Microsoft SQL servers hacked to deploy Trigona ransomware
2023/04/19 BleepingComputer — セキュリティが不十分でインターネットには公開されていない、Microsoft SQL (MS-SQL) サーバに侵入した脅威アクターたちが、 Trigona ランサムウェアのペイロードを展開し、全てのファイルを暗号化している。MS-SQL サーバが頻繁に侵害される理由として挙げられるのは、推測しやすいアカウント認証情報を悪用したブルートフォース攻撃や辞書攻撃が成功するためである。サーバへの侵入に成功した脅威アクターは、CLR Shell というマルウェアを展開する。今回の攻撃を発見した韓国のサイバー・セキュリティ企業 AhnLab の研究者たちが、このマルウェアを CLR Shell と命名した。
LR Shell マルウェアは、ランサムウェアの起動に必要なサービスとして、Windows Secondary Logon Service の脆弱性を悪用し、システム情報の採取/侵害したアカウントの設定変更/LocalSystem への権限昇格などを実行する。
AhnLab は、「CLR Shell は CLR アセンブリ・マルウェアの一種であり、Web サーバの WebShell と同様に、脅威アクターからコマンドを受け取り、悪意のアクティビティを実行する」と述べている。
次の段階で、攻撃者はドロッパー・マルウェアを svcservice.exe サービスとしてインストールして起動させる。続いて、Trigona ランサムウェアを svchost.exe として起動する。また、再起動後もシステムが暗号化されるように、ランサムウェアのバイナリが Windows の自動実行キーを介して、システムが再起動するたびに自動的に起動するよう設定する。
このマルウェアは、システムを暗号化してランサムノートを配布する前に、システムの回復を無効にし、Windows ボリューム・シャドウコピーを削除し、回復には復号化キーが不可欠な状態にする。
Trigona ランサムウェアのオペレーションは、2022年10月に MalwareHunterTeam により発見されたが、BleepingComputer も調査を行っている。同オペレーションは、グローバルを対象としているが、被害者から受け取るのは Monero 暗号通貨に限定することでも知られている。
Trigona は、Windows/Program Files ディレクトリなどの、特定のフォルダ内のファイルを除き、被害者のデバイス上の全てのファイルを暗号化する。また、ダークウェブのリークサイトでは、暗号化の前に機密文書を盗むと主張している。
さらに、このランサムウェアは、暗号化したファイルの名前を “._locked” という拡張子に変更し、復号化キー/キャンペーン ID/被害者 ID (会社名) などを、暗号化した全てのファイルに埋め込んでいる。
また、攻撃に関する情報/Trigona Tor の交渉サイトへのリンク/交渉サイトへのログインなどに必要な認証キーなどを含む、how_to_decrypt.hta というランサムノートを各フォルダに作成する。
今年に入ってから、Trigona ランサムウェア・グループは絶え間のない攻撃を続けており、ID Ransomware プラットフォームに少なくとも 190件の投稿がある。
久々の Microsoft SQL に関する記事です。このブログでの前回の記事は、2022/10/05 の「Microsoft SQL Server に感染する多機能バックドア:Maggie 汚染は既に数百台」でした。よろしければ、以下の関連記事も、ご参照ください。
2022/09/24:MS SQL をハッキング:TargetCompany ランサム
2022/05/31:MySQL Server と攻撃面積:360万台以上が公開
2022/05/18:MSSQL にブルートフォース攻撃
IoT OT Security News 
You must be logged in to post a comment.