Conti ランサムウェアが Exchange ProxyShell 脆弱性を狡猾な手口で狙っている

Conti ransomware now hacking Exchange servers with ProxyShell exploits

2021/09/03 BleepingComputer — Conti ランサムウェアは、最近に公開された ProxyShell の脆弱性を悪用して、Microsoft Exchange サーバーに侵入し、企業ネットワークを侵害していくだろう。ProxyShell とは、Microsoft Exchange の脆弱性 (CVE-2021-34473 CVE-2021-34523 CVE-2021-31207) を連鎖させるエクスプロイトの名称であり、パッチが適用されていない脆弱のあるサーバーで、認証を回避したリモート・コード実行を許すことになる。

これらの3つの脆弱性は、Devcore の Orange Tsai により発見され、ハッキング・コンテスト Pwn2Own 2021 でも紹介されている。2021年5月に Microsoft は、これら一連の脆弱性にパッチを適用しましたが、その後に技術的な詳細が公開されたことで、脅威アクターたちが攻撃に使用し始めるようになった。これまでに、ProxyShell の 脆弱性を悪用し、Web シェルやバックドアのドロップや、LockFile ランサムウェアの展開などを行う、脅威アクターたちの存在が確認されている。

Conti は ProxyShell を使ってネットワークに侵入する

先週に Sophos は、Conti ランサムウェアによる暗号化という、インシデント・レスポンス案件に関与した。そして、この攻撃を分析した結果として Sophos は、最近に公開された Microsoft Exchange ProxyShell の脆弱性を利用して、脅威アクターがネットワークに侵入したことを発見した。このところ頻発している Microsoft Exchange 攻撃と同様に、脅威者は最初に Web Shell をドロップし、コマンド実行やソフトウェア・ダウンロードなどに備え、さらなるサーバー侵害へと攻撃を拡大させていく。

サーバーを完全にコントロールできるようになると、Conti の PlayBook に記載されている標準的な戦術へと、直ちに移行することを Sophos は確認している。具体的には、ドメイン管理者やコンピュータのリストを入手し、LSASS (Local Security Authority Subsystem Service) をダンプし、管理者の認証情報にアクセスし、ネットワーク上の他のサーバーに拡散していくという手口となる。

脅威アクターは、各種のサーバーを侵害すると、AnyDesk や Cobalt Strike ビーコンなどの、対象デバイスへのリモート・アクセスを確保するためのツール群をインストールする。こうして、ネットワークに侵入した脅威者は、暗号化されていないデータを盗み出し、ファイル共有サーバー MEGA へとアップロードした。そして5日後には、ウイルス対策が施されていないサーバーから、observed コマンドをにより、ネットワーク上のデバイスの暗号化を開始した。

今回のケースで特徴的だったのは、脅威グループが行った攻撃の速さと正確さであり、最初の侵入から1TB のデータを盗むまで、わずか 48時間しか費やしていないという。
Sophos は、「最初にアクセスしてから 48時間以内に、攻撃者は約1TBのデータを流出させた。5日後には、ネットワーク上の全マシンに Conti ランサムウェアを配備し、各コンピュータのネットワーク共有を狙っていった」と述べている。

さらに、「侵入の過程で、Conti アフィリエイトは、2つの Web Shell と、Cobalt Strike、4つのリモートアクセス・ツール (AnyDesk / Atera / Splashtop / Remote Utilities) などの、7つ以上のバックドアをネットワーク上にインストールした。初期にインストールされた Web Shell は、主に初期アクセスに使用された。Cobalt Strike と Any Desk などは、その後の攻撃に使用された主要ツールとなる」とレポートで述べている

今すぐ Exchange サーバーにパッチを当てよう

ProxyShell を使用する攻撃において、脅威アクターは自動検出サービスを標的としていく。したがって、Exchange Server が標的になっているかどうかを確認するには、IIS ログを調べて、奇妙/未知の電子メールを伴う「/autodiscover/autodiscover.json」へのリクエストを確認すべきだ。Sophos が観測した Conti のケースでは、脅威の主体は @evil.corp メールを利用しているため、悪用の試みを容易に探し出せる。

Microsoft Exchange Server の管理者は、最新の累積更新プログラムを適用して、保護を維持する必要がある。残念ながら、更新プログラムのインストールに伴い、メールにダウンタイムが発生する。しかし、身代金を要求する攻撃に伴い、ダウンタイムは発生するときと比べれば、はるかにましだろう。

PlayBook がリークされ、さらに英語版に翻訳され、その手口が明らかになってしまった Conti ですが、着々と侵入を試みていくのでしょう。たとえ、侵入と攻撃の方式がバレたとしても、パッチが適用されないサーバーが、世界中にたくさんあると思っているのでしょうし、そのとおりの現実なのでしょう。つい先日も、「Nokia の米子会社に Conti ランサムウェアが侵入した」というインシデントが発生しています。ご用心ください。