いろいろなランサムウェアがあります。
そのひとつに、Akiraという名前のランサムウェアギャングがあります。
彼らはこれまで他のランサムウェアギャングの実施する方法に よく似た方法で攻撃を展開してきていましたが、先日観測された事例では、これまでとは異なる方法で攻撃を展開していることが確認されています。
その内容を見てみましょう。
- 入口はリモートアクセスサービス
攻撃の糸口は、よくあるようにリモートアクセスサービスでした。
外部に公開されたサービスを悪用し、侵害活動を開始しました。 - 現地での活動方法はAnyDesk
侵害環境への接続が成功すると、脅威アクターは現地での活動のために、AnyDeskを展開しました。
AnyDeskは、広く利用されているリモートデスクトップアプリケーションです。 - ランサムウェアのペイロードの配布失敗
現地で活動ができるようになったので、脅威アクターはランサムウェアのペイロードを現地で展開しようとしました。
しかし、これは失敗してしまいました。
というのも、展開先が今回は侵害環境のWindows機器だったのですが、その機器にEDRシステムが配備されていて、これにマルウェアが検出されて隔離されてしまったのです。
脅威アクターは、この方法でのランサムウェア攻撃の継続ができないと認識しました。 - 他の方法の調査
EDRに阻まれても、脅威アクターはあきらめませんでした。
ネットワークをスキャンし、Windowsではない機器を探しました。
見つけた機器の中に、Webcamがありました。 - 弱い状態のWebcam
このWebcamは、いくつかの意味で脅威アクターに都合が良いものでした。
Webcamは、リモートシェル機能やカメラの不正なリモート閲覧などのいくつかの重大な脆弱性があり、コマンド実行をサポートする軽量のLinuxオペレーティングシステムを搭載し、EDRが搭載されていませんでした。
もっともEDRを搭載しようにも、ストレージサイズの制限などの点から、それは現実的ではありませんが。
Akiraは持っているツールにLinux環境用のランサムウェアのペイロードがあるため、これがちょうどよいということに気が付きました。 - Webcamにペイロードを展開
脅威アクターはWebcamにLinux用ペイロードを配置しました。
そして、侵害環境のネットワーク共有されたストレージをLinux機(Webcamです)にマウントします。
あとは、ペイロードの機能で、順次共有上のファイルを暗号化していきました。
Webcamの活動は現地で監視されていませんでしたので、攻撃が進捗していく様子は把握されることなく攻撃が進んでいきました。
今回、Webcamの脆弱性が悪用されたのですが、Webcamにはその問題に対策されているファームウェアがすでにリリースされていました。
残念ながら、この侵害環境では脆弱な状態のWebcamが動作していたのでした。
現地にはEDRがありましたが、それはWindowsの機器が対象となっていました。
このためWindows機器はEDRによって保護することができました。
EDRの保護対象ではない機器を悪用されることで攻撃が成り立ってしまいました。
EDRは効果の大きな仕組みですが、それだけで脅威対策の全体をカバーできるものではないということを感じさせる事例でした。
適用できる更新プログラムは適用する、用途毎に機器はネットワーク分割する構成で利用する、などの適切な取り組みを複数組み合わせて運用していく必要があるということなのでしょうね。
Camera off: Akira deploys ransomware via webcam
https://www.s-rminform.com/latest-thinking/camera-off-akira-deploys-ransomware-via-webcam
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
