Cisco Talos Intelligence Group の新しいレポートでは、Avos ランサムウェア攻撃で使用された新しいツールが公開されています。
アヴォスって誰ですか?
Avosは、2021年7月から活動しているランサムウェアグループです。このグループは、Ransomware as a Serviceビジネスモデルを採用しており、さまざまな関連会社にランサムウェアサービスを提供しています(図A)。
図A
AvosLockerは現在、Windows、Linux、ESXi環境をサポートしており、AvosLockerマルウェア向けに高度に構成可能な自動ビルドを提供しています。さらに、脅威アクターはアフィリエイト向けのコントロールパネル、プッシュ通知とサウンド通知を備えたネゴシエーションパネル、復号テスト、そして侵入テスター、初期アクセスブローカー、その他の連絡先からなる多様なネットワークへのアクセスを提供しています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Avos は通話サービスや DDoS 攻撃も提供しており、被害者に電話をかけて身代金の支払いを促したり、交渉中に DDoS 攻撃を実行して状況にストレスを加えたりします。
FBIによると、AvosLockerはすでに米国の金融サービス、製造業、政府機関などの重要インフラを標的にしています。Avosのチームは、旧ソ連諸国への攻撃を容認していません。「Avos」というニックネームのユーザーが、ロシアのフォーラムで、Active Directoryネットワークの経験を持つペネトレーションテスターや初期アクセスブローカーを募集しようとしていることが確認されています。
2021年後半、Avosグループは米国の警察機関を狙った攻撃について謝罪し、暗号化されたすべてのデータの即時かつ無償の復号を提供しました。Avosグループの関連組織が既にこの警察機関を標的にしていたため(おそらくは気づかなかったのでしょう)、Avosグループはこの警察機関に復号データを提供することを決定しました。
AvosLockerの感染とツール
スパムメール キャンペーンは、ランサムウェアを展開する前に標的のネットワークに足がかりを得るための初期感染ベクトルとして使用されます。
初期感染には他の手法が用いられる場合もあります。Talosは、VMWare Horizon Unified Access Gateways(UAG)経由でインターネットに公開され、Log4Shellの脆弱性を持つESXiサーバを介して最初の侵害が行われた事例を確認しました。
侵入したネットワークに侵入した攻撃者は、エンドポイント上で複数の悪意あるツールを使用しました。また、WMIプロバイダーホスト(wmiprvse.exe)など、オペレーティングシステムに既にインストールされている悪意のないバイナリであるLoLBin(Living-off-the-Land Binaries)も使用しました。
最初の侵害から4週間後、脅威アクターはDownloadStringを利用してエンコードされたPowerShellコマンドを実行しました。その後数日間にわたり、MimikatzやCobalt Strikeビーコンなどの追加ファイルやツールをダウンロードするために、複数のPowerShellコマンドが実行されました。SoftPerfect Network Scannerと呼ばれるポートスキャナーもダウンロードされ、使用されました。このポートスキャナーは市販のツールであり、Avosはこれを頻繁に利用していることが知られています。その後、サイバー犯罪者はローカルホストとリモートホストの管理設定を変更し、攻撃のラテラルムーブメント段階への移行を支援しました。
ポート スキャナーの別のインスタンスは、AnyDesk を介して侵害されたネットワーク内の別のサーバーに転送されました。
すべての偵察と横方向の移動が完了すると、攻撃者は PDQ Deploy という正規のソフトウェア展開ツールを使用して、ランサムウェアやその他のツールをターゲット ネットワーク全体に拡散させます。
過去には、Avos 攻撃で、PuTTY Secure コピー クライアント ツール (pscp.exe)、Rclone、Advanced IP スキャナー、WinLister などの他のツールも使用されていたことが明らかになっています。
プロセスの最後に、被害者には身代金要求のメッセージが表示されます (図 B )。
図B
Avosの被害者が支払いを怠ると、そのデータは売却されます。Avosのウェブサイトには、「すべてのデータは販売中です。ご希望があればご連絡ください。データの所有者が支払いを拒否した場合にのみ、第三者にデータを販売します」と記載されています。
アボスから身を守る方法
ランサムウェアによって組織全体が機能停止に陥るリスクを軽減するには、ネットワークのセグメンテーションを実施する必要があります。また、攻撃が成功した場合のデータ損失を防ぐため、強力なバックアップポリシーを導入することも重要です。
インターネットに接続するすべてのサービス、特にVPNアクセスやウェブメールシステムには、多要素認証を導入する必要があります。アクセスは最小限の権限で設定する必要があります。
脅威を検知するために、ウイルス対策およびセキュリティソリューションを導入する必要があります。リアルタイム保護は常に有効にしておく必要があります。一般的な脆弱性を回避するために、すべてのシステムとソフトウェアを最新の状態にし、パッチを適用する必要があります。
特に、フィッシングメールやユーザーを狙う可能性のあるソーシャル エンジニアリングのトリックを見分けるために、すべての従業員に対してトレーニングと意識啓発を行う必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
