脅威に関する情報: Kaseya VSA ユーザーに対するランサムウェア攻撃

This post is also available in: English (英語)

概要

7月2日、攻撃者がリモート監視・管理ソフトウェアKaseya VSAのユーザーを対象に攻撃を開始したことが報告されました。この対象には同ソフトウェアを使用する複数のマネージドサービスプロバイダ（MSP）の顧客も含まれるもようです。報告によれば、この攻撃者らはVSAソフトウェアへのアクセスを利用し、REvil/Sodinokibi RaaSグループと関連するランサムウェアを展開していました。Kaseyaは「この攻撃は自社ソフトウェアの脆弱性を悪用して行われた」、「修正プログラムを現在開発中」と述べています。同社は脆弱性関連の詳しい情報を公表していません。 KaseyaはVSAを使用している組織にただちにシステムをシャットダウンすることを推奨しており、米国サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）も告示を行って同ソフトウェアを使用する組織にKaseyaのアドバイスに従うよう求めています。

現時点では攻撃の全容は不明ですが、Kaseyaは「影響を受けた顧客数は40以下」と説明しています。この40の顧客にMSPが含まれていればさらに多くの組織がランサムウェア攻撃に遭っている可能性があります。Kaseya VSAの機能により、管理者はシステムを遠隔から管理できるようになりますが、MSPのVSAシステムが侵害されていれば攻撃者はそのMSPが管理している複数のネットワークにマルウェアを展開できる可能性があります。

この攻撃の性質についてはソーシャルメディアなどで様々な憶測が飛び交っていますが、私たちはこれらの攻撃がどのように行われたかを独自に判断するにはいたっていません。 

複数のソースが「Windowsシステムにランサムウェア攻撃をインストール・実行するために以下の3つのファイルが使用された」と述べています。

1. agent.exe: d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
2. mpsvc.dll: e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
3. mpsvc.dll: 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd

WildFire、脅威防御、Cortex XDRはREvilランサムウェアの感染を検出・防止します。

今回の攻撃の詳細が明らかになり次第、本概要を更新して追加情報をお伝えします。 

IoC

Kaseyaの攻撃に関連するREvil実行ファイル

• d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
• 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
• e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2

Kaseyaが提供した IoC:

ソース: Incident Overview and Technical Details, Kaseya

• 35.226.94[.]113
• 161.35.239[.]148
• 162.253.124[.]162

Web ログの IoC:

• POST /dl.asp curl/7.69.1
• GET /done.asp curl/7.69.1
• POST /cgi-bin/KUpload.dll curl/7.69.1
• GET /done.asp curl/7.69.1
• POST /cgi-bin/KUpload.dll curl/7.69.1
• POST /userFilterTableRpt.asp curl/7.69.1

追加資料

• ランサムウェアギャングREvil : Kaseya VSA攻撃の背後にいる攻撃グループを理解する
• 脅威の評価：GandCrabおよびREvilランサムウェア
• 2021 Unit 42ランサムウェア脅威レポート
• ランサムウェア攻撃: 定義、攻撃のしくみ、感染の手口から対応のヒントまで
• 新しいランサムウェア脅威の先を行く: データの引き出しと強奪から防御する

更新履歴

1. 2021-07-08 16:45 JST: 英語版で 2021-07-06 15:06 PDT に行われた更新を反映