またもや狙われたMicrosoft 勝手にクライアント管理ツールが悪用される

サイバーセキュリティが弱いという批判を浴びているMicrosoftがまたもや攻撃を受けている。Windowsに勝手にリモート接続された後、ランサムウェア攻撃につながる。

[David Jones，Cybersecurity Dive]

　Microsoftの研究者は2024年5月15日（注1）、「経済的な動機に基づくサイバー攻撃者（Storm-1811）が2024年4月中旬以降、当社のクライアント管理ツール『Quick Assist』をソーシャルエンジニアリングによる攻撃で悪用している」と発表した。

Microsoftがやられたサイバー攻撃の手口とは？

　クライアント管理ツールのQuick Assistは「Windows 11」の標準機能の一つだ。インターネットを経由してリモートでWindows PCの画面を表示したり、制御したりできる。もともとはPCのそばに行かなくてもリモートでアシストできるツールとして使うものだ。

　Microsoftによると、この攻撃はQuick Assistの悪用とともに「ビッシング」（vishing）とも呼ばれる音声フィッシングから始まる。その後、「ScreenConnect」や「NetSupport Manager」などのリモートモニタリングツールや「Cobalt Strike」や「Qakbot」などのマルウェアの展開が始まり、最終的には「Black Basta」ランサムウェアの配信に至るという。

　連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、世界中の（電力やガス、鉄道、空港などの）重要インフラやヘルスケアに対する何百もの攻撃でBlack Bastaが展開されていると警告した。それから1週間もたたないうちに（注2）、今回の攻撃が明らかになった。

　攻撃グループはビッシングを利用して、ユーザーをだましてコンピュータシステムへのアクセスを許可させるソーシャルエンジニアリングの手法を使用した。Quick Assistを悪用してITやヘルプデスクのスタッフになりすます場合もあれば、スパムメールで電子メールアドレスを飽和させる「メール爆撃攻撃」を使用する場合もある。その後、攻撃者は問題を修正するという口実で、そのユーザーのシステムへのアクセスを要求する。

　システムへのアクセス許可を得た後、ZIPファイルやバッチファイルをそのPCへダウンロードして、リモート管理ツールやマルウェアなどの悪意のあるコードを配信する。

　サイバーセキュリティ事業を営むAt-Bayの研究者によると、2023年のランサムウェア攻撃の主要な侵入ポイントはリモートアクセスツールだった（注3）。

この攻撃はどの程度危険なのか

　Microsoftの研究者によると、ConnectWiseのリモートアクセスとサポートのためのツールScreenConnectにより、攻撃者は持続的なアクセスを獲得し、横展開できるようになる。また、NetSupport Managerにより、攻撃者は侵害したシステムの制御を維持できるようになる。

　サイバーセキュリティ事業を営むTrend Microの研究者は（注4）、Black Bastaの関係者が、Cobalt Strikeを展開する前に、認証回避の脆弱（ぜいじゃく）性「CVE-2024-1709」を含むScreenConnectの重大な欠陥を悪用していることを確認した（注5）。

　サイバーセキュリティ企業であるRapid7のロバート・ナップ氏（インシデントレスポンスサービスを担当するシニアマネジャー）によると、Microsoftの報告書はRapid7の研究者が観察したものと同様の活動を指摘している（注6）。違いはさらに一歩踏み込んで、その活動を特定の攻撃者に結び付けたことだ。しかし、Rapid7はこれらの特定のケースでQakbotの展開を確認していない。

　Microsoftによると、Black Bastaの関係者は、ランサムウェアを展開する前にQakbotを使ってアクセスすることが多いという。

　サイバーセキュリティ企業Halcyonのジョン・ミラー氏（共同設立者兼CEO）によると、Black Bastaは、企業のサーバーで稼働している「VMware ESXi」の脆弱性も悪用しているという。

　なお、MicrosoftによればQuick Assistをブロックしたり、アンインストールしたりすることで攻撃のリスクを減らせるという。

出典：Microsoft warns of hacker misusing Quick Assist in Black Basta ransomware attacks（Cybersecurity Dive）
注1：Threat actors misusing Quick Assist in social engineering attacks leading to ransomware（Microsoft）
注2：Black Basta ransomware is toying with critical infrastructure providers, authorities say（Cybersecurity Dive）
注3：Remote-access tools the intrusion point to blame for most ransomware attacks（Cybersecurity Dive）
注4：ConnectWise ScreenConnect critical CVE lures an array of threat actors（Cybersecurity Dive）
注5：CVE-2024-1709 Detail（NIST）
注6：Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators（Rapid7）