初期アクセス・ブローカーのツールボックス – リモート監視&管理ツール

プロダクト・マネージャー ラビード・レイブ

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

結論

2020年10月8日更新情報:ゾーホー社の声明を掲載

  • 初期アクセス・ブローカーの台頭に加え、不正侵入されたネットワークへのリモートアクセスを販売する脅威アクターが増加するに伴い、RMM(リモート監視・管理ツール)が実入りのよい標的となっています。
  • KELAは、ロシア語のフォーラムで活動する某サイバー犯罪者が、最近RMMツールを介したアクセスを多数販売していることを察知するとともに、そのRMMツールがゾーホー社の製品「Desktop Central」であることを突き止めました――この事実は、組織が直面している脅威を示唆しています。
  • 初期アクセス・ブローカー がどのような種類のネットワークアクセスを販売しているのかを監視することは、組織のネットワークを防衛するIT部門やサイバーセキュリティ部門にとって重要なインテリジェンスとなります。


多種多様なネットワークアクセス

RMM(リモート監視・管理)ソフトウェアは、IT担当者のネットワーク管理作業を支援するための製品であり、複数のマシンにアクセスしたり権限昇格を行うことが可能です。皆さんもご想像のとおり、そういった類のアクセスは悪意ある攻撃者の目には非常に魅力的な存在として映るでしょう。その結果、RMMの活用においてけん引役ともいえるMSP(マネージドサービス・プロバイダー)は、依然としてランサムウェアアクターらの標的となっています。先日KELAは、一部の初期アクセス・ブローカーらが、自らの不正アクセス・ポートフォリオの1つとしてRMMソフトウェアを直接又はMSP経由で狙っていることを察知しました。

まず、KELAや脅威アクターらが使用している「ネットワークアクセス」という言葉について簡単にご説明します。「ネットワークアクセス」という言葉そのものは非常に広範に定義されており、脅威アクターらは様々な攻撃ベクトルや許可レベル、侵入地点を表す際にこの言葉を使用しています。ロシア語話者を対象とする某有名フォーラムには、不正なネットワークアクセスの売買を専門とするサブフォーラムがありますが、そのサブフォーラムを見ていただければ、アンダーグラウンドで使われている「ネットワークアクセス」の意味を直感的に理解していただけるでしょう。


上図でご覧いただけるように、脅威アクターらは複数の攻撃ベクトルや手法をまとめて「アクセス」という言葉で表現しており、そこにはSQLインジェクションからRDPアクセスまであらゆるものが含まれています。また、販売されているネットワークアクセスの種類は多岐にわたり、アクセスを手に入れるために必要な知識のレベルや、アクセスの永続性を確立した後にアクターらが実行できる操作は、各商品によって異なります。

それ故に、それぞれのアクターが採用する収益化のTTPが異なれば、彼らが興味を持つアクセスの種類も異なると考えられます。ランサムウェア集団にとっては、データを窃取したりネットワーク全体で不正なスクリプトを実行することが目標ですが、個人情報の窃取を狙うアクターらにとっては、データベースへのアクセスこそがチェスの「キング」であり、エンドポイントへのアクセスを手に入れたところで何の役にも立たないのです。一部のクラウドアプリやサードパーティが提供するサービスの資格情報が極めて人気の高い商品となる一方で、それ以外のアクセスがそれほど興味を持たれていない傾向にあるのは、こういった事情が背景にあると考えられます。

先日KELAは、RMMアクセスがランサムウェア・アズ・ア・サービスのエコシステムの一部となりつつあることを示す完璧な事例を発見しました。この事例は、アクターらがMSPを主要な標的とする理由を正確に表しています。


直接事情を知る人物からの情報

20209月、アンダーグラウンドにあるロシア語話者のフォーラムで、某脅威アクターが36件のアクセスを販売していました。その販売価格は、一部のアクセスについては購入希望者からの価格提案を依頼していたものの、累計98,400ドルに上りました。この脅威アクター7月にも十数件のアクセスを販売しており、今回の分とあわせると、これまで売りに出したアクセスは合計53件、累計額は153,850ドルに上ります。なお、このアクターは現在までに10件のアクセスについて売買を成立させており、それらアクセスの希望販売価格(最終成約価格は不明)は累計33,800ドルとなりました。

売り出されたアクセスに関する説明


この脅威アクターが公開した複数の投稿を分析した結果、標的となっているRMMソフトウェアはゾーホー社が開発したManageEngine製品であり、特に「Desktop Central」が狙われていると思われます。

Desktop Centralの機能を一部検証してみると、脅威アクターら、特にランサムウェア集団にとってこの製品が魅力的な存在である理由を理解することができます。同製品を利用すれば、ホストマシンのリモート制御をはじめとする様々な操作が可能となる他、ネットワークの末端にある一連のコンピュータや機器に対して遠隔でカスタムスクリプトを実行するなど、ランサムウェア集団にとって恐らく最も重要と思われる攻撃が実行可能となるのです。

ランサムウェアアクターらにとって魅力的と思われる Desktop Centralの機能の一部 (出典:ManageEngine)


例えば、ランサムウェアの種類によっては、Powershellスクリプトを実行する際に人の手を介した操作が必要となります。そこでRMMソフトウェアを利用すれば、Windowsに搭載されている煩わしい保護機能をバイパスする手間をかけず、ネットワーク全体にランサムウェアを展開することが可能となる――つまり、クラウド上で完璧な環境寄生型(living-off-the-land)攻撃が実現するのです。この点を認識することで、なぜRMMアクセスがランサムウェアアクターらにとって魅力的であるのかがお分かりいただけるでしょう。

KELAは、この脅威アクターが販売したアクセスのうち最も高額な2件について被害者を特定するとともに、彼らが問題のソフトウェアを使用していることを間接的に確認しました。2件のうち1件の被害者は収益2億2100万ドルのトルコ企業であり、もう1件の被害者は収益3億3800万ドルのカナダ企業でした。各アクセスの価格はトルコ企業が1.5BTC、カナダ企業が1BTCに設定されており、カナダ企業については販売開始後数時間で売買が成立していました。


しかしどうやって?

