原題: DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
DragonForceがSimpleHelpの脆弱性を悪用しMSPと顧客を攻撃
最近、マネージドサービスプロバイダー(MSP)を標的とした大規模なサイバー攻撃が発生しました。攻撃者はMSPが利用するリモート監視・管理(RMM)ツール「SimpleHelp」の脆弱性を悪用し、DragonForceランサムウェアを展開、さらに機密データの窃取と二重恐喝を行いました。
主要なポイント
- SimpleHelpの複数脆弱性を悪用:2025年1月に公表されたパストラバーサル、任意ファイルアップロード、権限昇格の脆弱性(CVE-2024-57726~57728)を攻撃者が利用し、MSPのRMM環境に不正アクセス。
- DragonForceランサムウェアの展開:2023年に登場した高度なランサムウェア・アズ・ア・サービス(RaaS)で、2024年からは分散型のアフィリエイトモデルへと再編中。複数の大手小売チェーンも標的に。
- 二重恐喝戦術の実施:ランサムウェアによるファイル暗号化に加え、盗み出した機密データを公開すると脅迫し、被害者に身代金支払いを強要。
- Sophos MDRの検知と阻止:Sophosのエンドポイント保護とMDR(マネージド検出・対応)サービスにより、一部顧客のランサムウェア感染と恐喝は阻止されたが、MDR未導入の環境では被害が発生。
- インシデント対応と情報共有:被害を受けたMSPはSophos Rapid Responseに依頼し、デジタルフォレンジックとインシデント対応を実施。侵害指標は公開予定。
技術的な詳細や背景情報
SimpleHelpはMSPが顧客のIT環境を遠隔で監視・管理するためのRMMツールです。今回悪用された脆弱性は以下の通りです。
- CVE-2024-57727(パストラバーサル脆弱性):攻撃者が本来アクセスできないファイルやディレクトリに不正にアクセス可能になる問題。
- CVE-2024-57728(任意ファイルアップロード脆弱性):悪意あるファイルをサーバーにアップロードし、リモートからコードを実行される恐れ。
- CVE-2024-57726(権限昇格脆弱性):通常の権限ではできない操作を攻撃者が行えるようになる脆弱性。
これらを組み合わせることで、攻撃者はMSPのRMMインスタンスに侵入し、管理下にある複数の顧客環境にDragonForceランサムウェアを展開しました。DragonForceは2023年に登場した新興のランサムウェアで、ランサムウェア・アズ・ア・サービス(RaaS)モデルを採用し、多数のアフィリエイトにより攻撃が拡大しています。特に2024年からは「カルテル」として再編され、より組織的かつ分散的な攻撃が可能となっています。
影響や重要性
MSPは多くの企業のIT環境を一括管理しているため、MSPが侵害されるとその顧客企業にも被害が波及します。今回の攻撃では、SimpleHelpの脆弱性を突かれたことで複数の顧客がランサムウェア感染やデータ流出の被害に遭いました。特に二重恐喝(ダブルエクストーション)戦術は、単にデータを暗号化するだけでなく、盗んだデータを公開すると脅すため、被害者の対応負荷と損害が大きくなります。
一方で、Sophos MDRのような高度な検知・対応サービスを導入している顧客は被害を免れたことから、エンドポイント保護とリアルタイムの脅威対応体制の重要性が改めて示されました。
まとめ
今回のDragonForceによる攻撃は、MSPのRMMツールSimpleHelpの脆弱性を悪用した高度かつ組織的なランサムウェア攻撃の典型例です。MSPとその顧客は、リモート管理ツールのセキュリティ強化と脆弱性の迅速な修正、そして多層的なセキュリティ対策の導入が不可欠です。また、Sophos MDRのような専門的な検知・対応サービスの活用が被害軽減に大きく寄与することが示されました。今後もこうした攻撃に備え、最新の脅威情報の把握と適切な対策実施が求められます。
