マイクロソフト脅威インテリジェンスは、Storm-1175として追跡されている財務目的のサイバー犯罪グループが、高速ペースのランサムウェア攻撃を仕掛けていることを確認しました。
このグループは特に既知の脆弱性を持つWebに露出したシステムを標的とし、公開開示とパッチ展開の間の重大な時間帯に攻撃を仕掛けます。
Storm-1175が正常にシステムを悪用すると、初期侵入からデータ窃取とMedusaランサムウェアの展開まで、多くの場合24時間以内に迅速に進行します。
Storm-1175のキャンペーンの成功は、新しく発見された脆弱性を武器化してネットワークにアクセスする能力に大きく依存しています。
通常はN-day脆弱性(既知だが被害者によってまだパッチが当たっていないセキュリティ欠陥)を悪用しますが、ゼロデイエクスプロイトも使用することができます。
初期アクセスを取得した後は、通常、リモートアクセスツールをドロップするか、Webシェルを作成して、Storm-1175はネットワークに永続的に保持することに焦点を当てます。
新しいユーザーアカウントを作成し、すぐに管理者権限を付与して永続的なアクセスを確保することがよくあります。
そこから、PowerShellやPsExecなどの組み込みシステムツールを使用してネットワークを探索します。これは「ランドから生活する」として知られている慣行で、検出を回避するのに役立ちます。
Storm-1175は侵害された環境を制御するために正規のリモート監視管理(RMM)ソフトウェアに大きく依存しています。
AnyDesk、SimpleHelp、ConnectWise ScreenConnectなどのツールを悪用して秘密のアクセスを維持し、代替通信チャネルを作成し、ネットワーク全体を横方向に移動します。
また、Impacketなどの専門的なネットワークツールを使用してパスワードやその他の管理認証情報を盗み、システムを完全に制御します。
攻撃の最終段階を開始する前に、グループはセキュリティソフトウェアを積極的に改ざんしてペイロードが正常に実行されることを確認します。
アンチウイルスレジストリ設定を変更し、除外パスを設定してシステムが悪意のある活動をブロックするのを防ぎます。
セキュリティ防御が無効になると、Storm-1175はRcloneなどのデータ同期ツールを使用して大量の機密データを静かに盗みます。
Medusaは二重恐喝モデルで動作します。つまり、攻撃者は被害者のファイルをロックするだけでなく、身代金が支払われない場合、盗まれたデータを公開Webサイトに流出させるという脅迫を行います。
これらの攻撃から身を守るために、セキュリティ専門家は、Webに露出したシステムを公開インターネットから隔離することを強く推奨しています。
組織はまた、最小権限の原則を適用し、Windows Credential Guardのような厳格な認証情報保護を実装し、改ざん防止機能を有効にする必要があります。
翻訳元: https://cyberpress.org/storm-1175-fuels-medusa-attacks/