販売されていた30を超える組織へのアクセスが、恐らくはDesktop Centralを利用したものであるということは分かったものの、次に問題となるのはRMMがどうやって侵害されたのかということです。

一般的に考えた場合、可能な仮説は次の2つです。

1. MSPに対するハッキング:アクターが一つまたは複数のMSPを侵害し、そのMSPの顧客の環境にインストールされているRMMソフトウェアへのアクセスを手に入れた。その結果、顧客(被害者)のネットワークに直接アクセスすることが可能となった。

2. 直接攻撃:標的となった組織のDesktop Centralのインスタンスが、フィッシングや資格情報の窃取、ソーシャルエンジニアリング等の手法で直接侵害された。

 

仮説をさらに絞り込むため、KELAはShodanを使用してインターネット上にあるDesktop Centralインスタンスの普及率を調査しました。このブログを執筆している時点で、約900台ものサーバーがDesktop Centralを使用しており、もはやこのRMMプラットフォームは脅威アクターらにとって恰好の標的になっていると思われます。クラウド版Desktop Centralの資格情報を手に入れようとするアクターらにとっては、大漁を約束されたも同然と言えるでしょう。


公開データに基づいて被害を受けた組織のプロフィールを検証したところ、その大半は米国を拠点とする組織でしたが、それでも攻撃は広範かつ様々な地域に及んでいました。また、アクターが主張したとおり攻撃を受けた企業の国籍は、米国、英国、カナダ、スペイン、ブラジル、ポルトガル及びその他となり、セクター別ではIT、教育、建築、製造、法律、医療及びその他となりました。さらにこのアクターは、米国アーカンソー州とバルバドスにある政府組織に関連するアクセスも販売していました。

我々の直観的な見解では、被害組織が地理的に分散している状況を踏まえると、一つのMSPが集中攻撃を受けた可能性は低く(複数のMSPが攻撃を受けたという可能性はあります)、それよりも被害者組織が直接攻撃を受けた、又は直接インスタンスを悪用された可能性が高いと考えています。

インターネット上でDesktop Centralインスタンスの利用が確認された上位5カ国 (Shodanにて調査)


Desktop Central が標的とされるのは今回が初めてではありません。2020年3月には、マルウェアをインストールするよう計画された攻撃のなかで、同製品に存在するリモートコード実行の脆弱性(CVE-2020-10189)が悪用されたことが報告されています。しかし、今回のブログで議論の対象となったアクセスについては、正規の資格情報を用いてソフトウェアにアクセスすることから、リモートコード実行の脆弱性(CVE-2020-10189)とは無関係と考えられます。それでもDesktop Central が標的とされている事実は、脅威アクターらがRMMソフトウェアを攻撃ベクトルと見なし、興味を持っていることを示唆しています。

更新情報(2020年10月8日付)

今回のブログと報道受け、KELAは、潜在的なインシデントを調査するゾーホー社の情報セキュリティチームより連絡を頂きました。また我々は、脅威アクターがRMMアクセスを販売する投稿に記載した内容に基づいて複数の被害者を特定し、ゾーホー社の製品と関連があると思われる被害者の情報を同社に提供しました。調査の結果ゾーホー社は、今回特定された被害者達はそれぞれが使用するManageEngine製品に強度の低い資格情報を使用しており、それが侵害の原因になったと思われると結論付けました。また、シャドーアカウントや永続的なバックドアを作成する際に、CVE-2020-10189として追跡される脆弱性が利用されている可能性があるという仮説については、調査対象となった被害者の状況に基づいて判断する限り、可能性が低いものと判断されました。

ゾーホー社による調査回答の要約は次の通りです。これまでに確認された痕跡等から、攻撃の原因は強度の低い資格情報を使用したことが原因であることが強く疑われています。そのため、我々としては以下の対策を実行しました。

1. 今後は強度の低い資格情報を使用したログインを防止する等、速やかな問題対応の実施

2. 製品をインストールする際に適切なセキュリティ対策が確実に行われるよう、全ての顧客に対してセキュリティに関する勧告を発表

KELAは、今回の侵害で使用されたTTPをより詳細に特定するため、今後もアクターらの活動や判明している被害者達を追跡してまいります。この侵害の根本原因が、実際にゾーホー社が結論付けたとおり強度の低い資格情報によるものであるのか、それともスピアフィッシングや資格情報を窃取するその他の方法が使われた可能性があるのかに関わらず、組織のネットワークを防衛するIT部門及びセキュリティ部門の皆様には、インターネット上で使用するアプリケーションが脅威アクターらにとっては確実に魅力的な存在となっており、ひいてはクラウド上のアタックサーフェスを拡大しているという点に留意されるよう提言いたします。