原題: DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
DragonForceがSimpleHelpの脆弱性を悪用しMSPと顧客を攻撃
近年、マネージドサービスプロバイダー(MSP)を狙ったサイバー攻撃が増加しています。Sophos MDRは、MSPのリモート監視・管理ツール「SimpleHelp」の脆弱性を悪用し、DragonForceランサムウェアによる攻撃が確認されたことを発表しました。
主要なポイント
- SimpleHelpの脆弱性悪用:攻撃者は2025年1月に公表された複数の脆弱性(CVE-2024-57726、CVE-2024-57727、CVE-2024-57728)を利用し、MSPのRMMツールに不正アクセスしました。
- DragonForceランサムウェアの展開:侵入後、複数のエンドポイントにDragonForceランサムウェアを展開し、機密データの窃取と二重恐喝(ダブルエクストーション)を実施しました。
- Sophos MDRの検知と阻止:Sophosのエンドポイント保護とMDRサービスにより、一部の顧客ではランサムウェア感染と恐喝が阻止されましたが、MDR未導入の顧客は被害を受けました。
- DragonForceの背景:DragonForceは2023年に登場したランサムウェア・アズ・ア・サービス(RaaS)で、2024年から分散型アフィリエイトモデルへ移行し、複数の大手企業を標的に攻撃を展開しています。
- 対応と情報共有:MSPはSophos Rapid Responseによりフォレンジック調査とインシデント対応を実施中で、関連する侵害指標(IoC)はSophosのGitHubで公開予定です。
技術的な詳細や背景情報
今回悪用されたSimpleHelpの脆弱性は以下の通りです:
- CVE-2024-57727:複数のパストラバーサル脆弱性。攻撃者が本来アクセスできないファイルやディレクトリにアクセス可能になる問題。
- CVE-2024-57728:任意ファイルアップロード脆弱性。攻撃者が悪意あるファイルをサーバーにアップロードできるため、リモートコード実行などにつながる恐れがあります。
- CVE-2024-57726:権限昇格脆弱性。攻撃者が通常の権限から管理者権限へと昇格できる問題。
これらの脆弱性を組み合わせることで、攻撃者はMSPのRMM環境に侵入し、管理下の顧客環境に対して広範囲に攻撃を仕掛けることが可能となりました。
DragonForceランサムウェアは、ランサムウェア・アズ・ア・サービス(RaaS)モデルを採用しており、複数のアフィリエイトが攻撃を実行しています。2024年3月以降は「カルテル」として再ブランディングし、より分散化・組織化された攻撃体制を構築しています。特に、かつてRansomHubのアフィリエイトであったScattered Spider(UNC3944)もDragonForceを利用していることが報告されています。
影響や重要性
MSPは多くの企業のIT環境を一括管理しているため、MSPが攻撃されるとその顧客企業も連鎖的に被害を受けるリスクが高まります。今回の攻撃は、MSPのRMMツールの脆弱性を突くことで複数の顧客に被害を及ぼし、被害規模の拡大を招きました。
また、二重恐喝(ダブルエクストーション)戦術は、ランサムウェア被害者に対して単にデータ復旧のための身代金支払いだけでなく、盗み出した機密情報の公開をちらつかせて二重に脅迫する手法であり、被害者の負担とリスクをさらに増大させています。
Sophos MDRのような高度な検知・対応サービスの導入が被害軽減に効果的であることが示された一方で、未導入の環境では甚大な被害が発生している点も重要な教訓です。
まとめ
今回のDragonForceによるSimpleHelpの脆弱性悪用攻撃は、MSPを狙ったサプライチェーン型の攻撃の典型例です。MSPは自社のセキュリティ強化だけでなく、顧客環境の安全確保にも責任を持つ必要があります。脆弱性の早期修正、エンドポイント保護の強化、そしてMDRサービスの導入が被害防止の鍵となります。
サイバー攻撃の手口は日々進化しており、最新の脅威情報を常に把握し、適切な対策を講じることが重要です。今回の事例を教訓に、MSPおよび顧客企業はセキュリティ体制の見直しを検討しましょう。
