Securonixは1月9日(米国時間)、「Securonix Threat Research Security Advisory: New RE#TURGENCE Attack Campaign: Turkish Hackers Target MSSQL Servers to Deliver Domain-Wide MIMIC Ransomware - Securonix」において、トルコの脅威アクターによるMicrosoft SQLサーバを標的とした進行中のサイバー攻撃のキャンペーン「RE#TURGENCE」を発見したと報じた。このキャンペーンでは「MIMIC」と呼ばれるランサムウェアが使用されているという。
Securonix Threat Research Security Advisory: New RE#TURGENCE Attack Campaign: Turkish Hackers Target MSSQL Servers to Deliver Domain-Wide MIMIC Ransomware - Securonix
○Microsoft SQL狙うランサムウェア攻撃の概要
Securonix脅威分析チームによると、このキャンペーンは米国、欧州連合(EU: European Union)、中南米地域で活動がみられ、経済的利益を目的にしているという。脅威アクターは公開されているMicrosoft SQLサーバへブルートフォース攻撃を行うことでシステムに侵入、デフォルトでは無効になっている「xp_cmdshell」を悪用してコマンドを実行、システムを侵害する。
具体的にはxp_cmdshellを使用して悪意のあるシェルスクリプトをダウンロードして実行する。シェルスクリプトは難読化された別のシェルスクリプトをダウンロードして実行し、最終的に「Cobalt Strike」をメモリ空間に展開して実行。その後「AnyDesk」をインストールすると同時に管理者権限をもつユーザー「windows」を作成する。このとき、存在する場合は「administradores」グループにユーザを追加。こうして脅威アクタはAnyDeskを通じた永続性を確保するとされる。
脅威アクタは永続性を確保すると「Mimikatz」を使用して資格情報を窃取し、ドメイン管理者権限を使用して横方向への移動を行う。横方向の移動を一通り終えるとランサムウェア「MIMIC」を展開し、システム内のファイルを暗号化、身代金の要求を行う。
Securonix脅威分析チームはキャンペーンの分析中に脅威アクタが使用したリモート監視および管理(RMM: Remote Monitoring and Management)ツールを使用して、脅威アクタの活動を観察している。その活動のいくつかを公開しており、その中には攻撃者間のやり取りとみられる興味深いメッセージも含まれている。
○ランサムウェア攻撃への対策
Securonixはこのような攻撃からシステムを保護するために、次の対策を推奨している。
重要なサーバをインターネットに直接公開することは避ける。可能であれば仮想プライベートネットワーク(VPN: Virtual Private Network)などのインフラストラクチャの背後にサーバを設置する
Microsoft SQLサーバのxp_cmdshellプロシージャを無効にする
悪意のあるプロセスを検出するために、エンドポイントおよびサーバの双方でプロセスレベルのログを有効化する
追加のプロセスレベルのログを導入して、PowerShellなどの活動を監視できるようにする
重要なサーバでは新しいユーザーの作成を監視する
Securonixは、このキャンペーンの調査において判明した脅威アクタのコマンド&コントロール(C2: Command and Control)サーバの情報など、セキュリティ侵害インジケータ(IoC: Indicator of Compromise)に相当する情報を公開しており、Microsoft SQLサーバを運用する管理者には必要に応じて活用することが望まれている。
ハピタス
ITトピックス
ITランキング
- 1
14時から限定でお得!バーガーキング、人気サイドメニューが2コで500円画像あり
- 2
フリマアプリの ポッシュマーク 、新手数料体系が引き起こす出品者の反発とユーザー離れ画像あり
- 3
劇場版ポケットモンスター地上波初放送&生放送特番を放送画像あり
- 4
AIの活用で「契約」のあり方を変革!ドキュサイン、「Docusign IAM」の日本本格ローンチを発表画像あり
- 5
カブクとローランド・ベルガー、デジタル製造分野において業務提携を発表画像あり
- 6
「大統領選挙戦が本格化し、 プラットフォーマー による広告の却下が増えている」:あるパフォーマンスマーケティング広告バイヤーの告白画像あり
- 7
Windows 10のCPU使用率が100%のまま下がらない時の対処法画像あり
- 8
立ち作業を取り入れて、仕事が捗る!ガス圧昇降デスク画像あり
- 9
山口県美祢市との地方創生に関する連携協定を締結!よしもとセールスプロモーション&エリアアクション画像あり
- 10
“和ごころ”あふれる、ご褒美バーガー!「一頭買い 黒毛和牛バーガー 〜山わさび醤油仕立て〜」画像あり