またもや狙われたMicrosoft 勝手にクライアント管理ツールが悪用される
サイバーセキュリティが弱いという批判を浴びているMicrosoftがまたもや攻撃を受けている。Windowsに勝手にリモート接続された後、ランサムウェア攻撃につながる。
Microsoftの研究者は2024年5月15日(注1)、「経済的な動機に基づくサイバー攻撃者(Storm-1811)が2024年4月中旬以降、当社のクライアント管理ツール『Quick Assist』をソーシャルエンジニアリングによる攻撃で悪用している」と発表した。
Microsoftがやられたサイバー攻撃の手口とは?
クライアント管理ツールのQuick Assistは「Windows 11」の標準機能の一つだ。インターネットを経由してリモートでWindows PCの画面を表示したり、制御したりできる。もともとはPCのそばに行かなくてもリモートでアシストできるツールとして使うものだ。
Microsoftによると、この攻撃はQuick Assistの悪用とともに「ビッシング」(vishing)とも呼ばれる音声フィッシングから始まる。その後、「ScreenConnect」や「NetSupport Manager」などのリモートモニタリングツールや「Cobalt Strike」や「Qakbot」などのマルウェアの展開が始まり、最終的には「Black Basta」ランサムウェアの配信に至るという。
連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、世界中の(電力やガス、鉄道、空港などの)重要インフラやヘルスケアに対する何百もの攻撃でBlack Bastaが展開されていると警告した。それから1週間もたたないうちに(注2)、今回の攻撃が明らかになった。
攻撃グループはビッシングを利用して、ユーザーをだましてコンピュータシステムへのアクセスを許可させるソーシャルエンジニアリングの手法を使用した。Quick Assistを悪用してITやヘルプデスクのスタッフになりすます場合もあれば、スパムメールで電子メールアドレスを飽和させる「メール爆撃攻撃」を使用する場合もある。その後、攻撃者は問題を修正するという口実で、そのユーザーのシステムへのアクセスを要求する。
システムへのアクセス許可を得た後、ZIPファイルやバッチファイルをそのPCへダウンロードして、リモート管理ツールやマルウェアなどの悪意のあるコードを配信する。
サイバーセキュリティ事業を営むAt-Bayの研究者によると、2023年のランサムウェア攻撃の主要な侵入ポイントはリモートアクセスツールだった(注3)。
この攻撃はどの程度危険なのか
Microsoftの研究者によると、ConnectWiseのリモートアクセスとサポートのためのツールScreenConnectにより、攻撃者は持続的なアクセスを獲得し、横展開できるようになる。また、NetSupport Managerにより、攻撃者は侵害したシステムの制御を維持できるようになる。
サイバーセキュリティ事業を営むTrend Microの研究者は(注4)、Black Bastaの関係者が、Cobalt Strikeを展開する前に、認証回避の脆弱(ぜいじゃく)性「CVE-2024-1709」を含むScreenConnectの重大な欠陥を悪用していることを確認した(注5)。
サイバーセキュリティ企業であるRapid7のロバート・ナップ氏(インシデントレスポンスサービスを担当するシニアマネジャー)によると、Microsoftの報告書はRapid7の研究者が観察したものと同様の活動を指摘している(注6)。違いはさらに一歩踏み込んで、その活動を特定の攻撃者に結び付けたことだ。しかし、Rapid7はこれらの特定のケースでQakbotの展開を確認していない。
Microsoftによると、Black Bastaの関係者は、ランサムウェアを展開する前にQakbotを使ってアクセスすることが多いという。
サイバーセキュリティ企業Halcyonのジョン・ミラー氏(共同設立者兼CEO)によると、Black Bastaは、企業のサーバーで稼働している「VMware ESXi」の脆弱性も悪用しているという。
なお、MicrosoftによればQuick Assistをブロックしたり、アンインストールしたりすることで攻撃のリスクを減らせるという。
出典:Microsoft warns of hacker misusing Quick Assist in Black Basta ransomware attacks(Cybersecurity Dive)
注1:Threat actors misusing Quick Assist in social engineering attacks leading to ransomware(Microsoft)
注2:Black Basta ransomware is toying with critical infrastructure providers, authorities say(Cybersecurity Dive)
注3:Remote-access tools the intrusion point to blame for most ransomware attacks(Cybersecurity Dive)
注4:ConnectWise ScreenConnect critical CVE lures an array of threat actors(Cybersecurity Dive)
注5:CVE-2024-1709 Detail(NIST)
注6:Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators(Rapid7)
© Industry Dive. All rights reserved.
関連記事
- Microsoftの弱点は「セキュリティ」 何がダメなのか
Microsoftは企業向けのクラウドサービスやSaaSアプリケーションの巨人だ。だがセキュリティが弱過ぎるという批判を受け始めた。なぜだろうか。 - 政府から嫌な指摘を受けたMicrosoft 「セキュリティが弱い」
米政府機関はMicrosoftのサイバーセキュリティが不十分だとして報告書をまとめた。Microsoftの対応は何が良くないのだろうか。 - 危険な脆弱性が最も多く見つかったソフト開発企業はどこ?
米政府機関は危険な脆弱性がすぐに分かるよう、悪用されたことがあるものをリスト化した。そこで分かったのはある1社の製品が特に危険だということだ。