Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開

Hacking campaign bruteforces Cisco VPNs to breach networks

2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。


Rapid7 のセキュリティ研究者たちは、8月29日 (火) に発表されたレポートの中で、一連のインシデントに関する追加的な洞察を提供している。それによると、今年の3月以降において攻撃者たちは、ターゲットのログイン認証情報を推測するブルートフォース攻撃で、これらのデバイスの攻略に注力しているとのことだ。

ただし、これらの攻撃を操る脅威アクターたちが、適切に設定された MFA を回避して Cisco VPN に侵入したという事例は、現時点では検知されていないという。

この、Cisco の PSIRT (Product Security Incident Response Team) によるアドバイザリ情報は、BleepingComputer のレポートの2日後に発表されている。それにより、Cisco VPN を標的にした自動化ツールを用いた、ブルートフォース/パスワードスプレー攻撃が行われていることが裏付けられている。

Cisco PSIRT の Principal Engineer である Omar Santos は、「報告された攻撃シナリオでは、影響を受けた Cisco の ASA でロギングが設定されていなかった。そのため、Akira ランサムウェアの VPN にアクセスした方法を、正確に判断するのは困難だ。脅威アクターがブルートフォース攻撃などでユーザーの VPN 認証情報への不正アクセスに成功した場合、MFA は脅威アクターが VPN にアクセスするのを防ぐ保護レイヤーを追加する」と述べている。

Rapid7 はまた、3月30日〜8月24日の期間に Cisco ASA 関連の攻撃で、侵害を受けた顧客 11社確認し、これらの侵害が SSL VPN に関連していることを明らかにした。

Rapid7 が調査した大半のインシデントにおいて、脅威アクターが使用するユーザー名は、admin/guest/kali/cisco/test/printer/security/inspector などの一般的なものであり、それらにより ASA アプライアンスへのログインを試みていた。

また、同社によると、ほとんどの攻撃で似たようなインフラが利用されており、脅威アクターたちは WIN-R84DEUE96RB という Windows デバイスから接続し、IP アドレス 176.124.201[.]200 と 162.35.92[.]242 を使用していたという。

VPN アプライアンスへの侵入に成功した攻撃者は、AnyDesk リモート・デスクトップ・ソフトウェアを使用して被害者のネットワークにリモートアクセスする。続いて、NTDS.DIT Active Directory データベースをダンプした後に、盗んだドメイン認証情報を使用して他のシステムに侵入していった。

LockBit/Akira 攻撃につながる侵害も確認されている

Rapid7 は、「Akira と LockBit グループにより展開された、いくつかのインシデントは、当社のマネージド・サービス・チームにより終止符が打たれた。これらのインシデントは、依然として脆弱な認証情報やデフォルトの認証情報の使用に起因しており、認証情報が保護されていない状況が多発していることを裏付けている。つまり、企業ネットワークにおける MFA 実施が甘いことの結果である」と述べている。

BleepingComputer が報じたように、SentinelOne WatchTower の非公開レポートによると、Akira のオペレーターは Cisco VPN ソフトウェア内の未公開の脆弱性を悪用している可能性があり、それにより攻撃者が、多要素認証 (MFA) 保護がないシステムの認証をバイパスしている可能性があるという。

SentinelOne の脅威アナリストたちは、流出したデータを分析する中で、Akira が Cisco VPN ゲートウェイを悪用している証拠も発見している。

管理者たちやセキュリティ・チームに推奨されるのは、VPN システムを標的としたブルートフォースの試みをブロックするために、デフォルトのアカウントとパスワードを無効化することだ。さらに、すべての VPN ユーザーに対して、MFA を実施すべきである。また、攻撃分析に役立てるために、すべての VPN でロギングを有効にしておく必要がある。

冒頭で述べられている、Akira がイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破しているという件ですが、詳しくは 2023/08/22 の「Akira ランサムウェア:Cisco VPN 製品を標的として組織に侵入している」を、ご参照ください。それにしても、2023年5月に登場した Akira の動きが活発です。