AkiraランサムウェアによるSonicWall VPN侵害の現状
Akiraランサムウェアが、多要素認証(MFA)で保護されたSonicWall SSL VPNアカウントを侵害していることが明らかになりました。当初、ゼロデイ脆弱性の悪用が疑われましたが、後に2024年9月に開示された不適切なアクセス制御の脆弱性CVE-2024-40766に起因することが判明しました。
この脆弱性に対するパッチは2024年8月に適用されましたが、攻撃者は以前に盗んだ認証情報を引き続き利用し、セキュリティアップデート後も侵害を続けています。SonicWallは、すべてのSSL VPN認証情報のリセットと最新のSonicOSファームウェアのインストールを管理者に強く推奨していました。
多要素認証(MFA)のバイパス
サイバーセキュリティ企業Arctic Wolfの新たな報告によると、Akiraランサムウェアの攻撃者は、ワンタイムパスワード(OTP)MFAが有効なアカウントにもかかわらず、ログインに成功していることが観測されています。これは、攻撃者がOTPシードを侵害したか、または有効なトークンを生成する別の方法を発見した可能性を示唆しています。
Google Threat Intelligence Group (GTIG)も、UNC6148という金融目的の脅威アクターが、以前に盗んだOTPシードを利用して、パッチ適用済みのSonicWall SMA 100シリーズアプライアンスにアクセスしていると報告しています。GTIGは、攻撃者が以前の侵害で取得した認証情報とOTPシードを悪用し、組織がセキュリティアップデートを適用した後でもアクセスを再取得していると高い確信度で評価しています。
侵害後の攻撃者の行動と回避策
Arctic Wolfの報告によると、Akiraランサムウェアの攻撃者は、侵害後5分以内に内部ネットワークのスキャンを開始するなど、非常に迅速に行動します。攻撃者は以下の手法を用いています。
- Impacket SMBセッション設定要求、RDPログイン
- dsquery、SharpShares、BloodHoundなどのツールを使用したActive Directoryオブジェクトの列挙
- Veeam Backup & Replicationサーバーを標的とし、カスタムPowerShellスクリプトを使用してMSSQLおよびPostgreSQLの認証情報、DPAPIシークレットを抽出・復号
セキュリティソフトウェアの回避には、Microsoftのconsent.exeを悪用したBYOVD(Bring-Your-Own-Vulnerable-Driver)攻撃が用いられました。これにより、脆弱なドライバー(rwdrv.sys、churchill_driver.sys)がサイドロードされ、エンドポイント保護プロセスが無効化され、ランサムウェアの実行を可能にしています。
SonicWallユーザーへの緊急勧告
これらの攻撃の一部は、SonicWallが推奨する最新リリースであるSonicOS 7.3.0を実行しているデバイスにも影響を与えていることが報告されています。管理者は、以前に脆弱なファームウェアを使用していたデバイスのすべてのVPN認証情報をリセットするよう強く推奨されています。
これは、デバイスが更新されていても、攻撃者が盗んだアカウントを使用して企業ネットワークへの初期アクセスを継続する可能性があるためです。