Kaseya VSA ゼロデイ攻撃に便乗する Cobalt Strike バックドアとは?

Fake Kaseya VSA security update backdoors networks with Cobalt Strike

2021/07/07 BleepingComputer — Kaseya ランサムウェア攻撃が続いていることを利用して、脅威アクターたちは新たな被害者なりそうな企業をターゲットにして、Kaseya VSA セキュリティ・アップデートを装った Cobalt Strike ペイロードを送信するという、スパム・キャンペーンを展開している。Cobalt Strike とは、合法的なペネトレーション・テストツールおよび、脅威エミュレーション・ソフトウェアだが、その一方では、攻撃者が侵入後のタスクで悪用することもあれば、侵害されたシステムへのリモートアクセスを可能にする、ビーコンを展開するためにも悪用される。

このような攻撃の最終目的は、機密データの取得と流出であり、また、第二段階のマルウェアのペイロードの配信となる。Cisco Talos Incident Response (CTIR) チームは、2020年9月の四半期レポートにおいて、「興味深いことに、今期のランサムウェア攻撃の 66% が、Red-Teaming Framework である Cobalt Strike を悪用しており、一般的だったトロイの木馬を放棄するという流れの中で、このツールを悪用する頻度が高まっていることが示唆される」と述べている。

Malwarebytes Threat Intelligence の研究員たちが発見したマルスパム・キャンペーンでは、Cobalt Strike のペイロードを展開するための、2種類の戦術が用いられている。マルスパム・キャンペーンの一部として送信される悪意のメールには、悪意の添付ファイルと、REvil ランサムウェア攻撃で悪用された Kaseya VSA のゼロデイに対する 、Microsoft のパッチのようにデザインされたリンクが埋め込まれている。

Malwarebytes Threat Intelligence チームは、「このマルスパム・キャンペーンは、Kaseya VSA ランサムウェア攻撃を利用して、CobaltStrike を投下しようとしている。そこには、Kaseya の脆弱性にパッチを当てるための、Microsoft によるセキュリティ・アップデートのふりをしたリンクがあり、また、SecurityUpdates.exe という名前の添付ファイルが含まれている」と述べている。したがって、ターゲットにより、悪意の添付ファイルが実行される場合や、偽の Microsoft アップデートのダウンロードと起動される場合には、攻撃者によるシステムへの永続的なリモート・アクセスが獲得されてしまう。

この記事は、6月に発生した Colonial Pipeline 攻撃では、ランサムウェアの検出とブロックを目的とした、偽のシステム・アップデートが利用されたと、指摘しています。このときも、7月のマルスパム・キャンペーンと同様に、Cobalt Strike を展開するための悪意のペイロードが送信されており、これにより攻撃者はシステムの侵害を達成しています。なお、今回の攻撃を発見した INKY の研究者によると、この種のフィッシング・メールには、偽の更新プログラムをインストールする期限が記載されており、緊急性をアピールしているとのことです。これらのキャンペーンは、フィッシングに携わる脅威アクターたちが、最新のニュース出来事に関連したルアーをプッシュすることで、キャンペーンの成功率を高めていることが示されます。

%d bloggers like this: