DragonForceランサムウェアの背後にいる脅威アクターは、名前の明かされていないマネージドサービスプロバイダー(MSP)のSimpleHelpリモート監視および管理(RMM)ツールにアクセスし、それを利用してデータを流出させ、複数のエンドポイントにロッカーを配置しました。
攻撃者は、SimpleHelpの3つのセキュリティ脆弱性(CVE-2024-57727、CVE-2024-57728、およびCVE-2024-57726)を悪用してMSPのSimpleHelp展開にアクセスしたと考えられています。これらの脆弱性は2025年1月に公開されました。Sophosの分析によると。
サイバーセキュリティ企業は、MSPが顧客向けにホストおよび運用している正当なSimpleHelp RMMインスタンスを介してプッシュされたSimpleHelpインストーラーファイルの不審なインストールを受けて、事件に警告されました。
脅威アクターはまた、MSPのRMMインスタンスを介してアクセスを利用し、異なる顧客環境からデバイス名と構成、ユーザー、ネットワーク接続に関する情報を収集していることが判明しました。
MSPのクライアントの1つは攻撃者のネットワークへのアクセスを遮断することができましたが、多くの他の下流の顧客はデータの盗難とランサムウェアの影響を受け、最終的には二重恐喝攻撃への道を開くことになりました。
MSPのサプライチェーン攻撃は、サイバー犯罪の世界で最も有利な利益分配を提供することで、アフィリエイトアクターにとって最も収益性の高い選択肢の1つとして位置づけられているグループの進化する技術を明らかにしています。
DragonForceは最近、ランサムウェア「カルテル」への刷新と、他のサイバー犯罪者が異なる名前でロッカーのバージョンを生成できる新しいアフィリエイトブランディングモデルへの転換で注目を集めています。
カルテルの出現は、BlackLockとMamonaランサムウェアグループが運営するリークサイトの改ざんと、昨年のLockBitとBlackCatの崩壊後に急成長したe犯罪クルーであるRansomHubの「敵対的買収」と思われるものと一致しました。
先月末以来、英国の小売業界を標的とした一連の攻撃が、脅威アクターにさらにスポットライトを当てています。攻撃は、BBCによると、影響を受けた企業がITシステムの一部を停止させる原因となっています。
「DragonForceは恐喝とデータ漏洩のフェーズを主張しましたが、増え続ける証拠は、別のグループであるScattered Spiderがこれらの攻撃を可能にする基盤的な役割を果たした可能性があることを示唆しています」とCyberintは述べました。「クラウドファースト、アイデンティティ中心の侵入方法で知られるScattered Spiderは、DragonForceアフィリエイトモデル内でのアクセスブローカーまたは協力者として浮上しています。」
Scattered Spiderは、The Comとして知られるより大きな緩やかな集団の一部であり、2024年に疑われるメンバーの逮捕にもかかわらず、英国と米国の若者がどのようにして犯罪ネットワークにリクルートされるかについての可視性が欠けているため、謎のままです。
これらの発見は、ランサムウェアグループがますます分裂し、分散化し、低いアフィリエイトの忠誠心と戦っている不安定な状況を示しています。さらに懸念されるのは、マルウェア開発とキャンペーン拡大における人工知能(AI)の使用が増えていることです。
「DragonForceは単なるランサムウェアブランドではなく、ランサムウェアの状況を再構築しようとする不安定な力です」とSophos Counter Threat Unitのシニア脅威研究者、Aiden Sinnottは述べました。
「英国では、小売業者への注目を集めた攻撃の後、グループは最近の見出しを支配していますが、ランサムウェアエコシステムの背後では、RansomHubのようなe犯罪グループとの間でいくつかの争いがあるようです。LockBitの解体後、エコシステムが急速に進化し続ける中で、この『縄張り争い』は、このグループが特に支配を主張する努力を強調しています。」
LockBitは、2024年初頭にOperation Cronosと呼ばれる国際的な法執行活動の一環としてそのインフラストラクチャが解体された後、大きな運用上の挫折を経験しました。
グループはある程度活動を再開することができましたが、今月初めにダークウェブのアフィリエイトパネルが改ざんされ、数千の交渉チャット、カスタムビルド、および下位層のLockBit Liteパネルに関する作業を含むデータベースダンプへのリンクが含まれていたことで、再び打撃を受けました。
「チャットログやランサムウェアビルドの記録から、アフィリエイトの構成や身代金の要求に至るまで、データはLockBitが組織的かつ系統的であることを示しています」とOntinueはリークの詳細なレポートで述べました。「アフィリエイトは攻撃をカスタマイズし、支払いを要求し、被害者と交渉する上で重要な役割を果たしています。」
この展開は、3AMランサムウェアを含む複数のグループの攻撃者が、技術サポートを装って従業員を欺き、ソーシャルエンジニアリングでMicrosoft Quick Assistを使用してコンピュータへのリモートアクセスを許可させるためにメール爆撃とビッシングの組み合わせを使用して企業ネットワークに侵入している中で起こりました。
最初のアクセスは、ネットワーク上に足場を築くために、攻撃者が注意を引かずにネットワークトンネルバックドアであるQDoorを含む追加のペイロードをドロップするために悪用されます。このバックドアは以前にBlacksuitとLynxランサムウェア攻撃で観察されていました。
Sophosは、ランサムウェア攻撃が最終的に阻止されたものの、攻撃者はデータを盗み、ロッカーを起動しようとする前にネットワーク上に9日間滞在したと述べました。
「ビッシングとメール爆撃の組み合わせは、ランサムウェア攻撃者にとって依然として強力で効果的な組み合わせです。そして、3AMランサムウェアグループは、リモート暗号化を利用して従来のセキュリティソフトウェアの目を逃れる方法を見つけました」とSophosのプリンシパル脅威研究者、Sean Gallagherは述べました。
「安全を保つために、企業は従業員の意識を優先し、リモートアクセスを厳しく制限するべきです。これには、仮想マシンやリモートアクセスソフトウェアの実行をブロックするポリシーを使用して、そうしたソフトウェアを持つべきでないコンピュータでの実行を防ぐことが含まれます。さらに、企業はリモートコントロールに関連するすべてのインバウンドおよびアウトバウンドのネットワークトラフィックを、リモートアクセス用に指定されたシステム以外からブロックするべきです。」
翻訳元: https://thehackernews.com/2025/05/dragonforce-exploits-simplehelp-flaws.html