DragonForceは業界や地理に基づいて差別しているようには見えず、柔軟性、匿名性、自動化、攻撃的な二重恐喝戦術によって定義されるRaaSモデルの新しい時代をますます代表しています」と彼は言います。「レガシーRaaSオペレーターへの信頼が薄れる中、DragonForceは新しく収益性の高い代替手段としての地位を築いています。」
CovewareのCEOであるBill Siegelによると、DragonForceは、ギャングが解散し、再ブランド化され、置き換えられるサイクルの中でのもう一つのアクターであり、マーケティングの注目を集めるために大胆な声明を出すグループの長いリストに加わります。さらに、それは厳密に運営されている古典的なカルテルというよりも、緩やかで絶えず変化するネットワークのようです。
「新しいグループ名が増え、大きな権力の主張が増え、アクター間のパートナーシップが増えています。それはすべて、グループが注目、アフィリエイト、評判を争う競争の激しい市場を指しています」と彼は言います。「DragonForceの攻撃的なブランディングはその中にぴったりと収まります。それは実際に攻撃を改善することよりも、目立ち、リクルートすることに関するものです。彼らの台頭は、ランサムウェアがより分散化され、参入しやすくなったことを示しています。」
DragonForceはしばしば資格情報とデータの盗難に焦点を当てているため、Sophosは防御者にインフォスティーラー活動のエンドポイント検出を実施し、パスワードマネージャーを展開し、ITおよびヘルプデスクの関与に対して厳格な身元確認プロトコルを強制し、定期的なテーブルトップ演習を実施するようにアドバイスしました。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 The Day I Found an APT Group in the Most Unlikely Place、脅威ハンターのIsmael ValenzuelaとVitor Venturaが高度な持続的脅威を追跡するために使用したトリックと、途中で発見した驚きについての話を共有します。 今すぐ聞く!
翻訳元: https://www.darkreading.com/application-security/dragonforce-ransomware-msp-supply-chain-attack