Securonixは9月1日(米国時間)、「Securonix Threat Labs Security Advisory: Threat Actors Target MSSQL Servers in DB#JAMMER to Deliver FreeWorld Ransomware - Securonix」において、DB#JAMMERキャンペーンを実行しているサイバー稿帰社が、Microsoft SQLサーバを標的にしてFreeWorldと呼ばれるランサムウェアを配信していると報じた。

  • Securonix Threat Labs Security Advisory: Threat Actors Target MSSQL Servers in DB#JAMMER to Deliver FreeWorld Ransomware - Securonix

    Securonix Threat Labs Security Advisory: Threat Actors Target MSSQL Servers in DB#JAMMER to Deliver FreeWorld Ransomware - Securonix

Securonixによると、この攻撃はスピーディーに行われ、ツールからインフラに至るまで非常に洗練されているという。攻撃者は公開されているMicrosoft SQLサーバにブルートフォース攻撃を仕掛けてサーバに侵入するという。侵入後は次のようにしてシステムを侵害し、ランサムウェアを実行するとされる。

  1. データベースの情報の窃取と同時にデータベースの認証情報を窃取する
  2. Microsoft SQLのxp_cmdshellコマンドを使用してコマンドを実行し、システムの基本的な情報とネットワーク情報を取得する
  3. 管理者権限などを持つユーザーを複数作成する
  4. レジストリを修正してネットワーク関連の保護を無効にする
  5. ファイアウォールを無効にする
  6. 攻撃者のリモートサーバの共有フォルダをマウントし、攻撃ツールを使用できるようにする(このときSecuronixは解析用にすべてのツールを取得している)
  7. Ngrokを使用してリモートデスクトッププロトコル(RDP: Remote Desktop Protocol)を永続化する。Securonixの調査時はこの攻撃は失敗しており、代わりに攻撃者はAnyDeskを使用している
  8. Windowsユーザーの認証情報(パスワードを含む)を窃取する
  9. ランサムウェアを実行し、データの窃取、暗号化、脅迫を行う

Securonixはこの脅威に対し、次のような対策を推奨している。

  • インターネットに公開しているサービスでは、複雑で強力なパスワードを使用する
  • Microsoft SQLのxp_cmdshellコマンドの使用を制限または禁止する
  • インターネットにサービスを公開せず、VPNなどの信頼できるプラットフォームを活用する
  • マルウェアのステージングディレクトリ(今回の攻撃では"C:\Windows\Temp")を監視する
  • ログの検出範囲を増やすため、SysmonやPowerShellログなどのプロセスレベルのログを追加する
  • Securonixの顧客はSecuronix Seeder Hunting Queriesを使用してエンドポイントを検出できる

MicrosoftはMicrosoft SQLサーバをこのような脅威から保護するために「SQL Server のセキュリティのベスト プラクティス - SQL Server | Microsoft Learn」の活用を推奨している。