MSSQL Server をブルートフォースで突破:30分で暗号化を完了する BlueSky とは?

MSSQL Server Vulnerability Exploited in BlueSky Ransomware Attack

2023/12/04 SecurityOnline — 進化を続けるサイバー脅威において、Bluesky ランサムウェアという新たな強敵が出現した。この、2022年6月に発見された悪質なソフトウェアは、Conti や Babuk などのランサムウェアと類似しており、また、脆弱性を効果的に悪用することで急速に有名になった。そして、DFIR レポートに記された詳細な分析により、Bluesky の驚くべき能力を示す侵入の手口が明らかになった。

この、2022年12月に発生したインシデントでは、パブリックな Microsoft SQL Server (MSSQL) が標的となっていた。一般的なランサムウェア攻撃でマルウェアのダウンロードによりイニシャル・アクセスが行われるが、Bluesky のオペレーターは秘密裏に進められるアプローチを選択した。

そこで用いられた手法は、特に MSSQL の “sa” (System Administrator) アカウントを狙う、執拗な SQL ブルートフォース攻撃だった。それにより、パスワードの解読に成功した攻撃者は、サーバ上の “xp_cmdshell” のロックを解除した。このツールは、SQL からシェルコマンドをダイレクトに実行するという、強力な機能を持つものだ。

こうして侵入に成功した Bluesky オペレーターは、正規のソフトウェア・ツールである Cobalt Strike を悪用し、さらに、Monero の採掘と XMRigCC の展開で知られるスクリプト Tor2Mine を使用した。この攻撃者の熟練度は、ネットワーク内での迅速な行動により証明されている。きわめて短い時間の中で、正規の winlogon.exe プロセスにコードを注入し、追加の PowerShell/cmd プロセスの生成に成功している。

この手法は、SMB スキャンと新たなネットワークの発見でも用いられ、イニシャル・アクセスから1時間以内で、すべての処理が完了していたという。

ダイヤモンドモデル | Image: DFIR Report

イニシャル・アクセスから 30分後には、最終的なペイロードである Bluesky ランサムウェアが展開されている。それは、SMB 経由でネットワーク全体に広がるという、恐ろしいほど効率的なものだった。ユーザーのファイルが暗号化され、拡張子が “.bluesky” に変更された後に、身代金要求メモ “# DECRYPT FILES BLUESKY #.txt” が、感染済みのホスト上に表示された。驚くべきことに、侵入から暗号化までの時間は、僅か 32分だったという。

Bluesky オペレーターの技術力の高さは、全体的なネットワーク内を横方向へと移動し、ドメイン・コントローラーやファイル共有をターゲットにしていく、きわめて迅速な動きにより証明されている。

彼らは、ウイルス対策ソリューションを巧みに無効化し、悪意のペイロードにリンクされた Windows のスケジュール/タスク/サービスを介して、永続性を確立していった。この種の。セキュリティ・ソリューションの無効化や、マイナー・ペイロードのドロップなどの操作には、PowerShell スクリプトが用いられていた。つまり、ターゲット環境を適切に理解するという、高度な洗練性が証明されている。

Bluesky ランサムウェアによるインシデントが示唆するのは、サイバー空間における脅威の進化である。この攻撃の迅速さと効率性、そして洗練されたツールやテクニックの悪用に対抗するためには、強固なサイバー・セキュリティ対策が必要である。

この種の脅威を軽減するために、ユーザー組織が優先すべきことは、強固なパスワード・ポリシー/定期的なソフトウェア・アップデート/ネットワーク監視/従業員の意識向上などである。

Bluesky ランサムウェアを、単なるマルウェアとして捉えることも可能だが、結論としては、デジタル世界に立ちはだかる高度なサイバー脅威の前触れと捉えるべきだろう。この種の狡猾なサイバー脅威から身を守るためには、継続的な警戒/準備/改訂がカギとなる。

なんと、侵入から暗号化までを、30分少々で済ませてしまう、Bluesky ランサムウェアの高速ぶりです。ブルートフォースと MSSQL という話ですが、どこかで読んだ記憶があると思い、探してみたら、2022/05/18 の「Microsoft 警告:MSSQL Server を標的とするブルートフォース攻撃が横行している」という記事が見つかりました。よろしければ、カテゴリ BruteForce も、ご利用ください。