原題: DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
DragonForce攻撃者によるSimpleHelp脆弱性悪用とMSP標的型攻撃の概要
最近、マネージドサービスプロバイダー(MSP)を狙った高度なサイバー攻撃が発生しました。攻撃者はリモート監視・管理(RMM)ツールであるSimpleHelpの複数の脆弱性を悪用し、DragonForceランサムウェアを展開、さらに機密データを盗み出す二重恐喝を実行しました。
主要なポイント
- SimpleHelpの脆弱性悪用:2025年1月に公表された複数の脆弱性(CVE-2024-57726、CVE-2024-57727、CVE-2024-57728)を利用し、MSPのRMMツールに不正アクセス。
- DragonForceランサムウェアの展開:MSPの管理下にある複数の顧客環境にランサムウェアを配布し、システムを暗号化して身代金を要求。
- 二重恐喝(ダブルエクストーション)戦術:暗号化に加え、盗み出した機密データを公開すると脅迫し、被害者に二重の圧力をかける手法を採用。
- Sophos MDRの対応:Sophosのエンドポイント保護(XDR)とMDRサービスにより、一部の顧客では攻撃の阻止に成功したが、未導入の環境では被害が発生。
- DragonForceの背景:2023年に登場したランサムウェア・アズ・ア・サービス(RaaS)で、2024年からは分散型のアフィリエイトモデルに移行し、攻撃の規模と巧妙さが増加している。
技術的な詳細や背景情報
SimpleHelpはMSPが顧客のIT環境を遠隔で管理・監視するためのRMMツールです。今回悪用された脆弱性は以下の通りです:
- CVE-2024-57727:パストラバーサル脆弱性。攻撃者が本来アクセスできないファイルやディレクトリに不正にアクセス可能。
- CVE-2024-57728:任意ファイルアップロード脆弱性。悪意あるファイルをサーバーにアップロードし、コード実行などを可能にする。
- CVE-2024-57726:権限昇格脆弱性。通常より高い権限を取得し、システムの制御を奪う。
これらの脆弱性を組み合わせることで、攻撃者はMSPのRMMインスタンスに侵入し、管理下の複数顧客環境に対して横展開が可能となりました。DragonForceランサムウェアは、暗号化だけでなく盗み出したデータを人質に取る二重恐喝を行う点が特徴です。また、DragonForceはランサムウェア・アズ・ア・サービス(RaaS)として、アフィリエイトに攻撃を委託し、攻撃の多様化と拡大を図っています。
影響や重要性
MSPは多くの企業のITインフラを一括管理しているため、MSPが攻撃されるとその顧客企業にも連鎖的な被害が及びます。今回の攻撃は、MSPのRMMツールの脆弱性を突いたことで、広範囲にわたる被害が発生するリスクを示しています。特に、Sophos MDRなどの高度な検知・対応体制を持たない環境では、ランサムウェア感染や機密情報の流出が深刻な損害をもたらします。
また、DragonForceのようなRaaSモデルのランサムウェアは、攻撃者の参入障壁を下げ、多数の攻撃者が容易に高度な攻撃を実行できるため、今後も同様の被害が増加する可能性があります。
まとめ
今回の事例は、MSPのリモート管理ツールの脆弱性が攻撃者に悪用され、広範囲なランサムウェア攻撃と二重恐喝が行われた重要なインシデントです。MSPおよびその顧客は、RMMツールのセキュリティ強化と、Sophos MDRのような高度な検知・対応サービスの導入が被害軽減に不可欠であることが示されました。今後も脆弱性管理と多層防御の重要性を認識し、継続的なセキュリティ対策を推進する必要があります。
なお、本調査に関連する侵害指標(IoC)はSophosのGitHubで公開予定ですので、最新情報の確認と対策に役立ててください。
