認証情報収集キャンペーンがScreenConnectクラウド管理者を標的に

高度な認証情報収集キャンペーンが、数年にわたりScreenConnectクラウド管理者を標的にしており、ランサムウェア攻撃の入り口となっている可能性があるとMimecastの研究者が月曜日に公開したブログ記事で述べています。

このキャンペーンでは、侵害されたAmazon Simple Email Serviceアカウントを利用して、ScreenConnect環境で権限の高いシニアIT管理者をスピアフィッシングしています。Mimecastの研究者によると、ハッカーは企業のリモートアクセス基盤を広範囲に制御できるスーパー管理者の認証情報を狙っています。

「ScreenConnectは、ランサムウェアグループにとって、適切なアクセス権限を持つ人物から認証情報を入手するだけでなく、組織の資産を把握し、準備が整ったときに悪意のあるコンテンツを配信するための優れた手段です」とMimecastの研究者はCybersecurity Diveに語りました。

フィッシングページは、アドバーサリー・イン・ザ・ミドル（Adversary-in-the-Middle）手法とEvilGinxというオープンソースツールを使用しており、研究者によれば、これによりハッカーは認証を回避し、持続的なアクセスを維持できるとのことです。

2022年に始まったこのキャンペーンは、Qilinグループのアフィリエイトによるランサムウェア活動と関連しています。攻撃者はスーパー管理者の認証情報を使って、自分たちが管理するScreenConnectインスタンスを複数のコンピューターに同時にインストールできるため、ネットワーク内を横断的に移動しやすくなり、ランサムウェアの拡散能力も高まるとMimecastの研究者は述べています。

Sophosの研究者は4月にScreenConnectリモート監視・管理ツールの認証アラートを装った攻撃について、マネージドサービスプロバイダーを標的にした攻撃として警告しました。このインシデントにより、Qilinランサムウェアのアフィリエイトが管理者の認証情報にアクセスし、二次的な攻撃を開始することができました。

「彼らは正規のScreenConnectアラートに見せかけたフィッシングメールを作成しましたが、それは悪意のあるものでした」とSophosのMDRインシデント対応マネージャー、Anthony Bradshaw氏はCybersecurity Diveに語っています。

Qilinは「複数のシステムからデータを流出させ、暗号化した」とBradshaw氏は述べており、被害者には身代金要求メモが残されました。Sophosはこの脅威活動をSTAC4365という名称で追跡しています。

Qilinは、複数の大規模攻撃に関与している高度なランサムウェア・アズ・ア・サービス（RaaS）アクターであり、その中にはメディア大手Lee Enterprisesへの攻撃も含まれます。同グループはまた、今月初めに発生したInotivへの攻撃についても犯行声明を出しています。