Trend Microはこのほど、「TargetCompany’s Linux Variant Targets ESXi Environments|Trend Micro (US)」において、VMware ESXi上で動作するLinux環境を標的とするランサムウェア「TargetCompany」の亜種を新しく発見したと報じた。TargetCompanyは2021年6月に発見されたランサムウェアで、今年は台湾、インド、タイ、韓国における活動が活発とされる。

  • TargetCompany’s Linux Variant Targets ESXi Environments|Trend Micro (US)

    TargetCompany’s Linux Variant Targets ESXi Environments|Trend Micro (US)

攻撃手法の進化

Trend Microによると、今回確認された手法は従来のTargetCompanyの手法と比較して、進化を確認できるという。新しい手法ではペイロードの配信と実行にカスタムシェルスクリプトを使用し、窃取した情報を2つのサーバに送信する。これは、検出および妨害を回避するためとされる。

また、攻撃対象がVMware ESXi上で動作しているかを確認する機能が追加され、企業システムを積極的に狙うように進化。これは被害の大きいシステムを狙うことで、高額の身代金支払いの可能性を高める意図があるものと推測されている。

  • TargetCompanyの新しい侵害経路 - 引用:Trend Micro

    TargetCompanyの新しい侵害経路 引用:Trend Micro

今回の攻撃で確認されたカスタムシェルスクリプトは、最初に管理者権限を確認する処理が含まれており、このスクリプトが動作している時点で管理者権限の取得に成功しているものとみられている。Trend Microは侵害経路の図にて、攻撃者は脆弱なSQLサーバから侵入してスクリプトを実行したとしているが、どのようにして管理者権限を取得したかは明らかにしていない。

Trend Microの調査により、今回の攻撃者はペイロードの配信と窃取したデータの受信に中国のサーバを使用したことが明らかになっている。しかしながら、このサーバはレンタルサーバーの可能性が高く、攻撃者の所在地は不明とされる。

対策

Trend Microはこのような攻撃を回避するために、企業に対し、次のような対策を推奨している。

  • 各種サービスに多要素認証(MFA: Multi-Factor Authentication)を導入し、ネットワークの横方向の移動を防止する
  • 重要なファイルをバックアップするときは「3-2-1ルール(バックアップコピーを3つ作成し、それらを2種類の異なるメディアに保存し、1つをオフライン環境に保管する)」に従う
  • システム上のすべてのソフトウェアを定期的に最新の状態に更新する

また、Trend Microは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。