TokyoBlackHatNews

bleepingcomputer.com 5分で読了

AkiraランサムウェアがMFA保護されたSonicWall VPNアカウントを侵害

Image

進行中のAkiraランサムウェア攻撃はSonicWall SSL VPNデバイスを標的とし続けており、脅威アクターがOTP MFAが有効なアカウントにもかかわらず、認証に成功していることが判明しています。

7月に、BleepingComputerは、Akiraランサムウェアの運用がSonicWall SSL VPNデバイスを悪用して企業ネットワークに侵入していると報じ、研究者たちはゼロデイ脆弱性が悪用されている可能性を疑っていました。

しかし、SonicWallは最終的に、これらの攻撃が2024年9月に公開されたCVE-2024-40766として追跡されている不適切なアクセス制御の脆弱性に関連していることを突き止めました。

この脆弱性は2024年8月に修正されましたが、脅威アクターはセキュリティアップデートが適用された後も、以前に侵害されたデバイスから盗まれた認証情報を使い続けています。

CVE-2024-40766を利用して盗まれた認証情報が攻撃に使われていることが判明した後、SonicWallは管理者に対し、すべてのSSL VPN認証情報のリセットと、最新のSonicOSファームウェアのインストールを推奨しました。

新たな調査でMFAの回避が判明

サイバーセキュリティ企業Arctic Wolfは現在、SonicWallファイアウォールを標的とした継続的なキャンペーンを観測しており、脅威アクターがワンタイムパスワード(OTP)多要素認証が有効なアカウントにもログインに成功していると報告しています。

このレポートによると、アカウントのログイン試行に対して複数のOTPチャレンジが発行され、その後ログインが成功していることから、脅威アクターがOTPシードも侵害したか、有効なトークンを生成する別の方法を見つけた可能性が示唆されています。

Image
ワンタイムパスコードMFAチャレンジの突破に成功
出典: Arctic Wolf

「SonicWallは、このキャンペーンで観測された悪意あるログインを、1年前に特定された不適切なアクセス制御の脆弱性CVE-2024-40766関連付けています」と、Arctic Wolfは説明しています

「この観点から、CVE-2024-40766に脆弱なデバイスから認証情報が収集され、その後脅威アクターによって利用された可能性があります—たとえ同じデバイスがパッチ適用済みであっても。現在のキャンペーンでは、ワンタイムパスワード(OTP)MFA機能が有効なアカウントにも認証に成功しています。」

研究者によれば、Akiraの関係者がどのようにMFA保護されたアカウントに認証しているのかは不明ですが、Google Threat Intelligence Groupによる7月の別のレポートでも、SonicWall VPNの同様の悪用が記述されています。

そのキャンペーンでは、UNC6148として追跡される金銭目的のグループが、以前に盗まれたと考えられるOTPシードを使って、SMA 100シリーズアプライアンスにOVERSTEPルートキットを展開し、パッチ適用後もアクセスを可能にしていました。

Googleは、脅威アクターがゼロデイ攻撃で以前に取得したワンタイムパスワードシードを利用していたと考えていますが、どのCVEが悪用されたかは特定できていません。

「Google Threat Intelligence Group(GTIG)は、UNC6148として追跡している金銭目的の脅威アクターによる、完全にパッチ適用済みのサポート終了SonicWall Secure Mobile Access(SMA)100シリーズアプライアンスを標的とした継続的なキャンペーンを確認しました」とGoogleは警告しています。

「GTIGは高い確信をもって、UNC6148が過去の侵入時に盗んだ認証情報とワンタイムパスワード(OTP)シードを活用し、組織がセキュリティアップデートを適用した後も再びアクセスできるようにしていると評価しています。」

内部に侵入すると、Arctic WolfによればAkiraは非常に迅速に行動し、しばしば5分以内に内部ネットワークのスキャンを開始しました。研究者は、脅威アクターがImpacket SMBセッションセットアップリクエスト、RDPログイン、dsquery、SharpShares、BloodHoundなどのツールを用いたActive Directoryオブジェクトの列挙も行っていたと指摘しています。

特にVeeam Backup & Replicationサーバーに注目し、カスタムPowerShellスクリプトを展開して、DPAPIシークレットを含む保存されたMSSQLおよびPostgreSQLの認証情報を抽出・復号していました。

セキュリティソフトウェアを回避するため、関係者はMicrosoftの正規実行ファイルconsent.exeを悪用して悪意あるDLLをサイドロードし、脆弱なドライバー(rwdrv.sys、churchill_driver.sys)を読み込ませる「Bring-Your-Own-Vulnerable-Driver(BYOVD)」攻撃を実行しました。

これらのドライバーはエンドポイント保護プロセスを無効化し、ランサムウェアの暗号化プログラムがブロックされずに実行できるようにしていました。

このレポートは、これらの攻撃の一部がSonicWallが認証情報攻撃の緩和のために管理者にインストールを推奨していたSonicOS 7.3.0を実行しているデバイスにも影響を与えたと強調しています。

管理者は、過去に脆弱なファームウェアを使用していたすべてのデバイスでVPN認証情報を必ずリセットするよう強く推奨されます。アップデート済みであっても、攻撃者は盗まれたアカウントを使って企業ネットワークへの初期アクセスを継続できるためです。

翻訳元: https://www.bleepingcomputer.com/news/security/akira-ransomware-breaching-mfa-protected-sonicwall-vpn-accounts/

ソース: bleepingcomputer.com
#AIサイバーセキュリティ #Akiraランサムウェア #BYOVD攻撃 #CVE-2024-40766 #SonicWall #VPN攻撃 #ゼロデイ脆弱性 #企業ネットワーク侵害 #多要素認証バイパス #認証情報窃取

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用