概要:RMMツールを悪用したサプライチェーン攻撃
サイバーセキュリティ研究機関Zensecは、2025年初頭に英国の複数の組織を標的とした巧妙なサプライチェーン攻撃キャンペーンを明らかにしました。この攻撃では、信頼されているリモート監視・管理(RMM)インフラが武器として利用され、ランサムウェアが展開されました。調査によると、2つの著名なRansomware-as-a-Service(RaaS)グループが、SimpleHelp RMMソフトウェアの重大な脆弱性を悪用し、マネージドサービスプロバイダー(MSP)を介して下流の顧客に侵入しました。
攻撃は、SimpleHelp RMMプラットフォームの3つの深刻な脆弱性、CVE-2024-57726、CVE-2024-57727、およびCVE-2024-57728に集中していました。MSPやソフトウェアベンダーによって広く導入されているSimpleHelpは、パッチが適用されていない場合、攻撃者にとってのゲートウェイとなりました。このプラットフォームのデフォルト設定がSYSTEMレベルの権限で実行されていたため、侵害されたネットワーク上で攻撃者は無制限の制御権を獲得し、従来のセキュリティ制御を回避して最小限の摩擦で横方向に移動することが可能になりました。
SimpleHelpのベンダーはパッチをリリースし、これらの脆弱性を深刻なものと分類していましたが、2025年第1四半期および第2四半期を通じて多数の組織が標的となりました。侵害されたRMMサーバーは特権的なステージングポイントとして機能し、セキュリティツールが本質的に信頼する正規の管理チャネルを通じて、攻撃者が下流の顧客環境に到達することを可能にしました。
Medusaランサムウェアキャンペーンの詳細
Medusaランサムウェアグループは、2025年第1四半期に英国の複数の組織を標的とした協調的なキャンペーンを実行しました。侵害されたSimpleHelpインスタンスを通じて初期アクセスを獲得した後、攻撃者は観測されたインシデントの約半数でPDQ InventoryとPDQ Deployを展開しました。これらの正規のIT管理ツールは、「Gaze.exe」または組織固有の実行可能ファイルと名付けられたランサムウェアペイロードを被害者ネットワーク全体で実行するために悪用されました。
Medusaのオペレーターは、高度な防御回避技術を駆使し、PDQ Deployを通じてbase64エンコードされたPowerShellコマンドをプッシュしてMicrosoft Defenderを無効化し、除外設定を行いました。netscan.exeのようなネットワーク偵察ツールは、攻撃者がホストを列挙し、ドメインコントローラー、ファイルサーバー、バックアップインフラストラクチャを含む高価値ターゲットを優先することを可能にしました。
データ窃取は、分析されたMedusaのインシデントの約50%で発生し、検出を回避するために「lsp.exe」と改名されたRCloneが利用されました。この窃取ツールは、1500日以上経過し、1500MB未満のファイルをターゲットとする特定のフィルターで構成され、不必要に大きなファイルを避けつつユーザーデータを最適化しました。攻撃者は、フォレンジック調査を妨害するために、窃取後にRCloneの設定ファイルを体系的に削除しました。
ランサムウェアはシステムを「.MEDUSA」拡張子で暗号化し、感染したマシンに「!!!READ_ME_MEDUSA!!!.txt」というタイトルの身代金メモを投下しました。Medusaの二重恐喝モデルは、データ漏洩サイトを通じて明らかになり、スクリーンショット、ドキュメントプレビュー、閲覧可能なファイルツリーを含む「生存証明パック」が被害者を支払いへと圧力をかけるために公開されました。
DragonForceランサムウェアの運用
2023年に設立された比較的新しいRansomware-as-a-ServiceグループであるDragonForceは、2025年第2四半期を通じて同様のキャンペーンを実行しました。彼らの手法は、侵害されたSimpleHelpインスタンスを介したMedusaの初期アクセスベクトルを模倣していましたが、戦術的な実行にはいくつかの主要な違いがありました。
RMMの侵害を通じてアクセスを確立した後、DragonForceのオペレーターはインタラクティブな制御のためにAnyDeskをインストールし、永続性を維持するために「admin」という名前のローカル管理者アカウントを作成しました。このグループはバックアップインフラストラクチャに特に強い関心を示し、「Get-Veeam-Creds.ps1」のような資格情報収集スクリプトを実行して、Veeam SQLパスワードストアや設定ファイルから平文の資格情報を抽出しました。
DragonForceのデータ窃取手法は、RCloneよりもオープンソースのバックアップツールであるResticを好みました。攻撃者はResticをS3互換のストレージエンドポイント、特にWasabiクラウドストレージインフラストラクチャにデータを転送するように構成しました。このアプローチにより、攻撃者の制御下で不正なオフサイトバックアップが作成されました。
ランサムウェアペイロードはHyper-V VHDXファイルを標的とし、システムを「*.dragonforce_encrypted」拡張子で暗号化しました。ファイル名は元のファイル名と同じ長さのランダムな文字列で難読化されました。「readme.txt」というタイトルの身代金メモは、被害者にTOX IDチャットを通じてオペレーターに連絡するよう指示しました。DragonForceは、初期の被害者リストを掲載する公開ブログと、盗まれたファイルを閲覧・ダウンロードできるデータ漏洩サイトの両方を維持していました。
サプライチェーンセキュリティの重要性
これらのキャンペーンは、現代のITエコシステムにおける根本的な脆弱性を浮き彫りにしています。組織は、最も保護されていないベンダーと同じくらいしか安全ではありません。信頼されているサードパーティのRMMインフラが侵害されると、攻撃者は境界防御を迂回し、異常な接続を検出するように設計されたセキュリティ監視を回避する正規のアクセスチャネルを継承します。
利用可能なパッチがあったにもかかわらずSimpleHelpの脆弱性が悪用されたことは、相互接続されたビジネス関係におけるサプライチェーンセキュリティとパッチ管理の永続的な課題を浮き彫りにしています。MedusaとDragonForceの両グループは、この信頼モデルを利用し、MSP管理ツールをランサムウェアの展開とデータ窃取のための武器に変えました。
組織は、サードパーティのリモートアクセスツールを緊急に監査し、ベンダーのパッチ適用状況を確認し、横方向の移動を制限するためのネットワークセグメンテーションを実装し、異常なRMM活動の監視を強化する必要があります。Zensecが文書化したサプライチェーン攻撃は、信頼された管理プラットフォームが攻撃者のインフラストラクチャになった場合、境界セキュリティだけでは不十分な保護しか提供しないことを示しています。