Sodin:MSPを通じて侵入するランサムウェア

MSPのインフラまたはOracle Weblogicの脆弱性を利用して侵入し、感染したシステムを暗号化するランサムウェア

マネージドサービスプロバイダー(MSP)の顧客がランサムウェア「GandCrab」の攻撃を受けた事例を、今年3月に当社ブログで取り上げましたが(英語記事)、当社ではこの攻撃は単独の事例ではないと考えていました。MSPは、サイバー犯罪者にとって無視することのできない魅力的なターゲットです。

今年4月、「Sodin」と呼ばれるランサムウェアの活動が話題になりました(英語記事)。この攻撃には、MSPのセキュリティシステムのギャップを突くことに加え、Oracle WebLogicプラットフォームの脆弱性を悪用するという特徴がありました。ランサムウェアは一般的に被害者側での関与を必要としますが(たとえば、フィッシングメールに添付されたファイルを起動するなど)、今回は被害者がアクションを起こさなくても感染に至っています。

SodinはWindowsの脆弱性を悪用する手法も使用しており、当社エキスパートがSecurelist(英語記事)で詳しく紹介しています。この記事では、このマルウェアがOracle WebLogicの脆弱性を通じてどのように広がっていったのかに焦点を当てます。

Sodinの拡散方法

攻撃では脆弱性「CVE-2019-2725」が悪用され、脆弱性を持つOracle WebLogicサーバー上でPowerShellコマンドが実行されました(英語記事)。このようして攻撃者はサーバーにドロッパーをアップロードし、このドロッパーがSodinをインストールしたのでした。この脆弱性に対するパッチは4月にリリースされましたが、6月末には似たような脆弱性「CVE-2019-2729」が発見されています。

SodinはMSPを利用した攻撃の中で、さまざまな方法を使って標的のマシンに侵入しています。少なくともMSP 3社の顧客がトロイの木馬の被害を受けており、DarkReadingの記事(英語)によれば、WebrootおよびKaseyaのリモートアクセスコンソールを使用してトロイの木馬を送り込む事例がいくつか見られています。このほか、攻撃者がリモートデスクトップ接続を使用してMSPのインフラに侵入し、権限の昇格を行い、セキュリティソリューションおよびバックアップ機能を無効化しておいて、MSPの顧客のコンピューターにランサムウェアをダウンロードする事例もありました(Redditの関連スレッド、リンク先は英語)。

サービスプロバイダーが取るべき対策

まずはリモートアクセス用パスワードの保護を重要視し、可能な限り2段階認証を採用するところからです。Kaseyaの場合もWebrootの場合も、リモートコンソールは2段階認証に対応しており、今回のインシデント後に両社とも2段階認証を必須としました。見てきたように、Sodinを配布した攻撃者は機会が偶然訪れるのを待つのではなく、MSPを通じたマルウェア配信の手段を、意図を持って探っています。したがって、使用しているその他ツールもすべて、注意深い監視が求められます。リモートデスクトップ接続は、最後の手段として使用すべきです。

特に、サイバーセキュリティサービスを提供するMSPの場合は、自社顧客のインフラ以上に自社インフラの保護を深刻に検討する必要があります。

それ以外の企業が取るべき対策

当然ながら、ソフトウェアのアップデートは必要不可欠です。何か月も前に発見され修正パッチがリリース済みの脆弱性を通じて自社インフラにマルウェアが侵入する事態は、テニスで言うアンフォーストエラー(自分に原因のあるミス)です。

Oracle WebLogicを使用している場合は、何はともあれCVE-2019-2725およびCVE-2019-2729について把握しましょう(リンク先はいずれも英語)。

このほか、ランサムウェアを検知可能な機能を備えた信頼できるセキュリティ製品を利用してワークステーションを保護するのもよいでしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?