サイバーニュース.jp

世界のサイバーなニュースを配信

米国組織を標的とする「Fogランサムウェア」、侵害されたVPN認証情報を悪用して侵入

カテゴリ:

概要:VPN認証情報を悪用した新たなランサムウェア攻撃

サイバーセキュリティ企業Arctic Wolf Labsは、米国組織を標的とした新たなランサムウェア「Fog」を発見しました。この攻撃は、主に教育機関とレクリエーション分野の組織に対し、侵害されたVPN認証情報を利用してシステムに侵入していることが判明しています。2024年5月2日に初めて確認され、同年5月23日まで活動していました。

Fogランサムウェアの背景と特徴

Arctic Wolfのインシデント対応チームによる調査では、被害者の80%が教育分野、20%がレクリエーション分野に属していました。攻撃者は、具体的なベンダー名は明かされていないものの、2社のVPNベンダーから流出した認証情報を悪用してアクセス権を獲得しています。

「Fog」は、その性質から「変種」とされており、暗号化機能を開発したグループと、実際に攻撃を実行したグループが分離している可能性が指摘されています。これは、従来のランサムウェアグループとは異なる運用構造を示唆しています。

攻撃の手口と段階的な侵入

攻撃者は侵入後、迅速に権限昇格を行っています。特定事例では、Pass-the-Hash攻撃を用いて管理者アカウントを乗っ取り、RDP経由でHyper-VサーバーやVeeamサーバーへアクセスしました。

ラテラルムーブメント(内部横展開)には、クレデンシャルスタッフィングが利用され、PsExecによって他のホストにマルウェアが拡散されました。リモートアクセスにはRDPとSMBが用いられています。

特筆すべきは、Windows Defenderが無効化された上で、VMDKファイルが暗号化され、Veeamのオブジェクトストレージバックアップが削除されたことです。これにより、被害組織の復旧が著しく困難になるよう設計されています。

暗号化プロセスと復旧妨害

被害システムに残されたランサムノートは、ユニークなチャットコード以外は全て同じ内容で、特定の.onionサイトへ誘導するものでした。データ漏洩サイトの存在は確認されていません。

暗号化されたファイルには「.FOG」または「.FLOCKED」という拡張子が付けられます。

暗号化ツールは、複数のサンプルでコードブロックを共有しており、共通のソースコードを持つことが示唆されています。このツールは、%AppData%内のDbgLog.sysにログを記録し、NtQuerySystemInformationを通じてシステム情報を照会し、2〜16のプロセッサスレッドを割り当てます。JSON設定ファイルには、公開鍵(RSAPubKey)、ロックされた拡張子(LockedExt)、ノート名(readme.txt)、暗号化前に終了させるプロセスやサービスが記述されています。

また、Windows APIのFindFirstVolumeを使用してボリュームを検出し、暗号化には非推奨のCryptImportKey/CryptEncrypt関数が用いられています。暗号化後には「vssadmin delete shadows /all /quiet」コマンドを実行して、シャドウコピーを完全に削除し、システムの復旧を妨害します。

主要なTTPs(戦術・技術・手順)と使用ツール

  • 初期アクセス (T1133, T1078):
    • 侵害されたVPN認証情報
  • 偵察 (T1046, T1135):
    • SoftPerfect Network Scanner, Advanced Port Scanner, SharpShares
  • ラテラルムーブメント (T1021, T1570):
    • RDP/SMB経由のリモートサービス、PsExecによるツール転送
  • 認証情報へのアクセス (T1003, T1555, T1110):
    • OS認証情報のダンプ (NTDS)、パスワードストア、ブルートフォース、クレデンシャルスタッフィング
  • 防御回避 (T1562, T1550):
    • Windows Defenderの無効化、Pass the Hash
  • 影響 (T1486, T1490):
    • データの暗号化、復旧妨害 (vssadminによるシャドウコピー削除)

侵害の痕跡 (Indicators of Compromise – IoCs)

  • SHA1ハッシュ:
    • f7c8c60172f9ae4dab9f61c28ccae7084da90a06 (lck.exe)
    • 507b26054319ff31f275ba44ddc9d2b5037bd295 (locker_out.exe)
  • IPアドレス:
    • 5.230.33[.]176 (VPNログイン)
  • ファイル名:
    • readme.txt, DbgLog.sys, Veeam-Get-Creds.ps1
  • 拡張子:
    • .flocked, .fog

元記事: https://gbhackers.com/fog-ransomware/

投稿をさらに読み込む