ランサムウェア「Cring」、VPNサーバーの既知の脆弱性を利用して感染
Kaspersky ICS CERT が、ランサムウェア「Cring(クリング)」のあるインシデントを調査した結果、VPNサーバーの脆弱性を利用して標的組織のネットワークに侵入、感染させていたことが判明しました。ランサムウェアの感染により、その企業は製造プロセスを一時的に停止する結果になりました。
[本リリースは、2021年4月7日にKasperskyが発表したプレスリリースに基づき作成したものです]
KasperskyのICS CERTがこのたび、ランサムウェア「Cring(クリング)」のあるインシデントを調査した結果、「Cring」はVPNサーバーの脆弱(ぜいじゃく)性を利用して標的組織のネットワークに侵入、感染させていたことが判明しました。2021年初頭に「Cring」を使用した一連の攻撃が発生し、その当時、Swisscom CSIRTがこの攻撃について言及していましたが、初期感染方法は不明なままでした。これらの攻撃の標的には欧州諸国の複数の製造関連企業が含まれており、Kaspersky ICS CERTが調査したその中の1社は、製造プロセスが一時的に停止に追い込まれる結果となりました。
2019年、Fortinet社のFortiGate VPNサーバーの脆弱性「CVE-2018-13379」が周知されパッチが提供されました。その後、2020年秋ごろから、パッチが適用されないままインターネットに接続している該当デバイスのIPアドレスの販売リストが、ダークウェブのフォーラム上に登場し始めました。このリストにはIPアドレスに加え、SSL-VPN接続を利用するユーザーアカウント名と平文のパスワードなどの情報が含まれていました。
Kaspersky ICS CERTが対応したインシデント調査では、「Cring」を使った一連の攻撃は、その企業のネットワークへ侵入するためにFortiGateの脆弱性「CVE-2018-13379」を利用していました。攻撃者は主要フェーズの前段階でVPNゲートウェイへのテスト接続を実施しており、これは、窃取したVPN認証情報の有効性を確認するためだったと考えられます。
図:ランサムウェア「Cring」を使った攻撃の流れ
攻撃の本番では、攻撃者は標的企業のネットワーク上のWindowsシステムにアクセスした後、ユーティリティツール「Mimikatz」を使用して、Windowsユーザーのアカウント認証情報を窃取しました。その後、ドメイン管理者の認証情報も入手し、この管理者が単一のユーザーアカウントで組織のネットワーク上の全システムにアクセスする権限を持っていたことを悪用し、ネットワーク上にあるほかのシステムへマルウェアを横展開しました。
その後、攻撃者は内部調査活動を継続して製造業務に不可欠なシステムを掌握した後、ランサムウェア「Cring」をダウンロードして実行しました。
Kaspersky ICS CERTは当インシデントの主な要因として、FortiGate VPNサーバーの脆弱性「CVE-2018-13379」のパッチが適用されていなかったほか、攻撃対象のシステムで使用されていたセキュリティ製品の定義データベースがタイムリーに更新されていなかったことや、一部の機能が無効化されていたため、脅威に対する保護の質が低下していたことも指摘しています。
Kaspersky ICS CERTセキュリティエキスパートのヴャチェスラフ・コペイツェフ(Vyacheslav Kopeytsev)は次のように述べています。「攻撃者はこの標的組織のネットワーク環境を入念に内偵調査し、独自のインフラやツールセットを準備していました。例えば、Cringのダウンロード元となったマルウェア用ホストサーバーは、IPアドレスでフィルタリングを行い欧州の特定の国々からのダウンロードリクエストにだけ応答していました。また、攻撃用のスクリプトは、マルウェアの動きをその企業が使用しているセキュリティ製品による操作と見せかけたり、暗号化対象のシステム上で使用されているデータベースサーバー(Microsoft SQL Server)とバックアップシステム(Veeam)のプロセスを終了させていました。攻撃者は、その企業の業務に最大のダメージを与え得るサーバーを選定して暗号化したとみられます」
Kasperskyグローバル調査分析チーム マルウェアリサーチャー石丸傑(いしまる すぐる)は次のように述べています。「日本国内でも、SSL-VPN機器の脆弱性や漏えいした認証情報を悪用し、組織内に侵入する攻撃を複数確認しています。また、その中には内偵の手口やマルウェアの実行痕跡などから、今回のCringに非常によく似た標的型ランサムウェアの攻撃も確認しています。今後もSSL-VPN機器の脆弱性を用いて初期侵入をたくらむ攻撃は続くと思われます。企業や組織では被害に遭わないためにもまずは、自組織が使用しているVPNをはじめとした機器のファームウェアが最新の状態かどうか、今一度確認されることを推奨します」
・Cringによる攻撃の詳細と対策は、Kaspersky Dailyブログ「VPNアプライアンスFortiGateの脆弱性を利用するランサムウェアCring」をご参照ください。
・技術的詳細については、Kaspersky ICS CERTブログ「Vulnerability in FortiGate VPN servers is exploited in Cring ransomware attacks」(英語)をご参照ください。
■Kaspersky ICS CERTについて
Kaspersky Industrial Systems Emergency Response Team (Kaspersky ICS CERT:産業制御システム緊急対応チーム)は、Kasperskyが2016年に立ち上げたグローバルプロジェクトです。オートメーションシステムベンダー、産業用設備のオーナーやオペレーター、ITセキュリティリサーチャーなどが連携し、幅広い産業をサイバー攻撃から保護することを目的としています。主に産業用オートメーションシステムや製造業におけるIoTを標的とする潜在的な脅威と既存の脅威の特定に尽力しています。Kaspersky ICS CERTは、幅広い産業をサイバー脅威から保護するための提言を行う代表的な国際組織の会員およびパートナーとして積極的に活動しています。ics-cert.kaspersky.com
ランサムウェア「Cring」、VPNサーバーの既知の脆弱性を利用して感染
Kaspersky
関連記事 ウイルスニュース
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >Kasperskyの独自調査により、企業・団体の社内開発のWebアプリケーションにはアクセス制御と機密データ保護に関する欠陥が多いことが浮き彫りに
当社が手掛けた数十件のセキュリティアセスメントのプロジェクト(2021年~2023年に実施)を対象に、社内開発のWebアプリケーションの脆弱性について調査を行った結果、大半でアクセス制御とデータ保護に関連する欠陥が見つかりました。リスクレベルの高い脆弱性で最も多かったのは、SQLインジェクションに関するものでした。詳しくはこちら >