ランサムウェア「Hive」のハッカー、「Microsoft Exchange Server」狙う

今回は「ランサムウェア「Hive」のハッカー、「Microsoft Exchange Server」狙う」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 ランサムウェア「Hive」を使った脅威グループが、「Microsoft Exchange Server」の脆弱性を悪用して攻撃を展開している。

 Hiveは2021年6月に初めて発見された。サービスとしてのランサムウェア(RaaS:Ransomware-as-a-Service)モデルで運営されている。サイバー攻撃者は攻撃で一連のHiveランサムウェアを利用できる。

 この脅威アクターは、「.onion」アドレス経由でアクセスできるリークサイトを運営し、被害者について「公表して情報を暴露」するために利用しているようだ。さらに「二重脅迫」の手口を使い、ディスクを暗号化する前に、人質として企業の機密データを盗み出す。

 被害者が支払いを拒否すると、サイバー攻撃者はリークサイトに名前を掲載し、データを漏えいするまでの時間を設定する恐れもある。被害者にさらなるプレッシャーをかけ、恐喝の機会を増やすことが狙いだ。

 Hiveの被害者には、非営利団体、エネルギー業界、金融機関、ヘルスケア組織などが含まれる。

 Hiveのこうした活動について、米連邦捜査局(FBI)は2021年8月に警告を発した。米国保健福祉省(HHS)は今週、このRaaSについて「極端に攻撃的な金銭目的のランサムウェアグループ」として注意喚起した。

 Varonisのフォレンジックチームは米国時間4月19日、最近のインシデントを元に、このランサムウェアグループの戦術と手法を詳細に分析した新しい調査を公開した。

 ある企業のネットワークが侵入され、攻撃は72時間で完了したという。

 侵入には、Microsoft Exchange Serverの「ProxyShell」脆弱性が悪用された。Microsoftは2021年にこの脆弱性に対応するパッチを配布している。このセキュリティ上の問題により、Exchange Serverをリモートから完全に侵害できる可能性があった。

 一旦侵入に成功すると、 ウェブシェル(Webshell)の悪質なバックドアスクリプトがExchangeサーバーのパブリックアクセス可能なディレクトリーに置かれる。これらのウェブスクリプトは、侵害されたサーバーで、SYSTEM権限で悪質な「PowerShell」のコードを実行する可能性がある。

 悪質なPowerShellコードは、C2(コマンド&コントロール)サーバーから「Cobalt Strike」フレームワークに関連するさらなるステージャーをダウンロードする。この脅威アクターは、SYSTEM権限を利用し、新しいシステム管理者「user」を作成する。そして認証情報を窃盗するツール「Mimikatz」を使い、ドメイン管理者のNTLMハッシュを取得する。

 「ドメイン管理者のNTLMハッシュを盗むことで、パスワードを解読する必要がない。また、攻撃者はそれをPass-The-Hash攻撃で再利用し、ドメイン管理者アカウントを制御することに成功した」とVaronisの研究者は説明している。

 攻撃者はそれから、サーバーの偵察を行い、情報を収集した後、ランサムウェアのペイロードを展開する。

 プログラミング言語「Golang」で書かれているHiveのペイロードは、「windows.exe」という名のファイルに埋め込まれている。ファイルの暗号化、シャドウコピーの削除、セキュリティソリューションの無効化を行い、Windowsイベントログを消去する。さらに、「Security Accounts Manager」を停止し、SIEM(セキュリティ情報イベント管理)システムにアラートが送信されないようにする。

 暗号化が完了すると、すべてのデータを暗号化し、ファイルを盗んだことを被害者に告げ、身代金を要求するランサムノートを用意する。「個人データ、財務報告書、重要文書」を流出できる状態だと脅す内容だ。

 次に、この攻撃者の「営業部」に連絡し、暗号化キーを入手するように促す。連絡先は、Torネットワーク経由でアクセスできる.onionアドレスだ。

 さらに、データが失われないよう、以下のような「ガイドライン」に従うよう指示する。

 Varonisの研究者は、「ランサムウェア攻撃は、ここ数年間で著しく増加しており、脅威アクターが利益を最大化するために、依然として好んで使用している手段だ」と指摘する。「攻撃は損害をもたらす可能性がある。組織の評判を損ない、通常業務を中断させ、機密データを一時的に、場合によっては永久に失う恐れがある」

 Varonisは、Exchange Serverにパッチが適用されていることを確認するよう促している。また、定期的なパスワードの変更、SMBv1の無効化などを推奨している。

 また、従業員が職務で必要なリソース以外アクセスできないようにすることを勧めている。アカウントが侵害された場合に、攻撃対象を制限できるためだ。

元記事: https://japan.zdnet.com/article/35186682/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
AI契約審査プラットフォーム「LegalForce」が知産関連契約書のレビュー対応類型を拡充、累計10類型に
リーガルテック
2021-06-18 19:59
NECと富士通、ポスト5Gに向けた基地局装置間の相互接続性検証技術を開発へ
IT関連
2021-08-23 22:21
狩野教授自身が語る、Kano Modelの理解と品質とは何か?/Hondaによる自動運転レベル3システムとその開発プロセスとは?[ソフトウェア品質シンポジウム 2023][PR]
PR
2023-08-29 01:34
暗号資産取引所「Coinbase」日本参入 信頼性訴求でユーザー獲得狙う
企業・業界動向
2021-08-20 14:07
Amazon、FTCのリナ・カーン委員長の独禁法調査関与に忌避の申し立て
企業・業界動向
2021-07-02 21:33
ソフトバンクなど「空飛ぶ基地局」実現へ 太陽光発電動力に成層圏から広範囲に電波、法整備に課題も
IT関連
2021-05-19 20:34
CISA、侵害検知ツールをリリース–SolarWindsハッキング事件受け
IT関連
2021-03-22 13:34
イスラエル軍で鍛えた侵入技術に強み–アジアに進出するPentera
IT関連
2023-03-03 18:06
Meta、「このズボンに合う服は?」に答えられるAIを目指すプロジェクトを発表
IT関連
2022-02-26 23:23
Facebook、次期ビルドシステムの開発でRust言語の採用を明らかに
Facebook
2021-07-28 11:15
ウェブ誕生から35年、その生みの親は破綻したウェブを救えるか
IT関連
2024-03-16 06:14
マカフィーが「Babuk」ランサムウェアの最新動向について報告
IT関連
2021-07-30 02:07
DTCブランドがビッグテックの顧客データから脱却するのを支援するOkendo
ネットサービス
2021-07-24 05:15
コーセー、カウンセリング基盤のソフトウェアテスト自動化–110時間以上の工数削減
IT関連
2024-07-03 04:31