Securonixは1月9日(米国時間)、「Securonix Threat Research Security Advisory: New RE#TURGENCE Attack Campaign: Turkish Hackers Target MSSQL Servers to Deliver Domain-Wide MIMIC Ransomware - Securonix」において、トルコの脅威アクターによるMicrosoft SQLサーバを標的とした進行中のサイバー攻撃のキャンペーン「RE#TURGENCE」を発見したと報じた。このキャンペーンでは「MIMIC」と呼ばれるランサムウェアが使用されているという。
Microsoft SQL狙うランサムウェア攻撃の概要
Securonix脅威分析チームによると、このキャンペーンは米国、欧州連合(EU: European Union)、中南米地域で活動がみられ、経済的利益を目的にしているという。脅威アクターは公開されているMicrosoft SQLサーバへブルートフォース攻撃を行うことでシステムに侵入、デフォルトでは無効になっている「xp_cmdshell」を悪用してコマンドを実行、システムを侵害する。
具体的にはxp_cmdshellを使用して悪意のあるシェルスクリプトをダウンロードして実行する。シェルスクリプトは難読化された別のシェルスクリプトをダウンロードして実行し、最終的に「Cobalt Strike」をメモリ空間に展開して実行。その後「AnyDesk」をインストールすると同時に管理者権限をもつユーザー「windows」を作成する。このとき、存在する場合は「administradores」グループにユーザを追加。こうして脅威アクタはAnyDeskを通じた永続性を確保するとされる。
脅威アクタは永続性を確保すると「Mimikatz」を使用して資格情報を窃取し、ドメイン管理者権限を使用して横方向への移動を行う。横方向の移動を一通り終えるとランサムウェア「MIMIC」を展開し、システム内のファイルを暗号化、身代金の要求を行う。
Securonix脅威分析チームはキャンペーンの分析中に脅威アクタが使用したリモート監視および管理(RMM: Remote Monitoring and Management)ツールを使用して、脅威アクタの活動を観察している。その活動のいくつかを公開しており、その中には攻撃者間のやり取りとみられる興味深いメッセージも含まれている。
ランサムウェア攻撃への対策
Securonixはこのような攻撃からシステムを保護するために、次の対策を推奨している。
- 重要なサーバをインターネットに直接公開することは避ける。可能であれば仮想プライベートネットワーク(VPN: Virtual Private Network)などのインフラストラクチャの背後にサーバを設置する
- Microsoft SQLサーバのxp_cmdshellプロシージャを無効にする
- 悪意のあるプロセスを検出するために、エンドポイントおよびサーバの双方でプロセスレベルのログを有効化する
- 追加のプロセスレベルのログを導入して、PowerShellなどの活動を監視できるようにする
- 重要なサーバでは新しいユーザーの作成を監視する
Securonixは、このキャンペーンの調査において判明した脅威アクタのコマンド&コントロール(C2: Command and Control)サーバの情報など、セキュリティ侵害インジケータ(IoC: Indicator of Compromise)に相当する情報を公開しており、Microsoft SQLサーバを運用する管理者には必要に応じて活用することが望まれている。