DragonForce攻撃者がSimpleHelpの脆弱性を悪用しMSPと顧客を標的に
最近、Sophosのマネージド検知・対応サービス(MDR)が、マネージドサービスプロバイダー(MSP)を狙ったDragonForceランサムウェア攻撃を検知・対応しました。攻撃者はMSPが利用するリモート監視・管理(RMM)ツール「SimpleHelp」の複数の脆弱性を悪用し、複数の顧客環境にランサムウェアを展開、機密データの窃取と二重恐喝を行いました。
主要なポイント
- SimpleHelpの脆弱性悪用:攻撃者は2025年1月に公表された複数の脆弱性(CVE-2024-57726、CVE-2024-57727、CVE-2024-57728)を利用し、MSPのRMMインスタンスに不正アクセスしました。
- DragonForceランサムウェアの特徴:2023年中頃に登場した高度なランサムウェア・アズ・ア・サービス(RaaS)で、2024年からは分散型のアフィリエイトモデルへと再編し、より広範な攻撃者層に拡大しています。
- 二重恐喝戦術:ランサムウェアによるファイル暗号化に加え、窃取した機密データの公開をちらつかせて身代金支払いを強要する手口が用いられました。
- Sophos MDRの対応効果:Sophosのエンドポイント保護とMDRの連携により、Sophos製品を導入していた顧客のネットワークは被害を免れましたが、導入していなかった環境では感染や情報漏洩が発生しました。
- インシデント対応と情報共有:MSPはSophos Rapid Responseを招集し、デジタルフォレンジクスとインシデントレスポンスを実施。関連する侵害指標(IoC)はSophosのGitHubで公開予定です。
技術的な詳細と背景情報
今回の攻撃は、SimpleHelpというMSP向けのリモート監視・管理ツールの複数の脆弱性を悪用しています。具体的には、以下の脆弱性が指摘されています。
- CVE-2024-57727:複数のパストラバーサル脆弱性。攻撃者がファイルシステム上の任意の場所にアクセス可能になる問題。
- CVE-2024-57728:任意ファイルアップロード脆弱性。悪意あるファイルをサーバーにアップロードし、コード実行や改ざんが可能。
- CVE-2024-57726:権限昇格脆弱性。通常の権限から管理者権限へ不正に昇格できる問題。
これらを組み合わせることで、攻撃者はMSPのRMM環境に侵入し、管理下にある複数の顧客環境に対してランサムウェアを展開。さらに、デバイス名やユーザー情報などの機密情報を収集し、二重恐喝を行いました。
DragonForceランサムウェアは、近年急速に進化しているランサムウェア・アズ・ア・サービス(RaaS)の一つで、攻撃者がサービスとして提供し、アフィリエイトが攻撃を実行するモデルです。2024年3月以降は「カルテル」として再ブランディングし、複数の著名なアフィリエイトグループを傘下に収めています。
影響と重要性
MSPは多くの企業のIT環境を一括管理するため、MSPが侵害されると、その顧客企業も連鎖的に被害を受けるリスクが高まります。今回のようにRMMツールの脆弱性を突かれると、攻撃者は広範囲にわたりランサムウェアを展開し、機密情報の窃取や二重恐喝を行うため、被害規模が拡大します。
また、Sophosのようなエンドポイント保護製品とMDRサービスの導入が被害軽減に有効であることが示されており、MSPおよび顧客企業はセキュリティ対策の強化が急務です。さらに、インシデント発生時の迅速な対応体制と情報共有も重要なポイントとなります。
まとめ
今回のDragonForceによる攻撃は、MSPが利用するSimpleHelpの複数の脆弱性を悪用し、広範囲なランサムウェア感染と機密情報窃取を狙った高度なサイバー攻撃です。MSPとその顧客企業は、RMMツールの脆弱性管理やエンドポイント保護の導入、そしてインシデント対応体制の整備を強化する必要があります。
Sophos MDRの迅速な検知と対応により、一部の顧客は被害を免れましたが、今後も同様の攻撃が増加する可能性が高いため、関係者は最新の脆弱性情報の把握と適切な対策実施を心掛けましょう。
