サイバーニュース.jp

世界のサイバーなニュースを配信

サイバー犯罪者がSonicWallファイアウォールを標的にAkiraランサムウェアを展開:悪意あるログイン試行を悪用

カテゴリ:

, , , , , , , , ,

概要

セキュリティチームは、SonicWall SSL VPNの侵害された認証情報を悪用し、Akiraランサムウェアを4時間以内に展開する急速に進化するキャンペーンに直面しています。これは、この種の脅威としては過去最短の滞留時間の一つです。2025年9月20日現在も、このキャンペーンに関連する新たな悪意あるインフラが観測されています。

攻撃の詳細

攻撃者は、認証成功後わずか数分でポートスキャンを開始し、Impacket SMBツールを偵察に利用し、多様な環境にAkiraランサムウェアを展開しました。標的は中小企業から大規模組織まで多岐にわたり、日和見的かつ広範な悪用を示唆しています。

SonicWallは、これらの不正ログインが2024年9月に開示された不適切なアクセス制御の脆弱性であるCVE-2024-40766の悪用によるものと指摘しています。2025年7月下旬、Arctic Wolf LabsはSonicWall SSL VPNサービスに対する不審なログイン試行の急増を検知しました。脆弱なデバイスから収集された認証情報は、パッチが適用されたファイアウォールでも有効なままであり、攻撃者はワンタイムパスワード(OTP)多要素認証をバイパスし、MFA保護されたアカウントに対して認証を行うことが可能でした。

SonicWallの2025年8月の通知では、MFAシードがブルートフォース攻撃またはオフラインで取得される可能性があり、MFAの解除や設定改ざんの証拠なしに正当なログインが行われることが確認されました。初期アクセスは一貫して、通常のブロードバンドやSD-WANではなく、仮想プライベートサーバーインフラからのSSL VPNクライアントログインを伴っていました。いくつかのインシデントでは、リモートVPNアクセスを意図していなかったLDAP同期アカウントが正常に認証されているのが観測されました。

侵入後、攻撃はほぼ即座に内部ネットワーク偵察へと移行しました。一時ディレクトリからAdvanced IP ScannerやSoftPerfect Network Scannerなどの正規ツールが実行され、その後、RPC、NetBIOS、SMB、SQLポートを標的としたImpacketスタイルのSMBv2セッション設定要求が続きました。Active Directoryの列挙は、組み込みユーティリティ(nltest、dsquery)およびPowerShellコマンドレット(Get-ADUser、Get-ADComputer)を悪用して、ユーザー、コンピューター、共有情報を収集しました。

多くの場合、攻撃者はSQLCMDとカスタムPowerShellスクリプトを使用して、Veeam Backup & Replicationデータベース(MSSQLおよびPostgreSQLインスタンスの両方)からバックアップ認証情報を抽出しました。抽出された認証情報は、ローカルおよびドメインアカウントの作成、リモートアクセスツール(AnyDesk、TeamViewer、RustDesk)のインストール、永続的なアクセスを目的としたSSHリバーストンネルまたはCloudflare Tunnelサービスの確立に利用されました。

検出を回避するため、攻撃者は正規のRMMソフトウェアを無効化し、ボリュームシャドウコピーのスナップショットを削除し、レジストリの調整によってユーザーアカウント制御を無効にしました。Bring-Your-Own-Vulnerable-Driver(BYOVD)技術は、Microsoftのconsent.exeを再パッケージ化して悪意のあるDLLをロードし、カーネルACLを操作することで、MsMpEng.exeのようなセキュリティプロセスをアラートをトリガーすることなく無力化しました。悪意のあるDLL内のジオフェンシングロジックは、東ヨーロッパのロケールを除外しており、標的型攻撃の意図を示唆しています。

Akiraランサムウェアの展開

データステージングでは、WinRARを使用して最近のファイルを3GBのチャンクにバンドルし、その後、rcloneまたはFileZilla SFTPを介して攻撃者が制御するVPSサーバーにデータが流出しました。その後、akira.exe、locker.exe、またはw.exeと名付けられたAkira暗号化バイナリが起動し、数時間以内にドライブとネットワーク共有を暗号化しました。一部の侵入では、初期アクセスからわずか55分で暗号化が開始されました。

推奨事項

組織は、この脅威から身を守るために以下の対策を講じるべきです。

  • CVE-2024-40766に脆弱なファームウェアを実行したことのあるデバイス上のすべてのSSL VPNおよびLDAP同期認証情報(OTPシードを含む)をリセットしてください。
  • ホスティングASNsおよび匿名化サービスからのVPNログインをブロックまたは監視してください。
  • ImpacketスタイルのSMBv2セッション設定に対するネットワークベースの検出を実装してください。
  • 一時ディレクトリおよびユーザー書き込み可能ディレクトリからの実行を拒否するアプリケーション制御を強制してください。
  • SSO/SAMLを介して集中型IDプロバイダーへのVPN認証を制限し、認証情報管理をファイアウォールアプライアンスから分離してください。
  • MySonicWallクラウドバックアップインシデントの修復を確認し、認証情報のリセットが必要かどうかを判断してください。
  • 早期検出が重要です。異常なVPNログインパターン、ホスティングASNの起源、予期せぬSMB検出活動は、暗号化が始まる前にこのキャンペーンを阻止するための最良の機会を提供します。
  • IRPパケットを使用し、マルウェアは特定のセキュリティプロセス(例:MsMpEng.exeおよびSecurityHealthService.exe)を特定し、Windowsアクセス制御リスト(ACL)をカーネルレベルで悪用してそれらを無効にします。
  • 組織は、エッジデバイスの認証情報セキュリティを不可欠なものとして扱い、パッチ適用だけでは不十分であり、認証情報のリセットと堅牢な監視が必要であると認識すべきです。

Arctic Wolf Labsは、SonicWallおよびセキュリティコミュニティと協力し、検出を改善し、さらなる悪用から保護するためにこの脅威を監視し続けています。

元記事: https://gbhackers.com/sonicwall-firewalls-akira-ransomware/

投稿をさらに読み込む