セキュリティ専門家は、SonicWall SSL VPNアプライアンスを使用している被害者を標的としたAkiraランサムウェア攻撃者による悪意ある活動の急増について警告しています。
このキャンペーンは7月下旬に始まったとみられ、最初の報告ではゼロデイ脆弱性が原因である可能性が示唆されていました。
しかしその後、これらの説は否定され、初期侵入の原因としてレガシーバグCVE-2024-40766が指摘されました。
金曜日に発表されたArctic Wolfの新しいレポートによると、この不適切なアクセス制御の脆弱性の悪用が認証情報の窃取を可能にしたとされています。これにより、パッチが適用されているデバイスであっても標的にされる可能性があると述べています。
「ランサムウェアとしては異例の短さで、滞在時間が日単位ではなく時間単位で測定されるため、この脅威に対する有効な対応のための時間的猶予は極めて短い」とArctic Wolfは警告しています。
SonicWall VPN攻撃の詳細はこちら:SonicWall、クラウドバックアップサービスの侵害を公表
レポートによると、このキャンペーンで観測されたほとんどの攻撃には以下のような共通要素が含まれています:
- ホスティングプロバイダーから発信されるVPNクライアントログイン
- 内部ネットワークのスキャン
- 発見活動に関連するImpacket SMBアクティビティ
- Active Directoryの探索
OTPバイパス
興味深いことに、攻撃者はワンタイムパスワード(OTP)による多要素認証(MFA)が有効なデバイスも侵害できていました。
「調査の結果、OTP MFAが有効なアカウントで悪意あるSSL VPNログインが繰り返し観測され、これらのケースではスクラッチコードの使用が除外されました。また、SSL VPNログイン前に侵害されたアカウントの悪用の兆候や、侵入の5日前までにOTPの解除や他の悪意ある設定変更も確認されませんでした」とレポートは続けています。
「これらを総合すると、OTP設定の変更ではなく、有効な認証情報の使用が示唆されますが、MFA有効アカウントへの認証方法の詳細は依然として不明です。」
一つの可能性として、攻撃者がOTPシードを入手したことが考えられます。
「Google Threat Intelligence Groupは最近、SonicWall SMAに影響を与えるキャンペーンを発見し、攻撃者がOTPシードを入手した場合、有効なOTPトークンを生成できることを示しました」とArctic Wolfは述べています。
また、攻撃者が初期侵入と横展開を実現するために自動化ツールを使用した形跡もあります。Arctic Wolfによると、同一のVPNクライアントIPアドレスから複数のアカウントで短時間に連続してログインイベントが記録されたとのことです。
「SSL VPNアクセスを得ると、攻撃者はすぐに侵害された環境内で横展開を試み、通常はログインから5分以内に内部スキャンを開始していました」と付け加えています。
Bring-Your-Own-Vulnerable-Driver(BYOVD)技術も、セキュリティツールによる検知を回避するために使用されました。
「このキャンペーンでは早期検知が極めて重要であり、そのためにSonicWall SSL VPNログインにおけるホスティング関連ASNの監視を推奨します」とArctic Wolfは結論付けています。
「さらに、Impacketに一致するSMBセッションセットアップ要求の監視は、このキャンペーンに関連する発見活動の早期キルチェーン検知につながります。」
このセキュリティベンダーはまた、仮想プライベートサーバー(VPS)ホスティングプロバイダーや匿名化サービスに関連するインフラからのログインをブロックし、組織が事業を行っていない国からのVPNログインを制限することも推奨しています。
画像クレジット:Michael Vi / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/sonicwall-ssl-vpn-attacks-escalate/
