脅威リサーチ

Microsoft Exchange Serverの脆弱性を狙った新しいランサムウェア「DearCry」

投稿者 FortiGuard Labs | 2021年3月16日

FortiGuard Labs Breaking Update

FortiGuard Labsは現在、「DearCry」と呼ばれる新しいランサムウェアキャンペーンの複数の報告を追跡しています。このマルウェアキャンペーンは、先週報告したMicrosoft Exchange Serverの4つの脆弱性と同じものを標的としており、Hafniumとして知られる中国の国家的ステルスグループを含む多くの脅威アクターによって悪用されています。

DoejoCrypt/DearCry が標的としているのは、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065の4つの脆弱性です。この攻撃チェーンは、外部ソースからの信頼できない接続を受信できるMicrosoft Exchangeサーバーを対象としています。DearCryランサムウェアはインストールされると、攻撃されたファイルの暗号化されたコピーを作成し、オリジナルのファイル自身を削除します。

DearCryランサムウェアの詳細

DearCryランサムウェアは、暗号化ルーチン中にAES-256暗号を使用して対象のファイルを暗号化し、さらに被害を拡大するためにRSA-2048鍵を使用してAES鍵を暗号化します。さらに事態を複雑にしているのは、これらのファイルの暗号化に使用される公開鍵暗号方式です。その公開暗号鍵がランサムウェアのバイナリに埋め込まれているため、DearCryはサーバー上のファイルを暗号化するために攻撃者のコマンド&コントロール・サーバーに連絡を取る必要がないということです。その結果、インターネット上のExchangeサービスへのアクセスのみを許可するように設定されたExchangeサーバーであっても暗号化されてしまいます。攻撃者が保有する復号鍵がなければ、復号できません。

このランサムウェアは、以下の拡張子を持つファイルを暗号化の対象としています。 .7Z, .APK, .APP, .ASPX, .AVI, .BAK, .BAT, .BIN, .BMP, .C, .CAD, .CER, .CFM, .CGI, .CONFIG, .CPP, .CSS, .CSV, .DAT, .DB, .DBF, .DLL, .DOC, .DOCX, .DWG, .EDB, .EDB, .EML, .EXE, .GO, .GPG, .H, .HTM, .HTML, .INI, .ISO, .JPG, .JS, .JSP, .KEYCHAIN, .LOG, .MDB, .MDF, .MFS, .MSG, .ORA, .PDB, .PDF, .PEM, .PGD, .PHP, .PL, .PNG, .PPS, .PPT, .PPTX, .PS, .PST, .PY, .RAR, .RTF, .SQL, .STM, .TAR, .TEX, .TIF, .TIFF, .TXT, .WPS, .XHTML, .XLS, .XLSX, .XLTM, .XML, .ZIP, .ZIPX

対象となる種類のファイルが見つかると、それらのファイルは全て暗号化され、拡張子.CRYPTでタグ付けされます。また、これらの暗号化されたファイルには、暗号化の際にファイルのヘッダーの先頭に「DEARCRY!」という文字列が追加されます。

フォーティネット、ランサムウェア「DearCry」に対応したプロテクションを提供

FortiGate AV

FortiGate AVの最新の定義を実行しているお客様は、DoejoCrypt/DearCryランサムウェアの亜種から以下のシグネチャによって保護されます。

W32/Filecoder.OGE!tr
PossibleThreat.ARN.H
W32/Encoder.OGE!tr.ransom
W32/Encoder!tr
FortiGate IPS

2021年3月3~4日にリリースされた以下のIPSシグネチャは、DearCryのようなランサムウェアが上記の4つのMicrosoft Exchange Serverの脆弱性を悪用するのを阻止します。現在、有効なサブスクリプションと最新のアップデートをお持ちのフォーティネットのお客様はすべて保護されています。

MS.Exchange.Server.ProxyRequestHandler.Remote.Code.Execution
MS.Exchange.Server.UM.Core.Remote.Code.Execution
MS.Exchange.Server.CVE-2021-27065.Remote.Code.Execution
MS.Exchange.Server.CVE-2021-26858.Remote.Code.Execution

FortiEDR/FortiXDR

FortiGuard Labsのテストによると、デフォルトのFortiEDRとFortiXDRの導入では、DoejoCrypt/DearCryランサムウェアの活動をすぐに検出し、ブロックすることができます。

FortiGuard Labs

DearCryランサムウェア攻撃の詳細については、3月12日に掲載された脅威シグナル「Campaigns Leveraging Recent Microsoft Exchange Server Vulnerabilities to Install DoejoCrypt/DearCry Ransomware Observed in the Wild」をご参照ください。また、DearCryが標的としているExchange Serverの脆弱性の詳細については、3月3日に掲載された脅威シグナル「 Out-of-Band Patches Released for Active Exploitation of Microsoft Exchange Server」をご参照ください。

FortiGuard Labsでは、この問題を引き続き監視し、このイベントに関連する新しい情報やPoCコードが利用可能になった場合には、追加のアップデートを提供します。

Microsoft Exchangeの減災策

2021年3月2日、マイクロソフト社から定例外パッチがダウンロードできるようになりました。影響を受けるMicrosoft Exchangeサーバーには、可能であれば利用可能なすべてのパッチを直ちに適用することを推奨します。

マイクロソフトは、これらの脆弱性に関する重要な情報を公開しました。また、これらの攻撃に対する2つの新しい脅威検出ツールを開発しました。1つ目のツール「Test-ProxyLogon.ps1」は、既知のIOC(Indicators of Compromise:侵害指標)をスキャンするように設計されています。もう 1 つは、ExchangeMitigations.ps1 として知られるもので、ウェブシェルをスキャンします。ウェブシェルとは、脅威アクターにリモートアクセスを許可し、場合によっては侵害されたサーバーの完全な制御を可能にするスクリプトです。このスクリプトは、マイクロソフトの Hafniumに関するブログ記事に記載されている4つのコマンドをすべて自動化します。

その他の減災策

入手可能なパッチを直ちにExchangeサーバーにインストールすることに加えて、マイクロソフトは信頼できない接続を制限したり、VPNを設定してExchangeサーバーを外部からのアクセスから分離することを推奨しています。ただし、この減災策は、攻撃の初期の部分のみを防御するものです。攻撃者がすでにアクセス権を持っていたり、ソーシャルエンジニアリングの手法で管理者を騙して悪意のあるファイルを開かせたりすると、連鎖の他の部分が引き起こされる可能性があります。DearCryの場合、マルウェアがロードされた後、ファイルの暗号化を開始するのに外部からの接続は必要ありません。

混乱を招きやすく、日常業務や企業の評判へのダメージ、個人を特定できる情報(PII)の不要な流出などの被害を受ける可能性があるため、すべての AV および IPS シグネチャを最新の状態に保つことが重要です。また、攻撃者がネットワーク内に足場を築くのを防ぐために、組織内のすべての既知のベンダーの脆弱性に対処し、更新することも重要です。